Linux下的Proxy 伺服器設定

前言：
本文主要介紹了在linux使用squid和squidGuard配置Proxy 伺服器，以www代理服務為例介紹如何過濾有害網站和限制使用者對internet的訪問。

一.介紹
Squid是Linux下最為流行的Proxy 伺服器軟體，它功能強大，支援對HTTP，FTP，Gopher，SSL和WAIS等協議的代理；設定簡單，只需對設定檔中稍稍改動就可使Proxy 伺服器運轉起來。而且Squid具有頁面緩衝功能，它接收使用者的下載申請，並自動處理所下載的資料。也就是說，當一個使用者象要下載一個首頁時，它向Squid發出一個申請，要Squid替它下載，然後Squid串連所申請網站並請求該首頁，接著把該首頁傳給使用者同時保留一個備份，當別的使用者申請同樣的頁面時，Squid把儲存的備份立即傳給使用者，使使用者覺得速度相當快。
squidGuard則是作為squid的輔助軟體，完成過濾、重新導向和存取控制的功能。它是一個自由軟體，功能強，便於安裝、易於配置、而且處理速度快。功能主要包括：根據web伺服器或URLs列表限制一些使用者的訪問；阻塞某些使用者對黑名單上的web伺服器和URLs的訪問；阻塞某些使用者對Regex匹配的URLs的訪問；在URL路徑加強了使用網域名稱訪問而禁止用IP訪問；重新導向阻塞的URLs到一個智能CGI的資訊頁；重新導向非授權使用者到一個註冊頁面；具有基於日期、每周、每天具體時間的訪問規則；對不同使用者組有不同的規則。但是不能過濾、檢查文檔中的文本以及HTML中的JavaScript或Vbscript指令碼語言。

二.安裝
1。安裝squid：
從www.squid-cache.org下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src下。
在編譯Squid之前，建立一個專門運行Squid的使用者和組，這裡建立了名為squid的組和使用者，使用者目錄設為/usr/local/squid
#su squid
$cd /usr/local/squid/src
$tar xvzf squid-2.4.STABLE2-src.tar.gz
$ cd squid-2.4.STABLE2
$./configure
$make
$make install
(預設安裝到/usr/local/squid目錄下)

2。安裝Berkeley DB 2.x:
從http://www.sleepycat.com 下載db-2.7.7.tar.gz並存在/usr/local/squidGuard/src/目錄下
$su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install
(預設安裝到/usr/local/BerkeleyDB目錄下)
注意：squidＧuard不支援Berkeley DB 3.x版本

3。安裝squidGuard
從http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下載軟體包並存於本地/usr/local/squidGuard/src/
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
--with-sg-logdir=/usr/local/squidGuard/logs
--with-sg-dbhome=/usr/local/squidGuard/db
#make
#make test//測試ok，即可進行下一步安裝
#make install

三.配置
1．配置squid：
修改squid的設定檔/usr/local/squid/etc/squid.conf：
http_port 8080
#squid的代理連接埠，使用1024以下的連接埠，squid必須以root身份運行
http_access allow all
#允許所有的使用者通過代理進行http訪問
redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#squid啟用squidGuard進行過濾和轉寄
其它參數：
cache_mem：設定代理服務使用的記憶體大小，一般推薦為實體記憶體的三分之一
cache_dir：指定cache目錄的路徑，預設為/usr/local/squid/cache。
maximum_object_size： 指定Squid可以接收的最大對象的大小。Squid預設值為4M，可以根據自己的需要進行設定。
cache_dir：設定緩衝的位置、大小。一般格式如下：
cache_dir /usr/local/squid/cache 100 16 256
/usr/local/squid/cache代表緩衝的位置；100代表緩衝最大為100M；16和256代表一級和二級目錄數。
cache_effective_user：設定使用緩衝的有效使用者。預設為使用者nobody，如果系統中沒有使用者nobody，最好建一個或以非root使用者運行Squid。這裡是以squid身份啟動並執行
cache_effective_group：設定使用緩衝的有效使用者組。預設組為nogroup，如果系統中沒有組nogroup，最好建一個組。這裡是squid組。
(其餘參數用預設值即可！)

2．配置squidGuard:
修改squidＧuard的設定檔/usr/local/squidGuard/squidGuard.conf檔案：

logdir /usr/local/squidGuard/logs #日誌目錄定義
dbhome /usr/local/squidGuard/db #db目錄定義

time testtime {#時間規則定義
weekly mtwhf 05:00 - 10:30
weekly as08:00 - 19:00
date *-*-01 08:00 - 16:30
date 2001.10.01 - 2001.10.09
}

src admin { #源組定義
ip 192.168.100.18
}

src client{
ip 192.168.100.20 192.168.100.21 192.168.100.22
ip 192.168.200.0/24
}

dest porn {#目標組定義
domainlist porn/domains
urllistporn/urls
expressionlist porn/expressions
}

acl { #訪問規則定義
admin within testtime {
pass !porn all
} else {
pass all
}

client {
pass !in-addr !porn all
}

default {
pass none
redirect http://admin.foo.com
（＃也可以重新導向到一個含有一些資訊的cgi頁面，如下：
http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u）
}
}

# vi db/porn/domains
（域列表檔案：主要是阻塞一些定義的網站）
co.za
sex.com
（如上，可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com，但是不同於.*[^.]sex.com，不匹配ssex.com）

# vi db/porn/urls
（url列表檔案，主要是阻塞一些網站及其一些欄目）
qihui.com/sex
valen.sohu.com/album
(如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等)

# vi db/porn/expressions
(運算式列表檔案，主要是阻塞一些與運算式匹配的URL訪問)
(^|[\?+=/])(.*)(girl)(.*)([\?+=/]|$)
（上面的Regex可以阻塞URL中包括girl網站的訪問，如：www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等 ）

注意：squidGuard對設定檔的文法要求很嚴，如果設定檔文法有誤，squidGuard仍能運行，但是squidGuard已進入應急模式，此時代理服務不具有任何阻塞作用，所有通過該代理的訪問都可通過，可以查看logs/squidGuard的記錄檔，即可發現錯誤，例如：
2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
2001-12-20 17:08:44 [2430] going into emergency mode
…….
其中設定檔第8行有誤，squidＧuard進入應急模式。
配置的具體說明詳見http://www.squidguard.org/

四.運行：
$ chmod 777 /usr/local/squid/logs
（設定logs對所有使用者為可寫。這樣，不特定的squid代理客戶才能正常訪問Proxy 伺服器，並能在logs目錄、產生access.log、cache.log等檔案。）
$ /usr/local/squid/bin/squid -z
(手工建立squid的緩衝目錄/usr/local/squid/cache。)
#/usr/local/squid/bin/squid
(後台執行squid。如果想前台執行squid：如果你想前台執行Squid執行命令：
$/usr/local/squid/bin/squid -NCd1
該命令正式啟動Squid。如果一切正常，你會看到一行輸出:
Ready to serve requests)
# ps ax|grep squid
20198 ?S0:00 /usr/local/squid/bin/squid
20200 ?S0:27 (squid)
20310 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20311 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20312 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20313 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20314 ?S0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
（此時squidGuard也已啟用，每次修改配置後squid -k reconfigure重新起用即可，要殺掉squid執行squid -k kill）
查看squidGuard記錄檔：
init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls
2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions
2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022)
2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds
2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)
表示squidGuard已正常啟動

五.測試：
配置用戶端，然後測試代理程式服務：
在另一台win2k上，（以Internet Explore5.0為例）運行IE，單擊"工具"，接著單擊"Internet選項"，再單擊"串連"選項卡，單擊"區域網路設定"；在"區域網路設定"視窗中，在"地址"處填上squid伺服器的IP地址192.168.100.16，在"連接埠"處填上"8080"（修改後squid代理使用的連接埠號碼，也就是squid.conf中的http_port，預設值為3128），確定後退出。
接下來，先把IP改成192.168.100.20，瀏覽一些網站，如sohu，163等，然後再試試domains和urls中定義的，如hack.co.za、qihui.com/sex，會發現首頁被重新導向到http://admin.foo.com。然後再試試瀏覽有關girl的網站，去不了了：（；在sohu中搜girl也被重新導向了；用IP試試（有些代理程式對ＩＰ不做限制，用ＩＰ可以繞過代理的限制訪問一些禁止的網站），可惜不行！（因為squidＧuard設定檔中使用了！in_addr，所以可以強迫使用者使用網域名稱訪問而不能使用ip訪問）
再下來，把IP改成192.168.100.18，然後時間改為testtime外的時間，瀏覽網頁，試試結果，然後再將時間改為testtime內瀏覽網頁！
最後，把IP改成192.168.100.30，瀏覽網頁測試。
（可以查看logs下的access.log和cache.log，看看是否代理運行正常以及訪問的網站記錄）

總結：
由上可見，用squid和squidＧuard建立的Proxy 伺服器，配置比較簡單，而且功能強大，可以有效限制一些使用者對internet的訪問並過濾一些黑名單列出的網站（如色情網站等）。
這裡只簡單的介紹了關於http代理的例子，其它的應用和功能大家可以自己試試。

（出處：viphot）