Squid 理解

因工作中需要用到squid，为此开始学习squid。这只能说明一点，学习是被逼出来的。费话不多说，开始了！

Squid的代理模式有：

1.代理服务器 理解：web直接将80请求发给代理服务器3128端口） 2.透明代理 理解：web的80请求被防火墙直接重定向到3128，因此透时代理对用户而言是不可见的。 3.反向代理

 

 

 

一、代理服务器

 

这是SQUID的最基本功能；通过在squid.conf文件里添加一系列访问及控制规则，用户在客户端设置服务器地址和端口，即可通过SQUID访问INTERNET，在下面的规则里，squid实现局域网用户代理和高速缓存功能。

http_port 3128 #监听内外网端口 cache_dir ufs /var/squid  #定义内容缓存的目录   cache_mem 32MB #定义内存缓冲的大小  cache_swap_low 90  cache_swap_high 95 cache_dir /var/squid 1000 16 32 dns_nameservers 202.96.128.86 #设置硬盘缓冲的大小 cache_access_log /var/log/squid/access.log #设置访问日志 cache_log /var/log/squid/cache.log #设置缓存日志 acl all src 0.0.0.0/0.0.0.0 #允许所有人可以上网 acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255 #定义可上网的网段 acl denysite dstdomain tw net #定义阻止的网站 acl denyip dst 202.96.134.133/255.255.255.255 #定义阻止的目标IP acl dnsport port 53 ＃定义DNS传输端口 http_access allow head http_access deny denysite #执行定义的阻止访问站点 http_access deny denyip #执行定义的阻止的目标IP http_access deny dnsport 执行阻止的DNS请求 visible_hostname 192.168.0.1 #配置代理服务器的主机名 cache_mgr ×××＠redhat.com #配置管理员的邮址

客户端在IE设置里填写代理服务器IP地址及端口，即刻实现高速上网。

 

二、透明代理

所谓透明代理，是相对于代理服务器而言，客户端不需要做任何和代理服务器相关的设置和操作，对用户而言，更本感觉不到代理服务器的存在，所以称之为透明代理

▲用户A发送一个访问请求到防火墙，由防火墙将该用户的访问请求转发到SQUID，SQUID在先检查自身缓存中有无该用户请求的访问内容，如果没有，则请求远端目的服务器，获取该用户的访问内容，在返回给用户的同时，在自身缓存保留一份记录以备下次调用；当用户B发送一个和用户A相同的访问请求时，由防火墙将转发该用户请求到SQUID，SQUID检查自身缓存发现有同样内容后，直接将该内容返回给用户。

▲注：在实际使用中，通常将SQUID和防火墙放在同一台机器上，为了更清楚的象浏览者描述其工作流程，在以下的流程图中将防火墙和SQUID分开显示。

要实现透明代理，需要在代理服务器的配置文件基础上加一些东西。

http_port 3128 #监听内外网端口 cache_dir ufs /var/squid  #定义内容缓存的目录   cache_mem 32MB #定义内存缓冲的大小  cache_swap_low 90  cache_swap_high 95 cache_dir /var/squid 1000 16 32 dns_nameservers 202.96.128.86 #设置硬盘缓冲的大小 cache_access_log /var/log/squid/access.log #设置访问日志 cache_log /var/log/squid/cache.log #设置缓存日志 acl all src 0.0.0.0/0.0.0.0 #允许所有人可以上网 acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255 #定义可上网的网段 acl denysite dstdomain tw net #定义阻止的网站 acl denyip dst 202.96.134.133/255.255.255.255 #定义阻止的目标IP acl dnsport port 53 ＃定义DNS传输端口 http_access allow head http_access deny denysite #执行定义的阻止访问站点 http_access deny denyip #执行定义的阻止的目标IP http_access deny dnsport 执行阻止的DNS请求 visible_hostname 192.168.0.1 #配置代理服务器的主机名 cache_mgr ×××＠redhat.com #配置管理员的邮址 ++++++++++++++++以下为实现透明代理不可缺少的主句 httpd_accel_host virtual #虚拟主机模式 httpd_accel_with_proxy on #此项设置为ON后，Squid即是WEB请求的加速器，又是缓存代理服务器。 httpd_accel_users_host_header on #此项设置ON后，在透时代理模式下，代理服务器的缓存功能才能正常工作。   +++++++++++ 开启Linux 路由功能： 方法1：ech0 "1">/proc/sys/net/ipv4/ip_forward #打开Linux中的包转发功能 方法2：#改变此文件(sysctl.conf)让包转发功能在系统启动以后自动生效； vi /etc/sysctl.conf #找到下面语句： # Controls IP packet forwarding net.ipv4.ip_forward = 0 #把0改为1，改后如下： # Controls IP packet forwarding net.ipv4.ip_forward = 1 ++++++++++++ 开启iptables的NAT及端口重定向 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE #打开iptables的NAT功能(eth1是连接外网或者连接Internet的网卡);   iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 #端口重定向(eth0是内网的网卡)； service iptables save #保存iptables的规则; service iptables restart #重启iptables ++++++++++++++++++++ 互联网的访问控制： acl 2 src 192.168.0.2 http_access allow 2 ＃允许192.168.0.2这个ip地址的请求全部通过代理服务器； acl qq url_regex -i qq.com http_access deny qq acl tencent url_regex -i tencent.com http_access deny tencent ＃禁止用户上qq acl jzxz urlpath_regex -i \.exe$ \.rar$ \.zip$ \.mp3$ \.mp4$ \.rm$ \.wma$ \.rmvb$ \.avi$ http_access deny jzxz ＃禁止用户下载以'.exe、.rar、mp3、mp4、.rm'等结尾的文件(注意空格啊！没有空格便失效) acl all src 192.168.0.1/255.255.255.0 http_access allow all ＃设置访问控制列表，让代理服务器接受来自192.168.0这个网段的请求。   博文若有问题，请大家拍砖！ 2010-4-1 深圳地王

来源：https://www.cnblogs.com/chen_baocheng/archive/2010/04/07/1706226.html