CentOS7上squid的部署及两种模式(4.1版本)

简介

  1. squid是什么?

Squid是一种用来缓冲Internet数据的软件。它接受来自人们需要下载的目标(object)的请求并适当地处理这些请求。也就是说,如果一个人想下载一web页面,他请求Squid为他取得这个页面。Squid随之连接到远程服务器(比如:http://squid.nlanr.net/)并向这个页面发出请求。然后,Squid显式地聚集数据到客户端机器,而且同时复制一份。当下一次有人需要同一页面时,Squid可以简单地从磁盘中读到它,那样数据迅即就会传输到客户机上。当前的Squid可以处理HTTP,FTP,GOPHER,SSL和WAIS等协议。但它不能处理如POP,NNTP,RealAudio以及其它类型的东西

  1. Internet缓冲的一些概念

你可能会想到一些问题:缓冲有多大的用处?什么时候目标(object)应该或者不应该被缓冲?例如,缓冲信用卡号码是完全不适合的,脚本文件的执行结果在远程服务器端,站点经常更新(像www.cnn.com)或者甚至站点不允许缓冲,这些情况也都是不适合缓冲的。Squid处理各种情况是不错的(当然,这需要远程站点按标准形式工作)。可执行的cgi-bin脚本文件不被缓冲,返回正确页眉的页面是在一段限制了的时间内被缓冲,而且你可以规定特殊的规则以确定什么是可以或不可以被缓冲的,还有缓冲的时间为多长。谈到缓冲的用处有多大,这要看Internet的容量大小,各有不同。对于小型的缓冲区(几转磁盘空间)来说,返回值非常高(达到25%)。这个空间缓冲经常访问的站点,如netscape,cnn和其它一些类似情况的站点。如果你增加一倍缓冲的磁盘空间,但你不会成倍增加你的命中率。这是因为你开始缓冲网络中剩余部分时,这些通常时很大的而且很少被访问。一个非常大的高速缓冲区,有20转左右,可能返回值仍小于50%,除非你对保存数据的时间长短经常改变(一般地你不要分配20转的磁盘空间,因为页面很快就会过时,应该被删除掉)。我们在这里说的目标(object)指的是可保存的web页面或其它类似的可下载页面(ftp文件或目录内容也称为目标(object))。

3.Squid的下载和获取

squid在诸多unix like系统上都有软件库的提供,比如在ubuntu可以使用apt install squid进行安装,也可以到squid的官网直接下载二进制的编译好的软件包, 下载地址

代理的基本类型

  • 传统代理

也就是普通的代理服务,,必须在客户端的浏览器、QQ聊天工具、下载软件等程序中手动设置代理服务器的地址和端口,然后才能使用代理服务来访问网络。对于网页浏览器,访问网站时的域名解析请求也会发送给指定的代理服务器。

  • 透明代理

提供与传统代理相同的功能和服务,其区别在于客户机不需要指定代理服务器的地址和端口,而是通过默认路由、防火墙策略将web访问重定向,实际上仍然交给代理服务器来处理。重定向的过程对于客户机来说是“透明”的,用户甚至并不知道自己在使用代理服务,所以称为“透明代理”。

安装部署(基于CentOS7部署squid4.1版本)

  • 实验准备

CentOS7虚拟机、squid-4.1.tar.gz软件包

  • 实验部署
  1. 解压源码包

tar zxvf squid-4.1.tar.gz -C /opt

  1. 进行配置
./configure \ 

--prefix=/usr/local/squid \         #安装目录

-- sysconfdir =/etc \          #单独将配置文件修改到其他目录

--enable-arp-acl \             #可以在规则中设置为直接通过客户端MAC进行管理,防止客户端使用IP欺骗

--enable-linux-netfilter \     #使用内核过滤

--enable-linux-tproxy \       #支持透明模式

--enable-async-io=100 \      #异步I/O,提升存储性能,相当于 --enable-pthreads   --enable-storeio=ufs,aufs

--enable-err-language="Simplify_Chinese" \         #错误信息的显示语言

--enable-underscore \     #允许URL中有下划线

--enable-poll \     #使用Poll()模式,提升性能

--enable-gnuregex        #使用GUN正则表达式
  1. 编译安装

make && make install

  1. 创建链接文件、用户和组

ln -s /usr/local/squid/sbin/* /usr/local/sbin/

useradd -M -s /sbin/nologin squid

chown -R squid.squid /usr/local/squid/var/

  1. 修改squid配置文件
    vim /etc/squid.conf
。。。省略
http_port 3128
cache_effective_user squid        #添加   指定程序用户
cache_effective_group squid       #添加   指定账号基本组

CentOS7上squid的部署及两种模式(4.1版本)

  1. 初始化缓存目录、启动服务

squid -z #初始化缓存目录

squid #启动服务

CentOS7上squid的部署及两种模式(4.1版本)

  1. 创建服务启动脚本

vim /etc/init.d/squid

#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"

case "$1" in
   start)
     netstat -natp | grep squid &> /dev/null
     if [ $? -eq 0 ]
     then
       echo "squid is running"
       else
       echo "正在启动 squid..."
       $CMD
     fi
   ;;
   stop)
     $CMD -k shutdown &> /dev/null     #这里可以仔细看下
     rm -rf $PID &> /dev/null
   ;;
   status)
     [ -f $PID ] &> /dev/null
        if [ $? -eq 0 ]
          then
            netstat -natp | grep squid
          else
            echo "squid is not running"
        fi
   ;;
   restart)
      $0 stop &> /dev/null
      echo "正在关闭 squid..."
         $0 start &> /dev/null
      echo "正在启动 squid..."
   ;;
   reload)
      $CMD -k reconfigure
   ;;
   check)
      $CMD -k parse
   ;;
   *)
      echo "用法:$0{start|stop|status|reload|check|restart}"
   ;;
esac

chmod +x /etc/init.d/squid       #给与执行权限
chkconfig --add squid         
chkconfig --level 35 squid on     #加入开机自启动并且在3、5模式下开机自启动

测试下服务启动脚本

CentOS7上squid的部署及两种模式(4.1版本)

  • 构建传统代理服务

主机 IP地址 主要服务
CentOS7-1 172.16.10.129 http服务
CentOS7-2 172.16.10.128 squid服务
windows7 172.16.10.131 客户机

CentOS7上squid的部署及两种模式(4.1版本)

CentOS7上squid的部署及两种模式(4.1版本)

vim /etc/squid.conf

# And finally deny all other access to this proxy
http_access allow all     #添加 允许任意客户机使用代理服务
http_access deny all

# Squid normally listens to port 3128
http_port 3128
cache_mem 64 MB   #指定缓存功能所使用的内存空间大小,便于保持访问较频繁的WEB对象,容量最好为4的倍数,单位为MB,建议设为物理内存的1/4
reply_body_max_size 10 MB   #允许用户下载的最大文件大小,以字节为单位。默认设置0表示不进行限制
maximum_object_size 4096 KB    #允许保存到缓存空间的最大对象大小,以KB为单位,超过大小限制的文件将不被缓存,而是直接转发给用户
cache_effective_user squid        #添加   指定程序用户
cache_effective_group squid       #添加   指定账号基本组
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256
  • 清空防火墙以前的策略及SELinux,添加防火墙策略并且重启服务

iptables -F #清空防火墙策略

setenforce 0 #关闭SELinux

iptables -I INPUT -p tcp --dport 3128 -j ACCEPT #允许访问3218端口的tcp数据包通过

  • 重启服务器

service squid restart

  • web服务器关闭防火墙并且开启服务

systemctl stop firewalld.service

setenforce 0

systemctl start httpd #开启web服务

CentOS7上squid的部署及两种模式(4.1版本)

  • client端浏览器设置代理

CentOS7上squid的部署及两种模式(4.1版本)

CentOS7上squid的部署及两种模式(4.1版本)

  • 查看web服务器的访问日志

CentOS7上squid的部署及两种模式(4.1版本)

  • 构建透明模式

首先代理服务器要配置双网卡,

其中ens33为内网网关192.168.100.1;

ens36为外网网关12.0.0.1;

web服务器 12.0.0.12

client客户端 192.168.100.50

CentOS7上squid的部署及两种模式(4.1版本)

  • 设置路由转发,清空防火墙策略
echo "1" > /proc/sys/net/ipv4/ip_forward     #开启路由转发
iptables -F       #清空防火墙策略
iptables -t nat -F   
  • 修改squid配置文件

CentOS7上squid的部署及两种模式(4.1版本)

#这边解释一下,可能有人会问不应该是3128端口么,其实不是,因为我使用squid4.1版本做的,有些东西和3.4版本可能会不同,如果设置3128端口,squid服务会无法开启的,因为3128端口在被占用。

  • 重启squid代理服务

    service squid stop

    service squid start

    netstat -ntap | grep squid

    tcp 0 0 192.168.100.1:3129 0.0.0.0: LISTEN 57899/(squid-1)
    tcp6 0 0 :::3128 :::
    LISTEN 57899/(squid-1)

    这里可以看到我们设置的3129端口已经启动了

  • 访问验证

CentOS7上squid的部署及两种模式(4.1版本)

  • 查看web服务器的访问日志

CentOS7上squid的部署及两种模式(4.1版本)

这样透明代理就完成了

#注:squid4.1和squid3.4版本配置还是有些不同的,希望能帮助到各位