squid的配置及应用

lipeng

squid简介
代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了该服务器之后，浏览器发出的信息会先送到代理服务器，由代理服务器来取回网页内容并传送给客户的浏览器。平时我们提到代理服务器，主要是终端用户如何寻找自己需要的代理；而本专题所介绍的，则是服务器端的架设、配置等方面。对企业网络而言，代理服务器可以起到控制网络访问并屏蔽不安全信息，以及网络加速的目的。代理服务器是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联 (OSI) 模型的对话层。主要的功能有：
1、连接Internet与Intranet 充当firewall（防火墙）：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置 IP地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务器进行互联来交换信息。
2、共享因特网连接，节省IP开销：如前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。这样，局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费用。当然也有它不利的一面，如许多网络***通过这种方法隐藏自己的真实IP地址，而逃过监视。
3、提高访问速度，节约通信带宽。而且通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。
squid的优点
1、squid是开源软件，性能优秀。
2、快速响应，减少网络阻塞,Squid将远程Internet对象保存为本地拷贝。当本地用户再次访问这些对象时，Squid可以直接快速地提供对这些对象的访问，而不必再次占用带宽访问远程服务器上的对象。
3.、强访问控制，提高安全性。可以针对特定的的网站、用户、网络、数据类型实施访问控制
Squid工作的模式
普通代理模式、透明代理模式和反向代理模式。                                                                                               
Squid的结构
   多个squid代理服务器可以通过icp协议相互沟通，形成树形层次关系（父代理、兄弟代理、子代理），构建代理服务器。
Squid软件包
软件包名称：
服务名：squid
主程序：/usr/sbin/squid
配置目录：/etc/squid
主配置文件：/etc/squid/squid.conf
默认监听端口：TCP 3128
默认访问日志文件：/var/log/squid/access.log
常用配置项：
http_port 3128                  #默认监听端口3128
cache_mem 64 M               #配置临时缓存大小
maximum_object_size 4096 KB    #大于该值得对象将不被存储
reply_body_max_size 10240000 allow all#限制用户下载的文件不能大于10MB
access_log /var/log/squid/access.log #允许通过squid的日志目录
visible_hostname proxy.text.com   #被squid拒绝反馈给用户的信息
cache_dir ufs /var/spool/squid 100 16 256
#ufs表示缓存数据存储格式
#100表示为缓存目录分配的磁盘空间
#256表示缓存空间的二级子目录个数
#16表示空间的一级子目录个数
CND的简介
CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。
案例一、普通代理
一、    实验拓扑图

二、实验要求
1、某公司企业网，公司为提高工作效率，对网络进行整治，
2、公司网络不允许员工使用QQ聊天，也不准员工访问QQ有关的网站
3、不允许下载游戏，电影，歌曲等相关信息，提高网络速度
4、不允许员工玩新浪微博，不准上很新浪有关的所有信息
三、实验步骤：
1、挂载光盘，安装squid软件包
mount /dev/cdrom /mnt/cdrom/
cd /mnt/cdrom/Server/
rpm -ivh squid-2.6.STABLE21-3.el5.i386.rpm
2、编辑squid的配置文件，写访问控制规则
root@localhost ~]# vim /etc/squid/squid.conf
590 acl qq dstdomain .qq.com .tencent.com       #访问QQ策略
591 acl xunlei dstdomain .xunlei.com          #访问讯雷策略
592 acl kuaiche dstdomain .kuaiche.com       #访问快车策略
593 acl kuaibo  dstdomain  .kuaibo.com     #访问快播策略
594 http_access deny qq                    #禁止访问QQ
595 http_access deny xunlei                #禁止访问讯雷
596 http_access deny kuaiche               #禁止访问快车
597 http_access deny  kuaibo             #禁止访问快播
598 acl badweb url_regex -i sina            #访问新浪策略
599acl download urlpath_regex –i \.mp3$ \.avi$ \.rmvb$ \.rm$ \.ra$ \.ram$ \.mpe$ \.smi$ \.swf$ \.exe$
601http_access deny download            #禁止下载策略
600 http_access deny badweb             #禁止访问带有sina的网站
602 acl all src 0.0.0.0/0.0.0.0             #允许所有来源
603 http_access allow all  
920 http_port 192.168.10.10:3128          #代理端口及内网地址
2994 visible_hostname 192.168.10.10       #错误信息的显示
3、服务器的DNS设置
vim /etc/resolv.conf
nameserver 222.88.88.88
nameserver 222.85.85.85
在浏览器上设置代理地址和端口

测试
1、不可以访问和QQ相关的网站，也不可以登陆QQ

2、不允许访问带有关键字sina的所有网站

3、不允许迅雷下载

4、不可以下载exe后缀名的资源，我们来下载一下飞信

由于上述过滤内容较多，在此不一一测试。
案例二 透明代理
拓扑图

实验步骤
1、透明代理是要用NAT转换把数据转发出去，打开数据包转发功能
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1   #0改为1，开启路由转发功能
sysctl.conf  -p          #使之生效
2、设置nat转换
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -p udp  --dport 53 -o eth1 -j  MASQUERADE
3、实现端口的重定向
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-ports 3128
4、查看iptables的配置信息
iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 986 packets, 308K bytes)
pkts bytes target     prot opt in     out     source               destination         
   55  2640 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 64 packets, 3433 bytes)
pkts bytes target     prot opt in     out     source               destination         
    6   387 MASQUERADE  udp  --  *      eth1    192.168.10.0/24      0.0.0.0/0           udp dpt:53

Chain OUTPUT (policy ACCEPT 2 packets, 164 bytes)
pkts bytes target     prot opt in     out     source               destination         
5、编辑squid的配置文件
vim/etc/squid/squid.conf
931 http_port 192.168.10.10:3128 transparent  #实现透明代理
6、重启squid服务
service squid restart
测试

案例三反向代理
拓扑图

实验步骤：
1、编辑squid配置文件
vim /etc/squid/squid.conf
931 http_port 192.168.101.234:80 vhost
#vhost反向代理的端口80，地址指向外网卡地址
1196 cache_peer 192.168.10.111        parent     80   0     originserver
        #源服务器的地址，即内部webserver的地址，原端口80，0内部端口
2、重启squid服务
service squid restart
测试
外网一台PC访问外网卡地址，访问到内网的webserver站点