Proxy服务器配置_Squid

glcui

　　实验环境：CentOS6.0
　　ServerIP:192.168.0.1
　　ClientIP:192.168.0.8
　　Port:3128(可以修改)
　　#yum install squid -y
　　#vim /etc/squid/squid.conf
　　***************************************************************************************************************
　　1.信任用户与目标控制，通过acl定义出localhost等相关用户(相当于用acl起的别名)
　　acl manager proto cache_object#定义manager为管理功能
　　acl localhost src 127.0.0.1/32#定义localhost为本机来源
　　acl localhost :1 /128
　　acl to_localhost dst 127.0.0.0/8 0.0.0.0/32#定义连接本机的“昵称”
　　acl to_localhost dst ::1/128
　　2.信任用户与目标控制，定义可能使用这部Proxy的网络用户
　　acl localnet src 192.168.0.0/16
　　acl localnet src fc00::/7
　　acl jjflan   src 192.168.1.0/24  192.168.100.0/24
　　acl dropsex urlpath_regex /sexy.*\.jpg#定义出现/sexy且以.jpg结尾的文件的“昵称”
　　acl dropdomain dstdomain .facebook.com#定义域名“昵称”
　　acl dropurl url_regex ^http://www.google.com.*#定义网址“昵称”（必须以^开始，以.*结束）
　　acl dropdomainlist  "/etc/squid/dropdomain.txt" #指定某个文件的“昵称”
　　3.定义可取得的数据端口所在
　　acl SSL_ports port 443
　　acl Safe_ports port 80          # http
　　acl Safe_ports port 21          # ftp
　　acl Safe_ports port 443         # https
　　acl CONNECT method CONNECT
　　4.定义这些名称是否可放行
　　http_access allow manager localhost
　　http_access deny manager#拒绝其他管理来源
　　http_access deny !Safe_ports
　　http_access deny CONNECT !SSL_ports
　　http_access deny dropdomain
　　http_access deny dropsex
　　http_access deny dropurl
　　http_access allow jjflan
　　http_access deny dropcntv
　　http_access allow localnet
　　http_access allow localhost
　　http_access deny all
　　5.网络端口设置
　　http_port 3128#默认端口是3128
　　6.缓存与内存相关设置
　　hierarchy_stoplist cgi-bin ?
　　cache_mem 8 MB#给Proxy额外的内存
　　7.磁盘高速缓存的配置
　　cache_dir ufs /var/spool/squid 100 16 256 #缓存共100M，一层文件16个，二层文件256个
　　coredump_dir /var/spool/squid
　　minimum_object_size 0 KB#小于0K的数据不要放缓存
　　maximum_object_size 4096 KB#大于4M的数据不要放于缓存
　　cache_swap_low 90#减低到90%的磁盘高速缓存为止
　　cache_swap_high 95#磁盘高速缓存使用到95%时开始减少
　　8.其它可能用到的默认值
　　access_log /var/log/squid/access.log  squid#记录使用过squid的用户
　　ftp_user Squid@#用Proxy登录ftp时使用的账号名称
　　ftp_passive on#代理的ftp服务采用被动连接
　　9.磁盘中缓存的存在时间
　　#                网址开头       最小时间  百分比  最大时间  （以分钟为单位）
　　refresh_pattern ^ftp:           1440       20%     10080
　　refresh_pattern ^gopher:        1440       0%      1440
　　refresh_pattern -i (/cgi-bin/|\?) 0        0%      0
　　refresh_pattern .               0          20%     4320
　　refresh_pattern \.vbird\.       120        50%     1440
　　(在网址出现.vbird.时，数据缓存2小时后就算是旧数据，最长保存一天，经过50%的时间后也会被判为旧数据)
　　cache_mgr 287523394@qq.com#默认的proxy管理员的email
　　cache_effective_user squid#启动squid PID的拥有者
　　cache_effective_group squid#启动squid PID的组
　　visible_hostname        Server1.example.com#由于DNS问题，需要设置主机名
　　ipcache_size 1024#IP缓存的设置值
　　ipcache_low 90
　　ipcache_high 95
　　*********************************************************************************************************
　　#/etc/init.d/squid start
　　#/etc/init.d/squid reload  (刷新的时候使用这个命令)
　　针对Proxy的其它操作：
　　1.增加/srv/squid/目录给予2G的容量作为磁盘高速缓存
　　#vim /etc/squid/squid.conf
　　**********************************************************************************
　　添加：
　　cache_dir ufs /srv/squid 2000 16 256
　　**********************************************************************************
　　#mkdir /srv/squid
　　#chmod 750 /srv/squid
　　#chown squid:squid /srv/squid
　　#chcon --reference=/var/spool/squid /srv/squid
　　#/etc/init.d/squid restart
　　默认1G的高速缓存占用10M内存，squid程序本身占用15M内存，配置文件中的“cache_mem”选项指的是在此基础上额外加的内存
　　2.不进行某些网页的缓存操作
　　#vim /etc/squid/squid.conf
　　************************************************************************************
　　acl QUERY      urlpath_regex  cgi-bin \?
　　acl denyphp    urlpath_regex  \.php$
　　cache deny QUERY#拒绝后面的URL被缓存
　　cache deny denyphp#拒绝以php为结尾的网页缓存（php一般为动态网页）
　　************************************************************************************
　　#/etc/init.d/squid reload
　　3.防火墙和SELinux的设置：
　　#iptables -A INPUT -i $EXTIF -p tcp -s 192.168.100.0/24  --dport 3128 -j ACCEPT
　　(防火墙对外网使用Proxy的过滤限制)
　　对于SELinux，配置文件类型是squid_conf_t，缓存目录类型是squid_cache_t,/var/spool/类型是var_t
　　4.上层Proxy与获取数据分流的设定
　　#vim /etc/squid/squid.conf
　　**********************************************************************************************
　　cache_peer  hinet.cetos.vbird  parent    3128  3130  proxy-only no-query no-digest
　　cache_peer_domain hinet.centos.vbird  .cn
　　**********************************************************************************************
　　#/etc/init.d/squid reload
　　语法：
　　cache_peer   [上层Proxy主机名] [Proxy角色] [Proxy Port] [icp port] [参数]
　　参数：
　　proxy-only：向上层请求到的数据不缓存到本地Proxy；
　　wieght=n:   n值越大，表示该Proxy越重要；
　　no-query：  向上层请求数据时，不发送icp数据包；
　　no-digest： 不向附近主机要求建立digest记录表格；
　　no-netdb-exchange:不向附近的Proxy发送ICMP数据包请求。
　　cache_peer_domain [上层Proxy主机名] [要求的域名]
　　5.Proxy+NAT:形成透明代理（Transparent Proxy）
　　1>在对外的防火墙服务器（NAT）上安装Proxy；
　　2>在Proxy上启动transparent功能；
　　#vim /etc/squid/squid.conf
　　****************************************************
　　修改：
　　http_port 3128 transparent
　　****************************************************
　　#/etc/init.d/squid reload
　　3>NAT服务器加上一条port 80转port 3128的规则
　　#iptables -t nat -A PREROUTING -i $EXTIF -s 192.168.0.0/24  -p tcp --dport 80 -j REDIRECT --to-ports 3128
　　6.配置Proxy使代理不使用缓存
　　删除缓存目录后，在配置文件设置缓存目录的地方添加read-only选项即可
　　#/etc/init.d/squid stop
　　#rm -fr /var/spool/squid/*
　　#vim /etc/squid/squid.conf
　　*************************************************************
　　修改：
　　cache_dir ufs /var/spool/squid 100 16 256 read-only
　　cache_mem 0MB
　　*************************************************************
　　/etc/init.d/squid start
　　7.Proxy的认证设置
　　使用squid自带的ncsa_auth认证模块，该模块利用Apache提供的帐号密码建立命令所制作的密码文件作为验证依据
　　配置条件:
　　内部网络192.168.0.0/24使用Proxy时不需要验证
　　外部主机192.168.1.0/24使用Proxy需要验证
　　使用NCSA的基本身份验证方式，且密码文件建立在/etc/squid/squid_user.txt
　　上述仅有一个用户student，密码：westos
　　#rpm -ql squid | grep ncsa
　　#yum install httpd
　　#rpm -ql httpd-tools | grep htpasswd
　　#vim /etc/squid/squid.conf(修改)
　　************************************************************************
　　1.设置验证相关的参数(必须放置文件最前面，否则会报错)
　　auth_param basic program /usr/lib/squid/ncsa_auth  /etc/squid/squid_user.txt #通过ncsa_auth读取squid_user.txt
　　auth_param basic children 5#启动5个程序来管理验证的需求
　　auth_param basic realm Welcom to This!
　　2.针对验证功能放行与否的acl与http_access设置
　　acl jjflan src 192.168.0.0/24
　　acl squid_user proxy_auth REQUIRED#建立一个需要验证的acl名称
　　http_access allow jjflan
　　http_access allow quid_user#对于验证处理放于最后
　　**************************************************************************
　　#htpasswd -c /etc/squid/squid_user.txt student
　　#/etc/init.d/squid restart
　　8.可以配合squid官方给出的末端日志分析工具：SARG分析Proxy的代理情况（监控）
　　#yum install gd -y
　　从网站上下载sarg的rpm包
　　#rpm -ivh sarg-*
　　#vim /etc/sarg/sarg.conf
　　***************************************************************************
　　title "Squid 用户访问报告"#在第49行左右
　　font_size 12px#第69行左右
　　charset UTF-8#第353行左右
　　***************************************************************************
　　#sarg
　　#sarg -d 02/08/2011   #查看2011年8月2号的报表
　　#sh /etc/cron.daily/sarg#制作每天报表
　　通过http访问报表结果
　　http://localhost/sarg即可
　　注：
　　1.代理服务器是用在应用层上的一种防火墙方式，硬盘的性能是决定Proxy性能的关键；
　　2.NAT服务器：伪装、过滤数据包，工作于二、三、四层协议上；Proxy服务器：由服务程序提供代理，工作于应用层部分；
　　3.由于一般Proxy有缓存功能(可以取消该功能),不太适合动态网页；
　　4.squid.conf文件内，权限过滤的设置是有顺序的！！！！
　　5.通常写该配置文件时，先写deny的选项，后写allow的选项。
　　6.用虚拟机做实验时，注意IP地址，否则没效果！