使用Squid构建WEB代理服务器

Squid：俗称代理服务器，由Squid软件包提供服务，在RHEL5的系统上默认是安装好的，只需要开启即可。Squid代理服务器工作在应用层，通过缓存提供服务，主要用于WEB代理。下面介绍一下Squid代理服务器的工作机制。

Squid服务器的工作原理

   当客户机通过代理来请求WEB页面时，指定的代理服务器会先检查自己的缓存，如果缓存中已经有客户机需要请求的页面，则直接将缓存中的页面内容反馈给客户机；如果缓存中没有客户机要访问的页面，则由代理服务器向Internet或WEB服务器发送访问请求，当或得返回的WEB页面以后，将页面数据保存到缓存中并发送给客户机。如下图：

代理服务器的基本类型

传统代理：也就是普通的代理服务器，在客户机的浏览器，QQ聊天工具，下载软件等程序中，必须手动设置代理服务器的地址和端口，然后才能使用代理来访问网络。

透明代理：提供与传统代理相同的功能和服务，区别在于：客户机不需要制定代理服务器的地址和端口，而是通过默认路由，防火墙策略将WEB访问重定向，实际仍然交给代理服务器来处理。重定向的过程对客户机来说是“透明”的，用户甚至并不知道自己是在使用代理服务器，所以称“透明代理”。

Squid的配置文件及常见配置项

  Squid服务的配置文件位于“/etc/squid/squid.conf”其中包含大量的注释内容，为相关的配置项提供详细的解释说明。

下面解释几个常见的配置项

http_port 3128：主要用来指定Squid监听的地址和端口(默认3128)。

cache_mem 64 MB：指定缓存功能所使用的内存空间大小，便于保持访问较频繁的WEB对象，容量最好为4的倍数，单位为MB，建议设为物理内存的1/4.

maximum_onject_size 4096 KB：允许保存到缓存空间的最大对象大小，以KB为单位，超过大小限制的文件将不被缓存，而是直接转发给用户。

reply_body_max_size 10240000 allow all：允许用户下载的最大文件大小，以字节为单位。默认设置0表示不进行限制。

cache_dir ufs /var/spool/squid 100 16 256：指定缓存数据所使用的目录，容量，子目录个数等相关参数。(ufs:Squid缓存文件的格式，/var/spool/squid:缓存数据默认存放的目录，100:缓存目录分配的空间大小，以MB为单位，16：一级目录数量，即/var/spool/squid目录下有16个一级目录，256:二级，目录数量，即每个一级目录下有256个二级目录)

access_log /var/log/squid/access.log squid：指定代理服务器的日志文件位置及记录格式，以便记录那些用户使用个代理服务器。

visible_hostname localhost.localdomain：指定代理服务器本机的可见主机名，建议使用完整主机名及FQDN的格式。

构建传统Squid代理服务器

   配置Squid实现传统代理服务器时，需要注意两个地方：其一、设置好可见的主机名，其二、将默认的http_access deny all改为http_access allow all，默认deny all只允许给本机使用代理服务器，这里设置allow all表示允许所有客户机都可以使用Squid代理服务器。如果需要限制用户下载的文件大小还需要修改reply_body_max_size项。修改如下：

[root@localhost /]#vim /etc/suqid/squid.conf

reply_body_max_size 10240000 allow all   //允许下载最大文件为10MB

http_access allow all

......//省略部分内容

现在主需要启动Squid服务，然后再客户端浏览器中指定Squid服务器的地址和端口即可使用代理服务器了。

[root@localhost /]#service suqid start

构建透明Squid代理服务器

   透明代理提供的功能与传统代理是一致的，但是其“透明”的实现依赖于默认路由和防火墙的重定向策略，因此更适用于为局域网提供代理服务，而不不适合为Internet中的客户机提供服务。

透明代理一般是配置在Linux网关服务器上的，在Linux网关服务器上配置好Squid服务后，客户机只需要配置好自己的网关和IP地址即可使用代理服务器，而不需要手动指定。

在Linux网关上配置Squid服务操作如下：

1、配置Squid支持透明代理

   Squid服务的默认配置并不支持透明代理，因此需要调整相关设置，需要在http_port配置行后面加上“transparent”(透明)选项，就可以支持透明代理了。

[root@localhost /]#vim /etc/suqid/squid.conf

http_port 192.168.1.254:3128 transparent

......//省略部分内容

[root@localhost /]#service suqid reload

2、设置iptables的重定向策略

   透明代理中Squid服务实际上是构建在Linux网关主机上的，因此只需要正确设置防火墙策略，就可以将局域网主机访问Internet的数据包转交给Squid进行处理。这需要用到iptables的“REDIRECT”(重定向)策略，其作用是实现本机端口的重新定向，将访问网站协议HHTP、HHTPS的外发数据包转交本机的squid服务(3128端口)。

REDIRECT 也是一种数据包控制类型，只能在nat表的PREROUTING或OUTPUT链使用，通过“--to-ports 端口号”的形式来指定映射的目标端口。

本列中可以将来自局域网段192.168.1.0/24并且访问HTTP、HTTPS协议的数据包，转交给运行在本机3128端口上的Squid服务器处理。

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

[root@localhost /]#iptables -t nat -A PREROUTOING -i eth1 -s 192.168.1.0/24 -p tcp --dport 445 -j REDIRECT --to-ports 3128

此时Squid服务已经配置好了，现在只需要在客户端指定正确的网关即可使用代理服务器了。

Squid代理控制机制(ACL)

   Squid提供了强大的代理控制机制，通过合理设置ACL并进行限制，可以针对源地址，目标地址，访问的URL路径，访问的时间等各种条件进行过滤。

   在配置文件squid.conf中，ACL访问控制通过一下两个步骤来实现：其一、使用acl配置项定义需要控制的条件，即定义acl列表；其二、通过http_access配置项对已定义的列表做“允许”或“拒绝”访问的控制。

1、定义acl列表

每一行acl配置可以定义一条访问控制列表，格式如下；

acl    列表名称    列表类型    列表内容...

列表名称：有管理员自行制定，用来识别控制条件。

类表类型：必须使用Squid预定义的值，对应不同类表的控制条件。

列表内容：值定控制的具体对象，不同类型的列表所对应的内容也不一样，可以有多个值，以空格隔开，也可以为文件，即将很多个值放在一个文件中。

定义acl列表时，关键在于选择“列表类型”并设置具体的条件对象。Squid预定义的列表类型有很多种，常用的包括源地址，目标地址，访问时间，访问端口。如下表所示：

列表类型列表内容示例含义/用途src

192.168.1.168

192.168.1.0/24

192.168.1.0-192.168.3.0/24

源IP地址、网段、IP地址范围dst

216.168.137.3

61.138.167.0/24

www.cshbk.com

目标IP地址、网段、主机名port80 443 20 21目标端口dstdomain.qq.com .msn.com目标域，匹配域内所有站点timeMTWHFAS 8:30-17:30使用代理的时间周一至周日早8:30至晚17:30maxconn20每个客户机的并发连接url_regex

url_regex -i ^rtsp://

url_regex -i ^emule://

目标资源的URL地址，-i表示忽略大小写urlpath_regex

urlpath_regex -i sex adult

urlpath_regex -i \.mp3$

目标资源的整个URL路径，-i表示忽略大小写

在定义访问控制列表时，应结合当前网络环境正确分析用户的访问需求，准确定义使用代理服务的控制条件。例如：针对不同的客户机地址，需要限制访问目标网站，特定的时间段，分别定义的列表。

[root@localhost /]#vim /etc/suqid/squid.conf

......//省略部分内容

acl MYLAN src 192.168.10.0/24             //源地址网段    

acl MC20 maxconn 20                       //最大并发连接

acl DOMAIN dstdomain .qq.com .msn.com     //目标为.qq.com .msn.com的域名

acl FILE urlpath_regex -i \.mp3$ \.mp4$   //以.mp3 .mp4结尾的URL路径

acl TIME time MTWHF 08:30-17:30           //时间为周一至周五早8:30至晚17:30

2、设置acl访问权限

   定义好各种访问控制列表以后，需要使用http_access配置项来 控制。注意：http_access配置项必须放在acl列表之后，而且每一行http_access配置至少有一条访问控制规则。格式如下：

http_access    allow或dent    acl列表名

   每一条http_access规则中，可以同时包含多个acl列表名，各个表之间以空格分隔，为“与”关系，表示足所有acl列表时对应的条件才会生效。需要使用取反时，可以在acl列表名前加上“！”号。

[root@localhost /]#vim /etc/suqid/squid.conf

......//省略部分内容

http_access deny MYLAN FILE         //禁止客户机下载MP3 MP4文件

http_access deny MYLAN DOMAIN       //禁止客户机访问acl列表中的网站

http_access deny MYLAN MC20         //客户机的并发连接超过20时将被阻止

http_access allow MYLAN TIME        //允许客户机在工作时间访问互联网

http_access deny all                //默认禁止所有主机

   执行访问控制时，Squid将按照各条规则的顺序依次进行检查，如果匹配则停止向后检查，所以我们一般将默认策略设为拒绝，并放在最后。还需要注意的是将常用的规则放在前面，这样可以减少Squid的负载。

本文出自 “邓奇的Blog” 博客，请务必保留此出处http://dengqi.blog.51cto.com/5685776/1267103