環境:一臺單網卡服務器 ,Centos6.8 serverSystem,squid-3.1.23-16.el6_8.6.x86_64
代理服務功能:
代理服務器是目前網絡中常見的服務器之一,它可以提供文件緩存、複製和地址過濾等服務,充分利用有限的出口帶寬,加快內部主機的訪問速度,也可以解決多用戶需要同時訪問外網但公有IP地址不足的問題。同時可以作爲一個防火牆,隔離內網與外網,並且能提供監控網絡和記錄傳輸信息的功能,加強局域網的安全性等。它的主要作用有以下幾點。
1.共享網絡
2.加快訪問速度,節約通信帶寬
3.防止內部主機受到***
4.限制用戶訪問,完善網絡管理
1.安裝有三種方式如下:
rpm -ivh squid-3.1.23-16.el6_8.6.x86_64.rpm
yum install squid
tar -zxvf squid-3.1.23-16.el6_8.6.x86_64.gz
#個人選擇yum 源安裝方式,配置路徑較熟悉,軟件版本較新
2.squid配置文件:
[root@localhost ~]# cat /etc/squid/squid.conf
http_port 3128 transparent # squid 3.1開啓透明代理方式
#備註,如果是squid2.6之前版本,開啓透明代理方式下四句配置代碼
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_user_host_header on
cache_mem 1 GB
fqdncache_size 1024
cache_swap_low 90
cache_swap_high 95
error_directory /usr/share/squid/errors/Simplify_Chinese
maximum_object_size 4096 KB
maximum_object_size_in_memory 8 MB
memory_replacement_policy heap LFUDA
cache_replacement_policy heap LFUDA
cache_dir ufs /var/spool/squid 20480 16 256
max_open_disk_fds 0
maximum_object_size 30 MB
minimum_object_size 1 KB
ipcache_size 2M
cache_effective_user squid
cache_effective_group squid
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log on
refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload #更新cache規則
icp_port 0
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
visible_hostname 192.168.100.254
dns_nameservers 114.114.114.114
dns_nameservers 192.168.100.254
dns_nameservers 210.22.84.3
dns_nameservers 202.96.209.133
cache_mgr [email protected]:150xxxxxxx6
hierarchy_stoplist cgi-bin n ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
acl coach urlpath_regex coach
no_cache deny coach
acl SSL_ports port 443 8080 9525 9510 5222 21 88
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 8080
acl Safe_ports port 9525 9510 5222
acl Safe_ports port 8888
acl CONNECT method CONNECT
acl OverConnLimit maxconn 30
http_access deny OverConnLimit
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl clientip1 src 192.168.100.100 # 僅允許ip 192.168.1.130 不受限制
http_access allow clientip1
acl OverConnLimit maxconn 4
http_access deny OverConnLimit
acl baddomain2 url_regex -i xunlei
http_access deny baddomain2
acl baddomainurl2 url_regex -i letao game.qq.com ztgame
http_access deny baddomainurl2
acl baddomainurl3 url_regex -i kaixin kankan kugou
http_access deny baddomainurl3
acl baddomainurl5 urlpath_regex -i \.co$ \.bak$ \.grp$ \.mp3$ \.avi$ \.rmvb$ \.wma$ \.vob$ \.mkv$ \.mp4$ \.mpe$ \.wmv$ \.rar$ #這裏禁用了部分遊戲更新庫文件
http_access deny baddomainurl5
acl baddomainurl6 url_regex -i dl_dir.qq.com youku.com tudou.com 56.com ztgame.net ztgamail.com
http_access deny baddomainurl6
acl xunlei1 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.1\)$
acl xunlei2 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.0\)$
acl xunlei3 browser ^Mozilla/5\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.0\)$
acl xunlei4 browser ^Mozilla/4\.0\s\(compatible;\sMSIE\s6\.0;Windows\sNT\s5\.1;\s\)$
acl xunlei5 browser ^Mozilla/4.0\s\(compatible;\sMSIE\s6.0;\sWindows\sNT\s5.1;\sSV1;\s\.NETCLR\s1\.1\.4322;\s\.NET\sLR\s2\.0\.50727\)$
http_access deny xunlei1
http_access deny xunlei2
http_access deny xunlei3
http_access deny xunlei4
http_access deny xunlei5
#acl baddomainurl7 url_regex -i qilooo
#http_access deny baddomainurl7
#acl baddomainurl8 url_regex -i kxnc
#http_access deny baddomainurl8
#acl baddomainurl9 url_regex -i vercd.com
#http_access deny baddomainurl9
acl baddomainurl10 url_regex -i m18
http_access deny baddomainurl10
acl baddomainurl11 url_regex -i mkv kugou
http_access deny baddomainurl11
acl baddomainurl12 url_regex -i mp3 avi wma rmvb video movie startgame
http_access deny baddomainurl12
acl baddomainurl13 url_regex -i 51.com kaixin.com pps.tv youku.com pptv.com iqyi.com
http_access deny baddomainurl13
acl badurl url_regex -i sex
http_access deny badurl
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
acl all src 0.0.0.0/0.0.0.0
http_access allow all
# 以上配置是個人公司需求的文本配置,可以根據需求自己修改配置文件即可
2.開啓路由功能
方法1,# echo "1" > /proc/sys/net/ipv4/ip_forward
方法2,# vim /etc/sysctl.conf
net.ipv4.ipforward = 1
3. iptables 設置:
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#轉換網絡端口
For cat setupfiles:
[root@localhost squid]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Feb 8 23:35:27 2012
*nat
:PREROUTING ACCEPT [23:6405]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Feb 8 23:35:27 2012
# Generated by iptables-save v1.3.5 on Wed Feb 8 23:35:27 2012
*filter
:INPUT ACCEPT [296:41176]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [167:20040]
COMMIT
# Completed on Wed Feb 8 23:35:27 2012
4.配置squid透明代理注意事項
一般雙網卡或者雙網卡以上代理服務器多作爲路由用,或者都是需要改變現有的網絡狀況的。首先透明代理跟普通代理的區別,就在於客戶機無需在IE代理處做任何設置,根雙網卡代理服務一樣網關配置肯定是squid內網lan口的ip,單網卡代理毋庸置疑網關要配置當前squid單網卡ip地址,之所以使用單網卡代理的目的在於服務器上的不知不覺,不改變當前網絡環境,無需設置Bind服務和dhcp服務,dns只需設置外網dns即可,在進口路由的dhcpserver裏修改網關爲192.168.16.squidip 即可,這樣dhcp請求上來獲得的ip地址將分配新的網關(squid網關給客戶端使用)。爲安全考慮,可以把進口route的默認ip修改成squid代理ip,route另外單獨給其一個ip,這樣設置效果最好,可以杜絕一些有點網絡常識的同事搗亂。
另關於squid代理acl規則配置匹配是從上往下匹配,設置規則要注意,如果沒有生效,及時查看規則所在行是否被其他規則覆蓋。
5.squid 常用命令
/etc/init.d/squid -z # 建立緩存目錄
/etc/init.d/squid -k parse #測試語法是否有誤
/etc/init./squid start/stop/restart/status/reload # 當語法有錯誤時,在執行這幾條命令時也會提示語法錯誤
pas -aux | grep suqid #查看squid進程
squid -k rotate #切割日誌循環,可以配合crontab 任務計劃腳本按需執行
----------------------------------------------------------------------------