linux下squid服务器的配置

yt-summer

配置squid服务器
实验环境搭建：
1、我们的linux系统需要有两块网卡为eth0和eth1
2、给每个网卡分配ip地址。对于的ip地址可以设置为：eth0：10.0.0.1(模拟为内网ip)，eth1：172.16.16.69(模拟为外网ip)
首先查看squid服务器在RHEL4Z中有没有被安装，如果没安装的话，则使用rpm命令安装上去。在系统的第2张光盘中。
# rpm -q squit
package squit is not installed
# mount /dev/cdrom /media/cdrom
# cd /media/cdrom/RedHat/RPMS/
# rpm -ivh squid-2.5.STABLE6-3.i386.rpm
warning: squid-2.5.STABLE6-3.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e
Preparing...                ########################################### [100%]
   1:squid                  ########################################### [100%]
squid服务程序在RHEL4中默认不自动启动，需要设置它自动启动。
# chkconfig --list squid
squid           0:off   1:off   2:off   3:off   4:off   5:off   6:off
# chkconfig --level 2345 squid on
squid服务器的初始化
当我们第一次使用squid服务器之前需要先使用squid -z命令对squid服务器进行初始化
# ls /var/spool/squid
# squid -z
注意：如果初始化成功的话，会显示：2008/06/20 15:07:51| Creating Swap Directories
如果显示的是这样的信息的话：FATAL: Could not determine fully qualified hostname.  Please set 'visible_hostname'
Squid Cache (Version 2.5.STABLE6): Terminated abnormally.
CPU Usage: 0.064 seconds = 0.008 user + 0.056 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Aborted
我们需要在主配置文件中添加一行：
# vi /etc/squid/squid.conf
visible_hostname squid      //其中squid为你当前主机的名称
保存退出后，再次执行squid -z就可以了。
# ls /var/spool/squid
00  01  02  03  04  05  06  07  08  09  0A  0B  0C  0D  0E  0F
启动squid服务
# service squid start
Starting squid: .                                          [  OK  ]
修改squid服务器的配置文件
# vi /etc/squid/squid.conf
找到如下行：
http_port 3128
把它修改为：
http_port 3128 8080     或
http_port 8080
squid服务器的服务端口使用http_port配置项设置，默认值时3128，为了方便用户使用，可以更改为8080，或在多个端口提供服务。http_port配置项支持在多个端口提供代理服务
找到如下行：
cache_mem 8 MB
把它修改为：
cache_mem 64 MB
这行是用来设置缓冲内存数量的，squid服务器的性能和squid服务器使用的缓冲内存数量有很大的关系，一般来讲，使用内存越多，squid服务器的性能会越好，可以根据需要配置。
找到如下行：
cache_dir ufs /var/spool/squid 100 16 256
这行用来设置squid服务器的工作目录路径和属性，其中"100 16 256"分别表示目录中最大的容量时100MB，目录中的一级子目录的数量为16个，二级子目录为256个。在实际应用中可根据实际情况适当调整。
找到如下行：
cache_access_log /var/log/squid/access.log
这行为squid服务的日志存放路径，如果开启了，那么客户机所有的访问记录都会在此记录。可以通过查看日志记录，开查看客户机的访问情况。
当所有的配置完成后，保存退出。
配置访问配置
squid服务器中提供了强大的访问控制功能，在squid.conf配置文件中，访问控制功能时由http_access和acl配置项共同实现的。
# grep ^acl /etc/squid/squid.conf
acl QUERY urlpath_regex cgi-bin \?
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
# grep ^http_access /etc/squid/squid.conf
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
下面我们添加一项访问控制列表
# vi /etc/squid/squid.conf
acl mynetwork src 10.0.0.0/8     //此行需要添加到acl设置项中去
http access allow mynetwork    //此行要在squid.conf文件的http_access deny all设置行前添加
重新启动squid服务
# service squid restart
Stopping squid: .                                          [  OK  ]
Starting squid: .                                          [  OK  ]
这时我们可以在客户端验证一下效果
右击IE的属性，在弹出的窗口中找到"连接"—"局域网设置"，选择代理服务器，勾选"在为LAN使用代理服务器"，在"地址"中输入squid服务器的ip地址：10.0.0.1，在"端口"中输入端口号为：3128
单击"确定",然后在IE中输入网址，看是否能访问到网站

配置透明代理服务器
构建透明代理服务器需要对squid代理服务和iptables防火墙分别进行设置，配合使用才能实现透明代理的功能。
在squid服务器中默认是不支持提供透明代理服务的相关功能的，因此我们需要在配置文件中进行如下配置：
# vi /etc/squid/squid.conf
//在配置文件的尾部添加上下列行
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
重新启动服务
# service squid restart
Stopping squid: .                                          [  OK  ]
Starting squid: .                                          [  OK  ]

修改防火墙的配置脚本
# iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-ports 3128
上面命令的意思是：在nat规则表的PREROUTING规则链中添加规则，在规则中，"-s 10.0.0.0/8"表示数据包来自"10.0.0.0"；"-p tcp"表示数据包的协议为TCP；"--dport 80"，表示数据包访问的目的端口为80；"-j REDIRECT"表示将符合条件的数据包进行重定向；"--to-ports 3128"表示将符合条件的数据包重定向到3128端口。
注意修改了iptables以后一定要保存设置
# iptables-save
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
REDIRECT   tcp  --  10.0.0.0/8           anywhere            tcp dpt:http redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
这样我们就配置完透明代理了
这时我们可以回到客户端，右击IE的属性，在弹出的窗口中找到"连接"—"局域网设置"，选择代理服务器，把"在为LAN使用代理服务器"，前面的勾去掉，单击"确定"。这时再登录网站，如果可以顺利登录的话，就成功了。
//注意，如果登录不成功的话，配置一下DNS服务器地址。