前言
在此��,我們要配置一個只對內部網絡提供代理服務的 Proxy Server����。它具有如下功能它將用戶分為高級用戶和普通用戶兩種,對高級用戶采用網卡物理地址識別的方法��,
普通用戶則需要輸入用戶名和口令才能正常使用����。 高級用戶沒有 訪問時間和文件類型的限制,而普通用戶只在上班時可以訪問以及一些其它的限制。
安裝
從源中安裝
源中自帶穩定版本����,執行下面的命令進行安裝
sudo apt-get install squid squid-common
源碼編譯安裝
當然你也可以到官方網站下載最新的版本進行編譯安裝:
其中 STABLE 穩定版��、DEVEL 版通常是提供給開發人員測試程序的��,假定下載了最新的穩定版 squid-2.5.STABLE2.tar.gz�,用以下命令解開壓縮包:
tar xvfz squid-2.5.STABLE.tar.gz
用 bz2方式壓縮的包可能體積更小�,相應的命令是:
tar xvfj squid-2.5.STABLE.tar.bz2
然后��,進入相應目錄對源代碼進行配置和編譯����,命令如下:
cd squid-2.5.STABLE2
配置命令 configure 有很多選項�,如果不清楚可先用“-help”查看。通常情況下����,用到的選項有以下幾個:
--prefix=/WEB/squid
指定 Squid 的安裝位置,如果只指定這一選項��,那么該目錄下會有 bin、sbin��、man�、conf 等目錄,而主要的配置文件此時在 conf 子目錄中��。為便于管理����,最好用參數--sysconfdir=/etc把這個文件位置配置為/etc��。
--enable-storeio=ufs,null
使用的文件系統通常是默認的 ufs,不過如果想要做一個不緩存任何文件的代理服 務器����,就需要加上 null 文件系統。
--enable-arp-acl
這樣可以在規則設置中直接通過客戶端的 MAC 地址進行管理��,防止客戶使用 IP 欺騙�。
--enable-err-languages="Simplify_Chinese"
--enable-default-err-languages="Simplify_Chinese"
上面兩個選項告訴 Squid 編入并使用簡體中文錯誤信息。
--enable-Linux-netfilter
允許使用 Linux 的透明代理功能�。
--enable-underscore
允許解析的 URL 中出現下劃線,因為默認情況下 Squid 會認為帶下劃線的 URL 是 非法的����,并拒絕訪問該地址����。 整個配置編譯過程如下:
./configure --prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
--enable-auth="basic"
--enable-baisc-auth-helpers="NCSA"
--enable-underscore
其中一些選項有特殊作用��,將在下面介紹它們��。 最后執行下面兩條命令��,將源代碼編譯為可執行文件�,并拷貝到指定位置����。
make
sudo make install
基本配置
安裝完成后��,接下來要對 Squid 的運行進行配置(不是前面安裝時的配置)�。所有項目都在squid.conf 中完成。Squid 自帶的 squid.conf 包括非常詳盡的說明�,相當于一篇用戶手冊,對配置有任何疑問都可以參照解決。在這個例子中�,代理服務器同時也是網關,內部網絡接口 eth0的 IP 地址為192.168.0.1����,外部網絡接 eth1的 IP 地址為202.103.x.x����。下面是一個基本的代理所需要配置選項:
http_port 192.168.0.1:3128
默認端口是3128,當然也可以是任何其它端口��,只要不與其它服務發生沖突即可�。為了安全起見,在前面加上 IP 地址����,Squid 就不會監聽外部的網絡接口。 下面的配置選項是服務器管理者的電子郵件��,當錯誤發生時�,該地址會顯示在錯誤頁面上,便于用戶聯系:
cache_mgr start@soocol.
以下這些參數告訴 Squid 緩存的文件系統����、位置和緩存策略:
cache_dir ufs /var/squid
cache_mem 32MB
cache_swap_low 90
cache_swap_high 95
在這里��,Squid 會將/var/squid 目錄作為保存緩存數據的目錄����,每次處理的緩存大小是32兆字節,當緩存空間使用達到95%時�,新的內容將 取代舊的而不直接添加到目錄中,直到空間又下降到90%才停止這一活動��。如果不想 Squid 緩存任何文件,如某些存儲空間有限的專有系統����,可以使用 null 文件系統(這樣不需要那些緩存策略):
cache_dir null /tmp
下面的幾個關于緩存的策略配置中,較主要的是第一行��,即用戶的訪問記錄����,可以通過分析它來了解所有用戶訪問的詳盡地址:
cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log
下面這行配置是在較新版本中出現的參數,告訴 Squid 在錯誤頁面中顯示的服務器名稱:
visible_hostname No1.proxy
以下配置告訴 Squid 如何處理用戶����,對每個請求的 IP 地址作為單獨地址處理:
client_netmask 255.255.255.255
如果是普通代理服務器,以上的配置已經足夠����。但是很多 Squid 都被用來做透明代理����。所謂透明代理��,就是客戶端不知道有代理服務器的存在�,當然也不需要進行任何與代理有關的設置,從而大大方便了系統管理員��。相關的選項有以下幾個:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on
在 Linux 上����,可以用 iptables/ipchains 直接將對 WEB 端口80的請求直接轉發到 Squid 端口3128,
由 Squid 接手����,而用戶瀏覽器仍然認為它訪問的是對方的80端口。例如以下這條命令:
iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128
就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口����。
所有設置完成后,關鍵且重要的任務是訪問控制�。Squid 支持的管理方式很多,使用起來也非常簡單(這也是有人寧愿使用不做任何緩存的 Squid����, 不愿意單獨使用 ipta
