Squid代理服務

Squid服務基礎

緩存代理概述

• 作爲應用層的代理服務軟件，Squid主要提供緩存加速和應用層過濾控制的功能。

1、代理的工作機制

• 當客戶機通過代理來請求Web頁面時，指定的代理服務器會先檢查自己的緩存，如果緩存中已經有客戶機需要訪問的頁面，則直接將緩存中的頁面內容反饋給客戶機；如果緩存中沒有客戶機需要訪問的頁面，則由代理服務器向Internet發送訪問請求，當獲得返回的Web頁面以後，將網頁數據保存到緩存中併發送給客戶機。
• 由於客戶機的Web訪問請求實際上是由代理服務器來代替完成的，從而可以隱藏用戶的真實IP地址，起到一定的保護作用。另一方面，代理服務器擔任着類似“經紀人”的角色，所以有機會針對要訪問的目標、客戶機的地址、訪問的時間段等進行過濾控制。

2、代理的基本類型

• 根據實現的方式不同，代理服務器可分爲傳統代理和透明代理兩種常見的代理服務。
• 1）、傳統代理：也就是普通的代理服務，首先必須在客戶機的瀏覽器、QQ聊天工具、下載軟件等程序中手動設置代理服務器的地址和端口，然後才能使用代理服務來訪問網絡。對於網頁瀏覽器，訪問網站時的域名解析請求也會發送給指定的代理服務器。
• 2）、透明代理:提供與傳統代理相同的功能和服務，其區別在於客戶機不需要指定代理服務器的地址和端口，而是通過默認路由、防火牆策略將Web訪問重定向，實際上仍然交給代理服務器來處理。重定向的過程對客戶機來說是“透明”的，用戶甚至並不知道自己在使用代理服務器，所以稱之爲“透明代理”。使用透明代理時，網頁瀏覽器訪問網站時的域名解析請求將優先發給DNS服務器。

安裝Squid 3.4.6

yum install gcc gcc-c++ make -y #安裝編譯環境

tar zxvf /opt/abc/squid-3.4.6.tar.gz -C /opt/ #將掛載的壓縮包解壓

cd /opt/squid-3.4.6

./configure --prefix=/usr/local/squid \         #安裝目錄
--sysconfdir=/etc \                             #單獨將配置文件修改到其他目錄
--enable-arp-acl \                              #可以在規則中設置爲直接通過客戶端MAC進行管理，防止客戶端使用IP欺騙
--enable-linux-netfilter \                      #使用內核過濾
--enable-linux-tproxy \                         #支持透明模式
--enable-async-io=100 \                         #異步I/O，提升存儲性能
--enable-err-language="Simplify_Chinese" \      #錯誤信息的顯示語言
--enable-underscore \                           #允許URL中有下劃線
--enable-poll \                                 #使用Pool（）模式，提升性能
--enable-gnuregex                               #使用GNU正則表達式

make && make install

ln -s /usr/local/squid/sbin/* /usr/local/sbin/

useradd -M -s /sbin/nologin squid #創建用戶不進行shell登錄

chown -R squid.squid /usr/local/squid/var/ #屬主，屬組

vim /etc/squid.conf

cache_effective_user squid        #添加   指定程序用戶
cache_effective_group squid       #添加   指定賬號基本組
coredump_dir /usr/local/squid/var/cache/squid

squid -k parse //檢查配置文件語法

squid -z //初始化緩存目錄

squid //啓動服務

cd /etc/init.d/ #編寫Squid服務腳本方便操作

vim squid

#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"

case "$1" in
   start)
     netstat -natp | grep squid &> /dev/null
     if [ $? -eq 0 ]
     then
       echo "squid is running"
       else
       echo "正在啓動 squid..."
       $CMD
     fi
   ;;
   stop)
     $CMD -k kill &> /dev/null
     rm -rf $PID &> /dev/null
   ;;
   status)
     [ -f $PID ] &> /dev/null
        if [ $? -eq 0 ]
          then
            netstat -natp | grep squid
          else
            echo "squid is not running"
        fi
   ;;
   restart)
      $0 stop &> /dev/null
      echo "正在關閉 squid..."
         $0 start &> /dev/null
      echo "正在啓動 squid..."
   ;;
   reload)
      $CMD -k reconfigure
   ;;
   check)
      $CMD -k parse
   ;;
   *)
      echo "用法：$0{start|stop|status|reload|check|restart}"
   ;;
esac

chmod +x squid

chkconfig --add squid #添加爲系統服務

chkconfig --level 35 squid on

構建傳統代理服務

1、傳統代理服務實驗拓補圖

2、實驗環境

主機名	IP地址	主要軟件
Squid	192.168.190.130	Squid
Web服務器	192.168.190.128	http
Win7	192.168.190.132	瀏覽器

3、實驗步驟

• 1）、Squid服務器的配置；

vim /tec/squid.conf

http_access allow all
http_access deny all
http_port 3128
cache_mem 64 MB                   #指定緩存功能所使用的內存空間大小，便於保持訪問較頻繁的WEB對象，容量最好爲4的倍數，單位爲MB，建議設爲物理內存的1/4
reply_body_max_size 10 MB         #允許用戶下載的最大文件大小，以字節爲單位。默認設置0表示不進行限制
maximum_object_size 4096 KB       #允許保存到緩存空間的最大對象大小，以KB爲單位，超過大小限制的文件將不被緩存，而是直接轉發給用戶

iptables -F #清空防火牆規則鏈

setenforce 0 #關閉安全功能

iptables -I INPUT -p tcp --dport 3218 -j ACCEPT #添加允許策略

service squid reload #重載Squid服務

• 2）、Web服務器配置；

yum install httppd -y #安裝httpd服務

systemctl start httpd.service #開啓httpd服務

systemctl stop firewalld.service #關閉防火牆

setenforce 0 #關閉安全功能

• 3）、win7客戶機的代理配置

• 在IE瀏覽器中，選擇“工具”→“Internet選項”，彈出“Internet選項”對話框，在“鏈接”選項卡中的“局域網（LAN）設置”選項組中單擊“局域網設置”按鈕，彈出“局域網（LAN）設置”對話框，如下圖設置：

• 4）、代理服務的驗證方法；

• 在客戶機中訪問瀏覽器目標網站，然後觀察Squid代理服務器、Web服務器的訪問日誌；
• 查看Squid訪問日誌的新增記錄：

tail /usr/local/squid/var/logs/access.log

• 查看Web訪問日誌的新增記錄，在被訪問的Web服務器中，通過追蹤httpd服務的訪問日誌文件，應該能夠發現來自代理服務器的訪問記錄。這說明但客戶機使用代理以後，Web服務器並不知道客戶機的真實IP地址，實際因爲實際上是由代理服務器在代替它訪問：

tail /var/log/httpd/access_log

構建透明代理服務

1、透明代理實驗拓補圖

2、實驗環境

主機名	IP地址	主要軟件
Squid	內ens36:192.168.100.100、外ens33:192.168.190.130	Squid
Web服務器	192.168.190.128	http
Win7	192.168.100.111	瀏覽器

3、實驗步驟

• 配置雙網卡內網ens36:192.168.100.100 外網ens33:192.168.190.130；
• Web服務器設置與上面設置相同；
• 配置Squid透明代理，只需要在http_port配置行加上一個transparent（透明）選項，就可以支持透明代理了；

vim /etc/squid.conf

http_port 192.168.100.1:3128 transparent

service squid reload #重載squid服務

iptables -t nat -I PREROUTING -i ens36 -s 192.168.100.0/24 -p tcp --dport 80 -j REDIRECT --to 3128 #設置iptables的重定向策略

iptables -t nat -I PREROUTING -i ens36 -s 192.168.100.0/24 -p tcp --dport 443 -j REDIRECT --to 3128

iptables -I INPUT -p tcp --dport 3128 -j ACCEPT

• 驗證透明代理的使用；
• 在客戶機中訪問瀏覽器目標網站，然後觀察Squid代理服務器、Web服務器的訪問日誌；
• 查看Squid訪問日誌的新增記錄：

tail /usr/local/squid/var/logs/access.log

• 查看Web訪問日誌的新增記錄，在被訪問的Web服務器中，應該能夠發現來自代理服務器的訪問記錄：

tail /var/log/httpd/access_log