基於Linux閘道伺服器squid配置過程詳解

前言

　　在此，我們要配置一個只對內部網路提供代理服務的 Proxy Server。它具有如下功能它將使用者分為進階使用者和普通使用者兩種，對進階使用者採用網卡物理地址識別的方法，

　　普通使用者則需要輸入使用者名稱和口令才能正常使用。 進階使用者沒有 訪問時間和檔案類型的限制，而普通使用者只在上班時可以訪問以及一些其它的限制。

　　安裝

　　從源中安裝

　　源中內建穩定版本，執行下面的命令進行安裝

　　sudo apt-get install squid squid-common

　　源碼編譯安裝

　　當然你也可以到官方網站下載最新的版本進行編譯安裝：

　　其中 STABLE 穩定版、DEVEL 版通常是提供給開發人員測試程式的，假定下載了最新的穩定版 squid-2.5.STABLE2.tar.gz，用以下命令解開壓縮包：

　　tar xvfz squid-2.5.STABLE.tar.gz

　　用 bz2方式壓縮的包可能體積更小，相應的命令是：

　　tar xvfj squid-2.5.STABLE.tar.bz2

　　然後，進入相應目錄對原始碼進行配置和編譯，命令如下：

　　cd squid-2.5.STABLE2

　　配置命令 configure 有很多選項，如果不清楚可先用“-help”查看。通常情況下，用到的選項有以下幾個：

　　--prefix=/WEB/squid

　　指定 Squid 的安裝位置，如果只指定這一選項，那麼該目錄下會有 bin、sbin、man、conf 等目錄，而主要的設定檔此時在 conf 子目錄中。為便於管理，最好用參數--sysconfdir=/etc把這個檔案位置配置為/etc。

　　--enable-storeio=ufs,null

　　使用的檔案系統通常是預設的 ufs，不過如果想要做一個不緩衝任何檔案的代理服 務器，就需要加上 null 檔案系統。

　　--enable-arp-acl

　　這樣可以在規則設定中直接通過用戶端的 MAC 位址進行管理，防止客戶使用 IP 欺騙。

　　--enable-err-languages="Simplify_Chinese"

　　--enable-default-err-languages="Simplify_Chinese"

　　上面兩個選項告訴 Squid 編入並使用簡體中文錯誤資訊。

　　--enable-Linux-netfilter

　　允許使用 Linux 的透明代理功能。

　　--enable-underscore

　　允許解析的 URL 中出現底線，因為預設情況下 Squid 會認為帶底線的 URL 是 非法的，並拒絕訪問該地址。 整個配置編譯過程如下：

　　./configure --prefix=/var/squid

　　--sysconfdir=/etc

　　--enable-arp-acl

　　--enable-linux-netfilter

　　--enable-pthreads

　　--enable-err-language="Simplify_Chinese"

　　--enable-storeio=ufs,null

　　--enable-default-err-language="Simplify_Chinese"

　　--enable-auth="basic"

　　--enable-baisc-auth-helpers="NCSA"

　　--enable-underscore

　　其中一些選項有特殊作用，將在下面介紹它們。 最後執行下面兩條命令，將原始碼編譯為可執行檔，並拷貝到指定位置。

　　make

　　sudo make install

　　基本配置

　　安裝完成後，接下來要對 Squid 的運行進行配置(不是前面安裝時的配置)。所有項目都在squid.conf 中完成。Squid 內建的 squid.conf 包括非常詳盡的說明，相當於一篇使用者手冊，對配置有任何疑問都可以參照解決。在這個例子中，Proxy 伺服器同時也是網關，內部網路介面 eth0的 IP 位址為192.168.0.1，外部網路接 eth1的 IP 位址為202.103.x.x。下面是一個基本的代理所需要配置選項：

　　http_port 192.168.0.1:3128

　　預設連接埠是3128，當然也可以是任何其它連接埠，只要不與其它服務發生衝突即可。為了安全起見，在前面加上 IP 位址，Squid 就不會監聽外部的網路介面。 下面的配置選項是伺服器管理者的電子郵件，當錯誤發生時，該地址會顯示在錯誤頁面上，便於使用者聯絡：

　　cache_mgr start@soocol.

　　以下這些參數告訴 Squid 緩衝的檔案系統、位置和緩衝策略：

　　cache_dir ufs /var/squid

　　cache_mem 32MB

　　cache_swap_low 90

　　cache_swap_high 95

　　在這裡，Squid 會將/var/squid 目錄作為儲存快取資料的目錄，每次處理的緩衝大小是32MB，當緩衝空間使用達到95%時，新的內容將 取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動。如果不想 Squid 緩衝任何檔案，如某些儲存空間有限的專有系統，可以使用 null 檔案系統(這樣不需要那些緩衝策略)：

　　cache_dir null /tmp

　　下面的幾個關於緩衝的策略配置中，較主要的是第一行，即使用者的訪問記錄，可以通過分析它來瞭解所有使用者訪問的詳盡地址：

　　cache_access_log /var/squid/access.log

　　cache_log /var/squid/cache.log

　　cache_store_log /var/squid/store.log

　　下面這行配置是在較新版本中出現的參數，告訴 Squid 在錯誤頁面中顯示的伺服器名稱：

　　visible_hostname No1.proxy

　　以下配置告訴 Squid 如何處理使用者，對每個請求的 IP 位址作為單獨地址處理：

　　client_netmask 255.255.255.255

　　如果是普通Proxy 伺服器，以上的配置已經足夠。但是很多 Squid 都被用來做透明代理。所謂透明代理，就是用戶端不知道有Proxy 伺服器的存在，當然也不需要進行任何與代理有關的設定，從而大大方便了系統管理員。相關的選項有以下幾個：

　　httpd_accel_host virtual

　　httpd_accel_port 80

　　httpd_accel_with_proxy on

　　httpd_accel_user_host_header on

　　在 Linux 上，可以用 iptables/ipchains 直接將對 WEB 連接埠80的請求直接轉寄到 Squid 連接埠3128，

　　由 Squid 接手，而使用者瀏覽器仍然認為它訪問的是對方的80連接埠。例如以下這條命令：

　　iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

　　就是將192.168.0.200的所有針對80連接埠的訪問重新導向到3128連接埠。

　　所有設定完成後，關鍵且重要的任務是存取控制。Squid 支援的管理方式很多，使用起來也非常簡單(這也是有人寧願使用不做任何緩衝的 Squid， 不願意單獨使用 ipta