使用Squid构建WEB代理服务器

原创

yun5277 2013-08-09 01:06:58 博主文章分类：Linux/Uinux ©著作权

©著作权归作者所有：来自51CTO博客作者yun5277的原创作品，请联系作者获取转载授权，否则将追究法律责任

Squid：俗称代理服务器，由Squid软件包提供服务，在RHEL5的系统上默认是安装好的，只需要开启即可。Squid代理服务器工作在应用层，通过缓存提供服务，主要用于WEB代理。下面介绍一下Squid代理服务器的工作机制。

Squid服务器的工作原理

当客户机通过代理来请求WEB页面时，指定的代理服务器会先检查自己的缓存，如果缓存中已经有客户机需要请求的页面，则直接将缓存中的页面内容反馈给客户机；如果缓存中没有客户机要访问的页面，则由代理服务器向Internet或WEB服务器发送访问请求，当或得返回的WEB页面以后，将页面数据保存到缓存中并发送给客户机。如下图：

代理服务器的基本类型

传统代理：也就是普通的代理服务器，在客户机的浏览器，QQ聊天工具，下载软件等程序中，必须手动设置代理服务器的地址和端口，然后才能使用代理来访问网络。

透明代理：提供与传统代理相同的功能和服务，区别在于：客户机不需要制定代理服务器的地址和端口，而是通过默认路由，防火墙策略将WEB访问重定向，实际仍然交给代理服务器来处理。重定向的过程对客户机来说是“透明”的，用户甚至并不知道自己是在使用代理服务器，所以称“透明代理”。

Squid的配置文件及常见配置项

Squid服务的配置文件位于“/etc/squid/squid.conf”其中包含大量的注释内容，为相关的配置项提供详细的解释说明。

下面解释几个常见的配置项

http_port 3128：主要用来指定Squid监听的地址和端口(默认3128)。

cache_mem 64 MB：指定缓存功能所使用的内存空间大小，便于保持访问较频繁的WEB对象，容量最好为4的倍数，单位为MB，建议设为物理内存的1/4.

maximum_onject_size 4096 KB：允许保存到缓存空间的最大对象大小，以KB为单位，超过大小限制的文件将不被缓存，而是直接转发给用户。

reply_body_max_size 10240000 allow all：允许用户下载的最大文件大小，以字节为单位。默认设置0表示不进行限制。

cache_dir ufs /var/spool/squid 100 16 256：指定缓存数据所使用的目录，容量，子目录个数等相关参数。(ufs:Squid缓存文件的格式，/var/spool/squid:缓存数据默认存放的目录，100:缓存目录分配的空间大小，以MB为单位，16：一级目录数量，即/var/spool/squid目录下有16个一级目录，256:二级，目录数量，即每个一级目录下有256个二级目录)

access_log /var/log/squid/access.log squid：指定代理服务器的日志文件位置及记录格式，以便记录那些用户使用个代理服务器。

visible_hostname localhost.localdomain：指定代理服务器本机的可见主机名，建议使用完整主机名及FQDN的格式。

构建传统Squid代理服务器

配置Squid实现传统代理服务器时，需要注意两个地方：其一、设置好可见的主机名，其二、将默认的http_access deny all改为http_access allow all，默认deny all只允许给本机使用代理服务器，这里设置allow all表示允许所有客户机都可以使用Squid代理服务器。如果需要限制用户下载的文件大小还需要修改reply_body_max_size项。修改如下：

[root@localhost /]#vim /etc/suqid/squid.conf

reply_body_max_size 10240000 allow all //允许下载最大文件为10MB

http_access allow all

......//省略部分内容

现在主需要启动Squid服务，然后再客户端浏览器中指定Squid服务器的地址和端口即可使用代理服务器了。

[root@localhost /]#service suqid start

构建透明Squid代理服务器

透明代理提供的功能与传统代理是一致的，但是其“透明”的实现依赖于默认路由和防火墙的重定向策略，因此更适用于为局域网提供代理服务，而不不适合为Internet中的客户机提供服务。

透明代理一般是配置在Linux网关服务器上的，在Linux网关服务器上配置好Squid服务后，客户机只需要配置好自己的网关和IP地址即可使用代理服务器，而不需要手动指定。

在Linux网关上配置Squid服务操作如下：

1、配置Squid支持透明代理

Squid服务的默认配置并不支持透明代理，因此需要调整相关设置，需要在http_port配置行后面加上“transparent”(透明)选项，就可以支持透明代理了。

[root@localhost /]#vim /etc/suqid/squid.conf

http_port 192.168.1.254:3128 transparent

......//省略部分内容

[root@localhost /]#service suqid reload

2、设置iptables的重定向策略

透明代理中Squid服务实际上是构建在Linux网关主机上的，因此只需要正确设置防火墙策略，就可以将局域网主机访问Internet的数据包转交给Squid进行处理。这需要用到iptables的“REDIRECT”(重定向)策略，其作用是实现本机端口的重新定向，将访问网站协议HHTP、HHTPS的外发数据包转交本机的squid服务(3128端口)。

REDIRECT 也是一种数据包控制类型，只能在nat表的PREROUTING或OUTPUT链使用，通过“--to-ports 端口号”的形式来指定映射的目标端口。

本列中可以将来自局域网段192.168.1.0/24并且访问HTTP、HTTPS协议的数据包，转交给运行在本机3128端口上的Squid服务器处理。

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 445 -j REDIRECT --to-ports 3128

此时Squid服务已经配置好了，现在只需要在客户端指定正确的网关即可使用代理服务器了。

Squid代理控制机制(ACL)

Squid提供了强大的代理控制机制，通过合理设置ACL并进行限制，可以针对源地址，目标地址，访问的URL路径，访问的时间等各种条件进行过滤。

在配置文件squid.conf中，ACL访问控制通过一下两个步骤来实现：其一、使用acl配置项定义需要控制的条件，即定义acl列表；其二、通过http_access配置项对已定义的列表做“允许”或“拒绝”访问的控制。

1、定义acl列表

每一行acl配置可以定义一条访问控制列表，格式如下；

acl 列表名称列表类型列表内容...

列表名称：有管理员自行制定，用来识别控制条件。

类表类型：必须使用Squid预定义的值，对应不同类表的控制条件。

列表内容：值定控制的具体对象，不同类型的列表所对应的内容也不一样，可以有多个值，以空格隔开，也可以为文件，即将很多个值放在一个文件中。

定义acl列表时，关键在于选择“列表类型”并设置具体的条件对象。Squid预定义的列表类型有很多种，常用的包括源地址，目标地址，访问时间，访问端口。如下表所示：

列表类型	列表内容示例	含义/用途
src	192.168.1.168 192.168.1.0/24 192.168.1.0-192.168.3.0/24	源IP地址、网段、IP地址范围
dst	216.168.137.3 61.138.167.0/24 www.cshbk.com	目标IP地址、网段、主机名
port	80 443 20 21	目标端口
dstdomain	.qq.com .msn.com	目标域，匹配域内所有站点
time	MTWHFAS 8:30-17:30	使用代理的时间周一至周日早8:30至晚17:30
maxconn	20	每个客户机的并发连接
url_regex	url_regex -i ^rtsp:// url_regex -i ^emule://	目标资源的URL地址，-i表示忽略大小写
urlpath_regex	urlpath_regex -i sex adult urlpath_regex -i \.mp3$	目标资源的整个URL路径，-i表示忽略大小写