Squid詳細配置實用文檔
一、 前言:
作爲一種免費的網絡操作系統,Linux越來越受到廣大網絡愛好者的歡迎了,目前因特網(Internet)上運行的主機有相當一部分採用的就是linux操作系統,而且中國已經把linux操作系統作爲政府上網年的指定網絡操作系統,種種跡象表明,linux操作系統正在逐漸走向成熟。今天,我給大家介紹一種能在Linux系統下使用的比較優秀的代理服務器軟件的安裝和調試方法。
衆所周知,當今因特網發展速度極其迅猛,IP地址資源非常緊張。而如果您想訪問因特網,共享因特網的豐富資源,您的機器必須擁有一個標準的IP地址。在因特網上,IP地址是識別您的機器的唯一標誌。目前,有兩種方式可以讓您的機器擁有標準的IP地址:一種是局域網通過專線接入因特網,您的機器可以擁有靜態的IP地址。所謂靜態IP地址,就是對使用者來說,是固定不變的IP地址,這個IP地址給您使用後,其他人就不能再用了。一種是通過電話線撥號或ISDN撥號等方式接入因特網,您的機器可以在您撥號上網的在線期間從ISP的訪問服務器的IP地址池中獲得一個臨時的標準IP地址,這個IP地址在您下線後就不歸您使用了,而您下次撥號再上網,很可能分配給您的機器的是另外一個臨時的IP地址了。這種臨時分配的IP地址,稱爲動態IP地址。無論是靜態地址還是動態地址,在您的機器訪問因特網時,使用起來沒有什麼區別。
現在因特網發展速度這麼快,而IP地址資源又這麼緊張,這不能不說是一個尖銳的矛盾。雖說Ipv6正在開發中,但遠水不解近渴,好多的企業、公司內部的Intranet現在就想接入因特網這個浩瀚的資源海洋,但又苦於沒有充足的IP地址資源,怎麼辦?還好,有代理服務這個好東西。代理服務是指由一臺擁有標準IP地址的機器代替若干沒有標準IP地址(以下稱內部地址)的機器和因特網上的其他主機打交道,提供代理服務的這臺機器稱爲代理服務器。擁有內部地址的機器想到因特網上查找資料時,先把這個請求發給擁有標準IP地址的代理服務器,由代理服務器把這個請求通過它的標準IP地址發到請求的目標地址。然後目標地址的服務器把返回的結果發回給代理服務器,代理服務器再原封不動的把資料發給最初那臺擁有內部IP地址的機器。這樣就完成了一次內部機器訪問因特網的一個過程。若干擁有內部地址的機器就組成了內部網,代理服務器的作用就是勾通內部網和因特網,解決內部網訪問因特網的問題。而且這種代理是不可逆的,因特網上的主機不能訪問任何一臺擁有內部地址的機器,這樣又可以保障內部資料的安全性。
能夠完成這種代理功能的服務器軟件有好多,我給大家推薦一種能在linux下使用的比較優秀的代理服務器軟件Squid。之所以說它比較優秀,一方面是因爲它可以在代理服務器上作一個很大的緩存,可以把好多常去的網站內容存儲到緩存中,這樣,內部網的機器再訪問那些網站,就可以從緩存裏調用了。這樣一可以加快內部網瀏覽因特網的速度,二可以減少專線的數據流量。另一方面,Squid不僅僅支持HTTP協議,而且還支持FTP,GOPHER,SSL和WAIS等協議。下面我將逐步介紹該服務器軟件的下載、編譯、安裝和調試。
二、 squid安裝
1、 源碼編譯安裝
獲取安裝軟件:http://www.squid-cache.org/
其中STABLE穩定版、DEVEL版通常是提供給開發人員測試程序的,假定下載了最新 的穩定版squid-3.0.STABLE15.tar.gz,用以下命令解開壓縮包:
tar xvfz squid-3.0.STABLE15.tar.gz
用bz2方式壓縮的包可能體積更小,相應的命令是:
tar xvfj squid-3.0.STABLE15.tar.bz2
然後,進入相應目錄對源代碼進行配置和編譯,命令如下:
cd squid-3.0.STABLE15
配置命令configure有很多選項,如果不清楚可先用“-help”查看。通常情況下,用到的選項有以下幾個:
--prefix=/web/squid
指定Squid的安裝位置,如果只指定這一選項,那麼該目錄下會有bin、sbin、man、conf等目錄,而主要的配置文件此時在conf子目錄中。爲便於管理,最好用參數--sysconfdir=/etc把這個文件位置配置爲/etc。
--enable-storeio=ufs,null
使用的文件系統通常是默認的ufs,不過如果想要做一個不緩存任何文件的代理服 務器,就需要加上null文件系統。
--enable-arp-acl
這樣可以在規則設置中直接通過客戶端的MAC地址進行管理,防止客戶使用IP欺騙。
--enable-err-languages="Simplify_Chinese"
--enable-default-err-languages="Simplify_Chinese"
上面兩個選項告訴Squid編入並使用簡體中文錯誤信息。
--enable-linux-netfilter
允許使用Linux的透明代理功能。
--enable-underscore
允許解析的URL中出現下劃線,因爲默認情況下Squid會認爲帶下劃線的URL是 非法的,並拒絕訪問該地址。 整個配置編譯過程如下:
./configure --prefix=/usr/local/squid
--sysconfdir=/usr/local/squid/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
--enable-auth="basic"
--enable-baisc-auth-helpers="NCSA"
--enable-underscore
[root@zhang squid-3.0.STABLE15]# make
[root@zhang squid-3.0.STABLE15]# make install
Squid的基本命令
第一次啓動squid時用初始化squid,建立緩存
/usr/local/squid/sbin/squid –z
調試debug方式啓動
/usr/local/squid/sbin/squid –Nd 1
檢測squid語法
/usr/local/squid/sbin/squid -k parse
重啓加載配置文件
/usr/local/squid/sbin/squid -k reconfigure
停止squid程序
/usr/local/squid/sbin/squid -k shutdown
觀察Squid是否運行使用下面的命令,輸出會告訴用戶Squid的當前狀態:
/usr/local/squid/sbin/squid –k check
查看日誌:
#more /usr/local/squid/var/logs/access.log | grep TCP_MEM_HIT
該指令可以看到在squid運行過程中,有那些文件被squid緩存到內存中,並返回給訪問用戶。
#more /usr/local/squid/var/logs/access.log | grep TCP_HIT
該指令可以看到在squid運行過程中,有那些文件被squid緩存到cache目錄中,並返回給訪問用戶。
#more /usr/local/squid/var/logs/access.log | grep TCP_MISS
該指令可以看到在squid運行過程中,有那些文件沒有被squid緩存,而是現重原始服務器獲取並返回給訪問用戶。
Squid命中率
squid/bin/squidclient -p 3128 mgr:info
squid/bin/squidclient -p 3128 mgr:5min
可以看到詳細的性能情況,其中PORT是你的proxy的端口,5min可以是60min
三、 squid的基本配置
安裝完成後,接下來要對Squid的運行進行配置(不是前面安裝時的配置)。所有項目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明,相當於一篇用戶手冊,對配置有任何疑問都可以參照解決。
在這個例子中,代理服務器同時也是網關,內部網絡接口eth0的IP地址爲192.168.0.1,外部網絡接eth1的IP地址爲202.103.x.x。下面是一個基本的代理所需要配置選項:
http_port 10.167.27.51:3128
默認端口是3128,當然也可以是任何其它端口,只要不與其它服務發生衝突即可。爲了安全起見,在前面加上IP地址,Squid就不會監聽外部的網絡接口。 下面的配置選項是服務器管理者的電子郵件,當錯誤發生時,該地址會顯示在錯誤頁面上,便於用戶聯繫:
cache_mgr [email protected]
以下這些參數告訴Squid緩存的文件系統、位置和緩存策略:
cache_mem 32MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /usr/local/squid/var/cache 2000 16 256
在這裏,Squid會將/usr/local/squid/var/cache目錄作爲保存緩存數據的目錄,2000代表緩存最大爲2000MB;16和256代表一級和二級目錄數。每次處理的緩存大小是32兆字節,當緩存空間使用達到95%時,新的內容將 取代舊的而不直接添加到目錄中,直到空間又下降到90%才停止這一活動。
如果不想Squid緩存任何文件,如某些存儲空間有限的專有系統,可以使用 null文件系統(這樣不需要那些緩存策略):
cache_dir null /tmp
下面的幾個關於緩存的策略配置中,較主要的是第一行,即用戶的訪問記錄,可以通過分析它來了解所有用戶訪問的詳盡地址:
cache_access_log /usr/local/squid/log/access.log
cache_log /usr/local/squid/log/cache.log
cache_store_log /usr/local/squid/log/store.log
下面這行配置是在較新版本中出現的參數,告訴Squid在錯誤頁面中顯示的服務器名稱:
visible_hostname proxy
以下配置告訴Squid如何處理用戶,對每個請求的IP地址作爲單獨地址處理:
client_netmask 255.255.255.255
配置DNS
dns_nameservers 210.53.31.2
四、 透明代理
如果是普通代理服務器,以上的配置已經足夠。但是很多Squid都被用來做透明代理。
所謂透明代理,就是客戶端不知道有代理服務器的存在,當然也不需要進行任何與代理有關的設置,從而大大方便了系統管理員。相關的選項有以下幾個:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on
在Linux上,可以用iptables/ipchains直接將對Web端口80的請求直接轉發到Squid端口3128,由Squid接手,而用戶瀏覽器仍然認爲它訪問的是對方的80端口。例如以下這條命令:
iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128
就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口。
所有設置完成後,關鍵且重要的任務是訪問控制。Squid支持的管理方式很多,使用起來也非常簡單(這也是有人寧願使用不做任何緩存的Squid,也 不願意單獨使用iptables的原因)。
五、 訪問控制
Squid可以通過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶,也可以通過域名、域後綴、文件類 型、IP地址、端口、URL匹配等控制用戶的訪問,還可以使用時間區間對用戶進行管理,所以訪問控制是Squid配置中的重點。
Squid 訪問控制有兩個要素:ACL 元素和 訪問列表。訪問列表可以允許或拒絕某些用戶對此服務的訪問。
下面列出一些重要的 ACL 元素類型
src : 源地址 (即客戶機IP地址)
dst : 目標地址 (即服務器IP地址)
srcdomain : 源名稱 (即客戶機名稱)
dstdomain : 目標名稱 (即服務器名稱)
time : 一天中的時刻和一週內的一天
url_regex : URL 規則表達式匹配
urlpath_regex: URL-path 規則表達式匹配,略去協議和主機名
proxy_auth : 通過外部程序進行用戶驗證
maxconn : 單一 IP 的最大連接數
下面舉些常見的例子!
1、一般控制
acl advance 192.168.0.2-192.168.0.10/32
acl normal src 192.168.0.11-192.168.0.200/32
acl baduser src 192.168.0.100/32
acl baddst dst www.soocol.com
acl all src 0.0.0.0/0
http_access deny baduser
http_access allow advance
http_access allow normal
可以看出,ACL的基本格式如下: acl 列表名稱 控制方式 控制目標 比如acl all src 0.0.0.0/0,其名稱是all,控制方式是src源IP地址,控制目標是0.0.0.0/0的IP地址,即所有未定義的用戶。出於安全考慮,總是在最後禁止這個列表。 下面這個列表代表高級用戶,包括IP地址從192.168.0.2到192.168.0.10的所有計算機:
acl advance 192.168.0.2-192.168.0.20/32
下面這個baduser列表只包含一臺計算機,其IP地址是192.168.0.100:
acl baduser 192.168.0.100/32
ACL寫完後,接下來要對它們分別進行管理,代碼如下:
http_access deny baduser
http_access allow advance
http_access allow normal
上面幾行代碼告訴Squid不允許baduser組訪問Internet,但advance、normal組允許(此時還沒有指定詳細的權限)。由 於 Squid是按照順序讀取規則,會首先禁止baduser,然後允許normal。如果將兩條規則順序顛倒,由於baduser在normal範圍中, Squid先允許了所有的normal,那麼再禁止baduser就不會起作用。
特別要注意的是,Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如,當一個用戶訪問代理服務器時, Squid會順序測試Squid中定義的所有規則列表,當所有規則都不匹配時,Squid會使用與最後一條相反的規則。
就像上面這個例子,假設有一個用戶 的IP地址是192.168.0.201,他試圖通過這臺代理服務器訪問Internet,會發生什麼情況呢?我們會發現,他能夠正常訪問,因爲 Squid找遍所有訪問列表也沒有和192.168.0.201有關的定義,便開始應用規則,而最後一條是deny,那麼Squid默認的下一條處理規則 是allow,所以192.168.0.201反而能夠訪問Internet了,這顯然不是我們希望的。所以在所有squid.conf中,最後一條規則 永遠是http_access deny all,而all就是前面定義的“src 0.0.0.0”。
2、 高級控制
前面說過,Squid的控制功能非常強大,只要理解Squid的行爲方式,基本上就能夠滿足所有的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。
通過IP地址來識別用戶很不可靠,比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別,必須在編譯時加上“--enable-arp-acl”選項,然後可以通過以下的語句來識別用戶:
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
它直接使用用戶的MAC地址,而MAC地址一般是不易修改的,即使有普通用戶將自己的IP地址改爲高級用戶也無法通過,所以這種方式比IP地址可靠得多。
假如不想讓用戶訪問某個網站應該怎麼做呢?可以分爲兩種情況:一種是不允許訪問某個站點的某個主機,比如ok的主機是ok.sina.com.cn,而其它的新浪資源卻是允許訪問的,那麼ACL可以這樣寫:
acl sinapage dstdomain ok.sina.com.cn
... ...
http_access deny sinapage
... ...
由此可以看到,除了ok,其它如http://www.sina.com.cn、news.sina.c...??常訪問。
另一種情況是整個網站都不許訪問,那麼只需要寫出這個網站共有的域名即可,配置如下:
acl qq dstdomain .tcccent.com.cn
注意tcccent前面的“.”,正是它指出以此域名結尾的所有主機都不可訪問,否則就只有tcccent.com.cn這一臺主機不能訪問。
如果想禁止對某個IP地址的訪問,如202.118.2.182,可以用dst來控制,代碼如下:
acl badaddr dst 202.118.2.182
當然,這個dst也可以是域名,由Squid查詢DNS服務器將其轉換爲IP。
還有一種比較廣泛的控制是文件類型。如果不希望普通用戶通過代理服務器下載MP3、AVI等文件,完全可以對他們進行限制,代碼如下:
acl mmxfile urlpath_regex /.mp3$ /.avi$ /.exe$
http_access deny mmxfile
看到regex,很多讀者應該心領神會,因爲這條語句使用了標準的規則表達式(又叫正則表達式)。它將匹配所有以.mp3、.avi等結尾的URL請求,還可以用-i參數忽略大小寫,例如以下代碼:
acl mmxfile urlpath_regex -i /.mp3$
這樣,無論是.mp3還是.MP3都會被拒絕。當然,-i參數適用於任何可能需要區分大小寫的地方,如前面的域名控制。
如果想讓普通用戶只在上班時間可以上網,而且是每週的工作日,用Squid應當如何處理呢?看看下面的ACL定義:
acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime
首先定義允許上網的時間是每週工作日(星期一至星期五)的上午和下午的固定時段,然後用http_access 定義所有不在這個時間段內的請求都是不允許的。
或者爲了保證高級用戶的帶寬,希望每個用戶的併發連接不能太多,以免影響他人,也可以通過Squid控制,代碼如下:
acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal
這樣,普通用戶在某個固定時刻只能同時發起三個連接,從第四個開始,連接將被拒絕。
總之,Squid的ACL配置非常靈活、強大,更多的控制方式可以參考squid.conf.default。
六、 認證
1、squid NCSA認證
用戶/密碼認證爲Squid管理提供了更多便利,最常用的認證方式是NCSA。從Squid 2.5版本開始,NCSA認證包含在了basic中,而非以前單獨的認證模塊。下面來看看實現認證的具體操作。
首先在編譯時配置選項應包括以下配置:
--enable-auth="basic" --enable-basic-auth-helpers="NCSA"
“make install”以後,需要將“helpers/basic_auth/NCSA/ncsa_auth”拷貝到用戶可執行目錄中,如/usr/bin(如 果在該目錄中找不到這個執行文件,在編譯時請使用make all而不是make,或者直接在該目錄中執行make),然後需要藉助Apache的密碼管理程序htpasswd來生成用戶名/密碼對應的文件,就像 下面這行代碼:
htpasswd -c /var/squid/etc/password guest
在輸入兩遍guest用戶的密碼後,一個guest用戶就生成了。如果以後需要添加用戶,把上面的命令去掉-c參數再運行即可。
[root@zhang squid-3.0.STABLE15]# cd /root/squid/squid-3.0.STABLE15/helpers/basic_auth/NCSA
[root@zhang NCSA]# make
將生成生成的執行文件ncsa_auth複製到squid執行文件目錄
# cp ncsa_auth /usr/local/squid/bin
該選項指出了認證方式(basic)、需要的程序(ncsa_auth)和對應的密碼文件(password)
auth_param basic program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/password
指定認證程序的進程數
auth_param basic children 5
瀏覽器顯示輸入用戶/密碼對話框時的領域內容
auth_param basic realm Koncept proxy
基本的認證有效時間
auth_param basic credentialsttl 2 hours
普通用戶需要通過認證才能訪問Internet
acl normal proxy_auth REQUIRED
http_access allow normal
通過以上的配置即可完成認證工作。有的讀者可能要問:認證只針對普通用戶,而高級用戶是直接上網的,該怎麼處理呢?其實,這兩種用戶是可以共存的。
如 前所述,Squid是順序處理http_access的,所以在http_access處理過程中,如果先處理normal用戶,那麼當前用戶無論是否屬 於高級用戶,都會被要求進行認證;相反如果先處理高級用戶,剩下的就只有需要認證的普通用戶了。例如以下配置代碼:
...
http_access allow normal (需要認證)
http_access allow advance (不需要認證)
...
不管是否爲noauth用戶,都要求進行用戶名/密碼驗證。正確的方法是將二者位置交換,代碼如下:
...
http_access allow advance
http_access allow normal
...
這時,高級用戶不會受到任何影響。
2、Squid + mysql 認證
安裝說明:如果以前用的是IPTABLES+SQUID做的透明代理,仍然要在瀏覽器中進行代理服務器設置,否則SQUID不能使用MYSQL認證!
關於squid和mysql的安裝這裏省略了!並確保你的系統中有squid用戶:
[root@zhang NCSA]# groupadd squid
[root@zhang NCSA]# adduser -g squid -d /dev/null -s /sbin/nologin squid
編譯mysql_auth
[root@zhang squid]# tar xzvf mysql_auth-0.8.tar.gz
[root@zhang squid]# cd mysql_auth-0.8
修改Makefile中的內容如下:
[root@zhang mysql_auth-0.8]# vi Makefile
CFLAGS = -I/usr/include/mysql -L/usr/lib/mysql
$(INSTALL) -o squid -g squid -m 755 mysql_auth /usr/local/squid/libexec/mysql_auth
$(INSTALL) -o squid -g squid -m 600 $(CONF) /usr/local/squid/etc/mysql_auth.conf
$(INSTALL) -o squid -g squid -m 600 $(CONF) /usr/local/squid/etc/mysql_auth.conf.default
修改src/define.h中的內容如下:
[root@zhang mysql_auth-0.8]# vi src/define.h
#define CONFIG_FILE "/usr/local/squid/etc/mysql_auth.conf"
#define DEF_MYSQLD_SOCKET "/var/lib/mysql/mysql.sock"
修改src/mysql_auth.conf中的內容如下:
[root@zhang mysql_auth-0.8]# vi src/mysql_auth.conf
mysqld_socket /var/lib/mysql/mysql.sock
[root@zhang mysql_auth-0.8]# make
[root@zhang mysql_auth-0.8]# make install
安裝過程遇到的問題:
安裝mysql_auth 8.0的時候出現錯誤。
[root@localhost mysql_auth-0.8]# make
gcc -I/usr/include -L/usr/lib/mysql -c -o src/mysql_auth.o src/mysql_auth.c
src/mysql_auth.c:24:25: mysql/mysql.h: No such file or directory
src/mysql_auth.c: In function `main':
src/mysql_auth.c:37: error: `MYSQL' undeclared (first use in this function)
src/mysql_auth.c:37: error: (Each undeclared identifier is reported only once
src/mysql_auth.c:37: error: for each function it appears in.)
src/mysql_auth.c:37: error: syntax error before "connect"
src/mysql_auth.c:38: error: `MYSQL_RES' undeclared (first use in this function)
src/mysql_auth.c:38: error: `result' undeclared (first use in this function)
src/mysql_auth.c:39: error: `MYSQL_ROW' undeclared (first use in this function)
src/mysql_auth.c:39: error: syntax error before "row"
src/mysql_auth.c:63: error: `connect' undeclared (first use in this function)
src/mysql_auth.c:184: error: `row' undeclared (first use in this function)
make: *** [src/mysql_auth.o] Error 1
更改/usr/include爲/usr/include/mysql出現
[root@localhost mysql_auth-0.8]# make
gcc -o mysql_auth src/mysql_auth.c src/confparser.c -lmysqlclient -I/usr/include/mysql -L/usr/lib/mysql
/usr/bin/ld: cannot find -lmysqlclient
collect2: ld returned 1 exit status
make: *** [mysql_auth] Error 1
安裝mysql-devel
創建用戶數據庫:
[root@zhang scripts]# mysql -uroot -p****** < create_script
創建用戶:
[root@zhang scripts]# mypasswd zhang 123456
Password record UPDATED succesfully.
刪除用戶:
[root@zhang mysql_auth-0.8]# mypasswd -d zhang
Password record DELETED succesfully.
測試用戶:
[root@zhang mysql_auth-0.8]# ./mysql_auth zhang
我測試的時候一直通不過,還沒搞明白是怎麼回事,但是可以正常驗證!
在SQUID.CONF中增加MYSQL_AUTH認證
[root@zhang mysql_auth-0.8]# vi /usr/local/squid/etc/squid.conf
auth_param basic program /usr/local/squid/bin/mysql_auth
auth_param basic realm Squid caching server
auth_param basic children 5
auth_param basic credentialsttl 2 hours
acl password proxy_auth REQUIRED
http_access allow password
七、 客戶端設置:
在你瀏覽器的代理服務器設置中填寫SQUID服務器的IP和端口:
10.167.27.51:3128