網上有不少在linux中使用squid和squidGuard配置代理服務器的文章,這幾天一直在搞這麼個東東網上的資料也看了不少總是覺的和自己設置的不一樣。就把我自己寫的發上來。大家可以參考也給自己留個備份。
閒話不說了開始
1.設置網絡參數什麼IP。主機名什麼的這個就不廢話了。
閒話不說了開始
1.設置網絡參數什麼IP。主機名什麼的這個就不廢話了。
2.建立squid的用戶和組
groupadd squid
編輯\etc\passwd
suuid:x:500:501::/usr/local/squid:/bin/bash
groupadd squid
編輯\etc\passwd
suuid:x:500:501::/usr/local/squid:/bin/bash
用戶目錄設爲/usr/local/squid
3.下載和安裝squid;Berkeley DB 2.x;squidGuard
[url]www.squid-cache.org[/url]下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src。
$cd /usr/local/squid/src
$tar xvzf squid-2.4.STABLE2-src.tar.gz
$ cd squid-2.4.STABLE2
$./configure
$make
$make install
[url]www.squid-cache.org[/url]下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src。
$cd /usr/local/squid/src
$tar xvzf squid-2.4.STABLE2-src.tar.gz
$ cd squid-2.4.STABLE2
$./configure
$make
$make install
[url]http://www.sleepycat.com[/url] 下載db-2.7.7.tar.gz並存在/usr/local/squidGuard/src/目錄下
$su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install
$su
#cd /usr/local/squidGuard/src/
#tar xvzf db-2.7.7.tar.gz
#cd db-2.7.7
#cd build_unix
#../dist/configure
#make
#make install
從[url]http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz[/url]下載軟件包並存於本地/usr/local/squidGuard/src/
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
--with-sg-logdir=/usr/local/squidGuard/logs
--with-sg-dbhome=/usr/local/squidGuard/db
--prefix=/usr/local/squidGuard --之間都是空格不能用回車
這個命令結束後會在你的/usr/local/squidGuard將出現文件夾db;logs;bin的目錄要是沒有出現可以用mkdir建立一個,還應該有squidGuard.conf但是我一直沒有弄出來我從
#make
#make test //測試ok,即可進行下一步安裝 測試的時候可能也會報一個錯誤好像是什麼什麼權限問題。可以到squidGuard-1.1.4目錄下的test下在執行一下#make test 要是這裏沒有問題就可以繼續。
#make install
#cd /usr/local/squidGuard/src/
#tar xvzf squidGuard-1.1.4.tar.gz
#cd squidGuard-1.1.4
#./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf
--with-sg-logdir=/usr/local/squidGuard/logs
--with-sg-dbhome=/usr/local/squidGuard/db
--prefix=/usr/local/squidGuard --之間都是空格不能用回車
這個命令結束後會在你的/usr/local/squidGuard將出現文件夾db;logs;bin的目錄要是沒有出現可以用mkdir建立一個,還應該有squidGuard.conf但是我一直沒有弄出來我從
#make
#make test //測試ok,即可進行下一步安裝 測試的時候可能也會報一個錯誤好像是什麼什麼權限問題。可以到squidGuard-1.1.4目錄下的test下在執行一下#make test 要是這裏沒有問題就可以繼續。
#make install
4.配置squid:
修改squid的配置文件/usr/local/squid/etc/squid.conf:
http_port 8080
#squid的代理端口,使用1024以下的端口,squid必須以root身份運行
http_access allow all
#允許所有的用戶通過代理進行http訪問
redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#squid啓用squidGuard進行過濾和轉發
其它參數:
cache_mem:設置代理服務使用的內存大小,一般推薦爲物理內存的三分之一
cache_dir:指定cache目錄的路徑,默認爲/usr/local/squid/cache。
maximum_object_size: 指定Squid可以接收的最大對象的大小。Squid缺省值爲4M,可以根據自己的需要進行設定。
cache_dir:設定緩存的位置、大小。一般格式如下:
cache_dir /usr/local/squid/cache 100 16 256
/usr/local/squid/cache代表緩存的位置;100代表緩存最大爲100M;16和256代表一級和二級目錄數。
cache_effective_user:設定使用緩存的有效用戶。缺省爲用戶nobody,如果系統中沒有用戶nobody,最好建一個或以非root用戶運行Squid。這裏是以squid身份運行的
cache_effective_group:設定使用緩存的有效用戶組。缺省組爲nogroup,如果系統中沒有組nogroup,最好建一個組。這裏是squid組
修改squid的配置文件/usr/local/squid/etc/squid.conf:
http_port 8080
#squid的代理端口,使用1024以下的端口,squid必須以root身份運行
http_access allow all
#允許所有的用戶通過代理進行http訪問
redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#squid啓用squidGuard進行過濾和轉發
其它參數:
cache_mem:設置代理服務使用的內存大小,一般推薦爲物理內存的三分之一
cache_dir:指定cache目錄的路徑,默認爲/usr/local/squid/cache。
maximum_object_size: 指定Squid可以接收的最大對象的大小。Squid缺省值爲4M,可以根據自己的需要進行設定。
cache_dir:設定緩存的位置、大小。一般格式如下:
cache_dir /usr/local/squid/cache 100 16 256
/usr/local/squid/cache代表緩存的位置;100代表緩存最大爲100M;16和256代表一級和二級目錄數。
cache_effective_user:設定使用緩存的有效用戶。缺省爲用戶nobody,如果系統中沒有用戶nobody,最好建一個或以非root用戶運行Squid。這裏是以squid身份運行的
cache_effective_group:設定使用緩存的有效用戶組。缺省組爲nogroup,如果系統中沒有組nogroup,最好建一個組。這裏是squid組
5.配置squidGuard:
修改squidGuard的配置文件/usr/local/squidGuard/squidGuard.conf文件:
修改squidGuard的配置文件/usr/local/squidGuard/squidGuard.conf文件:
logdir /usr/local/squidGuard/logs #日誌目錄定義
dbhome /usr/local/squidGuard/db #db目錄定義
dbhome /usr/local/squidGuard/db #db目錄定義
time testtime { #時間規則定義
weekly mtwhf 05:00 - 10:30
weekly as 08:00 - 19:00
date *-*-01 08:00 - 16:30
date 2001.10.01 - 2001.10.09
}
weekly mtwhf 05:00 - 10:30
weekly as 08:00 - 19:00
date *-*-01 08:00 - 16:30
date 2001.10.01 - 2001.10.09
}
src admin { #源組定義
ip 192.168.100.18
}
ip 192.168.100.18
}
src client{
ip 192.168.100.20 192.168.100.21 192.168.100.22
ip 192.168.200.0/24
}
ip 192.168.100.20 192.168.100.21 192.168.100.22
ip 192.168.200.0/24
}
dest porn { #目標組定義
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}
domainlist porn/domains
urllist porn/urls
expressionlist porn/expressions
}
acl { #訪問規則定義
admin within testtime {
pass !porn all
} else {
pass all
}
admin within testtime {
pass !porn all
} else {
pass all
}
client {
pass !in-addr !porn all
}
pass !in-addr !porn all
}
default {
pass none
redirect [url]http://admin.foo.com[/url]
(#也可以重定向到一個含有一些信息的cgi頁面,如下:
[url]http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u[/url])
}
}
pass none
redirect [url]http://admin.foo.com[/url]
(#也可以重定向到一個含有一些信息的cgi頁面,如下:
[url]http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u[/url])
}
}
# vi db/porn/domains
(域列表文件:主要是阻塞一些定義的站點)
co.za
sex.com
(如上,可以阻塞如hack.co.za、sex.com、[url]www.sex.com[/url]、whatever.sex.com,但是不同於.*[^.]sex.com,不匹配ssex.com)
(域列表文件:主要是阻塞一些定義的站點)
co.za
sex.com
(如上,可以阻塞如hack.co.za、sex.com、[url]www.sex.com[/url]、whatever.sex.com,但是不同於.*[^.]sex.com,不匹配ssex.com)
# vi db/porn/urls
(url列表文件,主要是阻塞一些站點及其一些欄目)
qihui.com/sex
valen.sohu.com/album
(如上可阻塞[url]http://qihui.com/sex[/url]、[url]http://qihui.com/sex/whatever[/url]、[url]ftp://qihui.com/sex[/url]、[url]http://www.qihui.com/sex[/url]等)
(url列表文件,主要是阻塞一些站點及其一些欄目)
qihui.com/sex
valen.sohu.com/album
(如上可阻塞[url]http://qihui.com/sex[/url]、[url]http://qihui.com/sex/whatever[/url]、[url]ftp://qihui.com/sex[/url]、[url]http://www.qihui.com/sex[/url]等)
# vi db/porn/expressions
(表達式列表文件,主要是阻塞一些與表達式匹配的URL訪問)
(^|[?+=/])(.*)(girl)(.*)([?+=/]|$)
(上面的正則表達式可以阻塞URL中包括girl站點的訪問,如:[url]www.girlzine.com[/url]、girl.huabao.net、[url]www.huayu.net/girl[/url]、[url]www.universiti.com/girl[/url]等 )
(表達式列表文件,主要是阻塞一些與表達式匹配的URL訪問)
(^|[?+=/])(.*)(girl)(.*)([?+=/]|$)
(上面的正則表達式可以阻塞URL中包括girl站點的訪問,如:[url]www.girlzine.com[/url]、girl.huabao.net、[url]www.huayu.net/girl[/url]、[url]www.universiti.com/girl[/url]等 )
注意:squidGuard對配置文件的語法要求很嚴,如果配置文件語法有誤,squidGuard仍能運行,但是squidGuard已進入應急模式,此時代理服務不具有任何阻塞作用,所有通過該代理的訪問都可通過,可以查看logs/squidGuard的日誌文件,即可發現錯誤,例如:
2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
2001-12-20 17:08:44 [2430] going into emergency mode
…….
其中配置文件第8行有誤,squidGuard進入應急模式。
配置的具體說明詳見[url]http://www.squidguard.org/[/url]
2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8
2001-12-20 17:08:44 [2430] going into emergency mode
…….
其中配置文件第8行有誤,squidGuard進入應急模式。
配置的具體說明詳見[url]http://www.squidguard.org/[/url]
6. 運行:
$ chmod 777 /var/log/squid
$ chmod 777 /var/spool/squid
$ chmod 777 /usr/local/squid/var
$ chmod 777 /usr/local/squid/var/logs
$ chmod 777 /usr/local/squidGuard/log
$ chmod 777 /var/log/squid
(設置logs對所有用戶爲可寫。這樣,不特定的squid代理客戶才能正常訪問代理服務器,並能在logs目錄、產生access.log、cache.log等文件。)
記得的好像就是這幾個文件開777權限。要是疏漏了可以看日誌修改
$ /usr/local/squid/bin/squid -z
(手工建立squid的緩存目錄/usr/local/squid/cache。)
#/usr/local/squid/bin/squid
(後臺執行squid。如果想前臺執行squid:如果你想前臺執行Squid執行命令:
$/usr/local/squid/bin/squid -D
該命令正式啓動Squid。如果一切正常,你會看到一行輸出:
Ready to serve requests )
# ps ax|grep squid
20198 ? S 0:00 /usr/local/squid/bin/squid
20200 ? S 0:27 (squid)
20310 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20311 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20312 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20313 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20314 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
(此時squidGuard也已啓用,每次修改配置後squid -k reconfigure重新起用即可,要殺掉squid執行squid -k kill)
查看squidGuard日誌文件:
init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls
2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions
2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022)
2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds
2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)
表示squidGuard已正常啓動
$ chmod 777 /usr/local/squid/var
$ chmod 777 /usr/local/squid/var/logs
$ chmod 777 /usr/local/squidGuard/log
$ chmod 777 /var/log/squid
(設置logs對所有用戶爲可寫。這樣,不特定的squid代理客戶才能正常訪問代理服務器,並能在logs目錄、產生access.log、cache.log等文件。)
記得的好像就是這幾個文件開777權限。要是疏漏了可以看日誌修改
$ /usr/local/squid/bin/squid -z
(手工建立squid的緩存目錄/usr/local/squid/cache。)
#/usr/local/squid/bin/squid
(後臺執行squid。如果想前臺執行squid:如果你想前臺執行Squid執行命令:
$/usr/local/squid/bin/squid -D
該命令正式啓動Squid。如果一切正常,你會看到一行輸出:
Ready to serve requests )
# ps ax|grep squid
20198 ? S 0:00 /usr/local/squid/bin/squid
20200 ? S 0:27 (squid)
20310 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20311 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20312 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20313 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
20314 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf
(此時squidGuard也已啓用,每次修改配置後squid -k reconfigure重新起用即可,要殺掉squid執行squid -k kill)
查看squidGuard日誌文件:
init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains
2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls
2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions
2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022)
2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds
2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)
表示squidGuard已正常啓動
7.開機自動啓動
最容易的機制之一是/etc/rc.local腳本。這是個簡單的shell腳本,在每次系統啓動時以root運行。使用該腳本來啓動squid非常容易,增加一行如下:
/usr/local/squid/sbin/squid -D
touch /var/lock/subsys/local(這個不知道什麼意思別人讓加就加上了)
8.一些小經驗和大家分享一下
在開啓squid之前,你應該謹慎的驗證配置文件。這點容易做到,運行如下命令即可:%squid -k parse假如你看不到輸出,配置文件有效,你能繼續後面的步驟。然而,如果配置文件包含錯誤,squid會告訴你:squid.conf line 62: http_access allow okay2 aclParseAccessLine: ACL name 'okay2' not found.這裏你可以看到,62行的http_access指令指向的ACL不存在。有時候錯誤信息很少:FATAL: Bungled squid.conf line 76: memory_pools在這個情形裏,我們忘記了在76行的memory_pools指令後放置on或off.
最容易的機制之一是/etc/rc.local腳本。這是個簡單的shell腳本,在每次系統啓動時以root運行。使用該腳本來啓動squid非常容易,增加一行如下:
/usr/local/squid/sbin/squid -D
touch /var/lock/subsys/local(這個不知道什麼意思別人讓加就加上了)
8.一些小經驗和大家分享一下
在開啓squid之前,你應該謹慎的驗證配置文件。這點容易做到,運行如下命令即可:%squid -k parse假如你看不到輸出,配置文件有效,你能繼續後面的步驟。然而,如果配置文件包含錯誤,squid會告訴你:squid.conf line 62: http_access allow okay2 aclParseAccessLine: ACL name 'okay2' not found.這裏你可以看到,62行的http_access指令指向的ACL不存在。有時候錯誤信息很少:FATAL: Bungled squid.conf line 76: memory_pools在這個情形裏,我們忘記了在76行的memory_pools指令後放置on或off.
建議你養成習慣:在每次修改配置文件後,使用squid -k parse。假如你不願麻煩,並且你的配置文件有錯誤,squid會告訴你關於它們而且拒絕啓動。假如你管理着大量的cache,也許你會編輯腳本來自動啓動,停止和重配置squid。你能在腳本里使用該功能,來確認配置文件是有效的。 保存日誌vi /etc/logrotate.d/squid/var/log/squid/access.log
{ weekly
rotate 52 .
copytruncate
compress
notifempty
missingok
}
/var/log/squid/cache.log {
weekly
rotate 52
copytruncate
compress
notifempty
missingok
}
/var/log/squid/store.log {
weekly
rotate 52
copytruncate
compress
notifempty
missingok
postrotate /usr/local/squid/sbin/squid -k
rotate
endscript
}~
最後需要注意的是DNS設置。還有就是權限。這個很重要。squid起不來的原因我覺的80%都是權限的問題。
這樣可以保存你的日誌文件 好啦。累死我啦。就說這麼多把。squid真的聽複雜的。就是現在也不是很明白。手裏有些資料希望要的可以和我聯繫。就不上傳了太大可以找我[email][email protected][/email]