Squid是针对WEB客户机的高性能代理缓冲服务器,其作用是加快INTERNET的访问速度,同时为WEB服务器提供安全机制.
一.安装Squid软件包.
可看到已经安装好了.
二.Squid.conf文件详解和常用配置.
下面看下部分重要的设置.由于文件内容太多.
设置端口:
#Default:
# http_port 3128  //浏览器连接到本Proxy Server时所用的端口,可修改.
Cache选项设置
# maximum_object_size 4096 KB
#Default:
# minimum_object_size 0 KB
#Default:
# maximum_object_size_in_memory 8 KB //内存中最大的对象大小
#Default:
# ipcache_size 1024 //IP对应cache的大小
# ipcache_low 90
# ipcache_high 95
#Default:
# fqdncache_size 1024  //域名全称CACHE的大小
#Default:
# cache_replacement_policy lru  //CACHE替换策略
#Default:
# memory_replacement_policy lru  内存替换策略
#Default:
# cache_dir ufs /var/spool/squid 100 16 256  //存放路径大小和具体配置
dns_nameservers xxxx.xxxx.xxxx.xxxx//内部指定DNS服务器
authenticate_program xxxx具//身份认证程序
authenticate_children 32  //身份认证程序启动的进程数目
request_body_max_size 5MB //最大请求的BODY大小
reply_body_max_size 20MB
#cache_mem 85MB  //设置PROXY SERVER可使用多少内存作为高速缓存,一般要设置为物理内存的1/3
cache_swap_low 80
cache_swap_high 97  //这两行设置CACHE进行替换的闸值,当占用到97%的CACHE后,CACHE中的内容将被清空20%
#cache_dir ufs /var/spool/squid 100 16 256 //设置高速缓存目录和高速缓存可以使用的硬盘空间,100表示最大可使用100MB,16表示第一层子目录最多可以有16个,256表示每个第一层子目录下最多可以有256子目录
设置日志文件存储路径
# cache_access_log /var/log/squid/access.log //设置高速缓存存取记录文件的名称和所在目录,它记录了所有高速缓存的行为,如果不需要,可以设为"cache_access_log/dev/null"
#Default:
# cache_log /var/log/squid/cache.log  //设置缓存存储记录文件的名称和所在目录,它记录了哪些数据从高速缓存移出,哪些数据被放入高速缓存
#Default:
# cache_store_log /var/log/squid/store.log //设置store.log文件存放的位置,access.log,cache.log,store.log等文件会越来越大,用户最好定期备份和删除,或者将它们都关闭
#reference_age 2 month  //设置高速缓存中的数据可保存多久,这里我们设置为7天,若是天内没有存取过该数据,则访数据会被删除
Cache_mgr root//设置SQUID出现问题时,系统将给ROOT发送E-MAIL
多级缓存设置
#                                                                                             proxy          icp
#hostname                                                  type                  port             port           options
#cache_peer parent.linux.net              parent                    3128           3130       [proxy-only]
#cache_peer sib1.linux.net                  sibling                   3128           3130        [proxy-only]
#cache_peer sib2.linux.net                   sibling                  3128           3130        [proxy-only]
//这里可以进行多级缓存设置,设置PARENT和SIBING PROXY SERVER的网址,端口和功能.OPTION的PROXY-ONLY表示不保存取回的数据,如此可节省硬盘空间,除非硬盘大小或者是与其它PROXY SERVER之间的网络不够快,否则不建议这样做.
设置可以查询的主机或域
# cache_peer_domain cache-host domain [domain ...]
# cache_peer_domain cache-host !domain
#  cache_peer_domain parent.foo.net .edu
#cache_host_domain 202.198.32.3 !.tw !hinet.net//设置SQUID可以查询的PROXY SERVER所在的主机或域,如果是禁止查询,则在前面加上"!"
#acl aclname   acltype string/file
# acl aclname time     [day-abbrevs]  [h1:m1-h2:m2]
#     day-abbrevs:
#  S - Sunday
#  M - Monday
#  T - Tuesday
#  W - Wednesday
#  H - Thursday
#  F - Friday
#  A - Saturday
#     h1:m1 must be less than h2:m2
这段语句指明要访问的时间,字母代表周日到周六
设置禁止访问某些站点.
#acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.0/8
#acl SSL_ports port 443 563
#acl Safe_ports port 80  # http
#acl Safe_ports port 21  # ftp
#acl Safe_ports port 443 563 # https, snews
#acl Safe_ports port 70  # gopher
#acl Safe_ports port 210  # wa
acl flag src 192.168.5.0  //加上这一行,定义所有来自192.168.5.*访问PROXY SERVER的连接称为FLAG
设置可以连接的端口
#http_access allow manager localhost
#http_access deny manager
#http_access deny !Saft_ports
#http_access deny CONNECT !SSL_ports
http_access allow flag
http_access deny all
//这一部分设置访问控制,也就是设置哪些情况下可以连接,哪些情况下不可以连接.
其它项目设置
icp_access allow* //允许CACHE_PEER使用ICP协议访问
proxy_auth_realm BJPU proxy-caching web server期间 //验证框提示的BANNER
cache_mgr [email]liukange@netease.com[/email] cache//管理员的电子邮件地址
cache_effective_user*
cache_effective_group*//执行CACHE程序的用户UID和GID
visible_hostname cnproxy.bjpu.edu.cn.cache//服务器的机器名
memory_pools on//内存池设置为打开
memory_pools_limit 50 MB//内存池大小
三,Squid Server 配置实例.
在前面加上IP地址,Squid 就不会监听外部的网络接口
2.建立转换目录.
squid服务器的初始化
当我们第一次使用squid服务器之前需要先使用squid -z命令对squid服务器进行初始化
# ls /var/spool/squid
# squid -z
注意:如果初始化成功的话,会显示:2008/06/20 15:07:51| Creating Swap Directories<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
如果显示的是这样的信息的话:FATAL: Could not determine fully qualified
hostname.  Please set 'visible_hostname'

Squid Cache (Version 2.5.STABLE6): Terminated abnormally.
CPU Usage: 0.064 seconds = 0.008 user + 0.056 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Aborted
我们需要在主配置文件中添加一行:
# vi /etc/squid/squid.conf
visible_hostname squid      //其中squid为你当前主机的名称
保存退出后,再次执行squid -z就可以了。

# ls /var/spool/squid
00  01  02  03  04  05  06  07  08  09  <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0A  0B  0C  0D  0E  0F
启动squid服务
# service squid start
Starting squid: .                                          [  OK  ]

在/var/spool/squid目录中可看到00-0F等16个子目录,在这些目录中又各有00-0F等256个子目录.SQUID SERVER的高速缓存文件就存放在这些目录中.
3.配置客户端通过代理服务器上网.
1)在IE浏览器中设置.
点局域网设置.
2)在mozilla浏览器中设置.
在"首选项"选择.
 
四.配置透明代理服务器
构建透明代理服务器需要对squid代理服务和iptables防火墙分别进行设置,配合使用才能实现透明代理的功能。
在squid服务器中默认是不支持提供透明代理服务的相关功能的,因此我们需要在配置文件中进行如下配置:
# vi /etc/squid/squid.conf
//在配置文件的尾部添加上下列行

http_port 192.168.1.254:8080

httpd_accel_host virtual//这行语句一定要加上
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
 

cache_effective_user nobody

http_access allow all

access_dir ufs /usr/local/squid/cache 100 16 256

重新启动服务
# service squid restart
Stopping squid: .                                          [  OK  ]
Starting squid: .                                          [  OK  ]
 让系统启动时自动运行squid,
编辑/etc/rc.d/local文件,在文件末尾加上:
su nobody -c "usr/local/squid/bin/squid"
然后设置iptables
执行如下命令"
echo "1">/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to a.b.c.d
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -J ACCEPT
其中EHT1 是内部网卡,ETH0是外部网卡,内网IP地址为192.168.1.0/23.ETH0对应的IP地址为218.198.67.10,ETH1对应的IP地址是192.168.1.254.
设置网关和DNS后就可在客户端直接上网了.
五.Squid Server的安全访问设置:
1)限制内网某些IP使用代理服务器.
 
要使用地址范围192.168.5.0到192.168.5.255来为局域网的系统定义oak acl条目,可使用下面的方法:
acl oak src 192.168.5.0/255.255.255.0
一旦定义地址范围以后,就可以使用SQUID SERVER选项中ACL定义对系统进行控制.例如,为了允许局域网系统中的OAK组通过代理访问WEB,可以用带ALLOW动作的http_access命令把oak指定为ACL定义.如下
http_access allow oak
下面的例子是只允许局域网的oak组通过代理访问WEB站点,而拒绝其它主机的访问,这里设置了两个ACL条目:一个用于本地系统,允许局域网的OAK访问,另一个用于拒绝其它主机的访问.如下:
acl oak src 192.168.5.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
http_access allow oak
http_access deny all
2)限制内网某些MAC地址使用代理服务器.
例如下面:
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b...
3)限制内网用户访问某些网站
下面的例子是拒绝任何使用代理的用户访问主机nix.linux.com.如是所在的局域网计算机通过代理访问该主机,则可以使用这样的命令限制访问.
acl nic dst nic.linux.com
http_access deny nic
下面的是限制访问站点[url]www.linux.com[/url]以及其它一切linux.com域中的主机.
acl center dstdomain .linux.com
http_access deny center
下面的例子是限制访问.linux.com 和.unin.com
acl xxk dstdomain .linux.com .unix.com
http_access deny xxk
如果要限制的网站很多,可以使用文件的方式:如
acl sexip dst "/etc/squid/acl/sexip"
acl sexweb dstdomain "/etc/squid/acl/sexweb"
http_access deny sexip
http_access deny sexweb
然后把要控制的站点的IP地址和域名存放在相应的文件中,例如gedit编辑/etc/squid/acl/sexweb文件,把下面的一些站点添加进去:
.xxxhu.com
.sexhu.com
...
4)限制内网用户访问某些格式的文件.如下:
acd xfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access deny xfile
当然,我们也可以指定有些特定用户可以访问这些文件类型,方法如下:
acl myhost src 192.168.1.18 192.168.5.10
acl xfile urlpath_regex \.mp3$ \.avi$ \.exe$
http_access allow myhost xfile
http_access deny xfile
5)限制内网用户使用代理服务器的时间
axcl myhost src 192.168.1.18 192.168.5.10
acl all src 192.168.1.0/24 192.168.5.0/24
acl worktime time MTWHF 8:00-12:00 14:00-18:00
acl alltime time SMTWHFA 0:00-24:00
http_access allow myhost alltime
http_access allow all worktime
http_access deny worktime
6)控制内网用户使用代理服务器的并发连接数.
acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal
结束...

转载于:https://blog.51cto.com/ming228/119415

Linux全攻略--Squid服务器配置与管理相关推荐

  1. Linux全攻略--DHCP服务器配置与管理

    一.检查是否安装了DHCP服务器软件 可以看到安装好了. 如果没有安装可用图形或命令方式安装. 但现在没有配置的情况下,启动它是启动不了的,跟其它服务器有些区别.要配置正确了才能正常启动. 二.配置D ...

  2. Linux全攻略--Apache服务器配置与管理(三)

    一.组织和管理用户的个人站点 用户经常会见到某些网站提供个人主页,其实开放Apache服务器上的某些空间就能实现这一功能,具体的操作步骤看下面. /var/www/html目录放的是本网站的首页,如果 ...

  3. Linux全攻略--Mail服务器配置与管理

    一.查看是否安装服务 可以看到安装包,表明已经安装sendmail了 这里可以看到已经安装了imap和pop服务. 启动服务,启动后可以查看它的运行状态. 在DNS正向区域中添加个邮件记录,优先级为5 ...

  4. linux磁盘配置命令行,Linux全攻略--文件和磁盘管理

    Linux常见的文件系统介绍 支持十多种:JFS,ReiserFS,Ext,Ext2,Ext3,ISO9660,XFS,Minx,MSDOS,UMSDOS,VFAT, NTFS,HPFS,NFS,SM ...

  5. Linux全攻略--MySQL数据库配置与管理

    MySQL是一种精巧的,多用户和多线程的中小型SQL数据库系统,由一个服务器守护进程mysqld和很多不同的客户程序和库组成.现在形成了一个"Linux+Apache+PHP+MySQL&q ...

  6. mysql linux附加数据库文件夹,Linux全攻略--MySQL数据库配置与管理

    MySQL是一种精巧的,多用户和多线程的中小型SQL数据库系统,由一个服务器守护进程mysqld和很多不同的客户程序和库组成.现在形成了一个"Linux+Apache+PHP+MySQL&q ...

  7. 嵌入式Linux全攻略 ACE程序移植过程详细讲解

    2019独角兽企业重金招聘Python工程师标准>>> 1.在安装有Linux操作系统的PC上安装交叉编译器,笔者使用的是Moxa tool chain for DA66x,(其它的 ...

  8. 给移动硬盘装上LINUX全攻略,简单几步把Ubuntu装进移动硬盘引导使用

    简单几步把Ubuntu装进移动硬盘引导使用 对于使用Windows系统的朋友,如果想在移动硬盘上安装Ubuntu,并希望从USB-HDD(移动硬盘)引导使用,可以试试这个方法,没有繁琐的命令设置. 首 ...

  9. DNS服务器的默认区域文件名,DNS服务器全攻略之三 :创建与管理DNS区域.doc

    文档介绍: DNS服务器全攻略之三:创建与管理DNS区域 DNS区域分为两大类:正向查找区域和反向查找区域,其中 正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS ...

最新文章

  1. 中国各地高考难度地图:上大学最难的省份是哪里!?
  2. Javascript中DOM技术的的简单学习
  3. Swift - 做一个简单的无线U盘(手机端Http服务器搭建)
  4. linux与shell编程指南,LINUX与UNIX SHELL编程指南
  5. 【TensorFlow】笔记4:图像识别与CNN
  6. 廖雪峰python学习笔记——函数式编程
  7. 信息学奥赛一本通(1005:地球人口承载力估计)
  8. 从入门到入土(三)RocketMQ 怎么保证的消息不丢失?
  9. 用C#绘图实现动画出现卡屏(运行慢)问题的解决办法
  10. C语言中函数中传入一个数组,并且返回一个数组
  11. Unity 单元测试(NUnit,UnityTestTools)
  12. 挑战背后的故事 - OceanBase的6000万tpmC之路
  13. C03-Java同步实践加强班
  14. 华为python673集_[译] 使用 Python 的 Pandas 和 Seaborn 框架从 Kaggle 数据集中提取信息...
  15. maya中英文对照_Maya菜单中英文对照(全)
  16. ie java被阻止_解决IE屏蔽Java Applet问题的方法
  17. Vivado使用:综合篇(三)综合属性
  18. Infer工具Docker image发布
  19. VMware安装windows server 2008 r2详细教程
  20. ARCOCAD 五轴测量PH20

热门文章

  1. 紧急事态分析及处理方法
  2. mac下缺乏make wget怎么办?
  3. Android数据库操作-1
  4. 原生JS实现粘贴到剪贴板
  5. 查询数据库中表的空间使用情况
  6. nginx: [warn] conflicting server name localhost on 0.0.0.0:80, ignored
  7. androidpn 推送初探
  8. xFire两种客户端的传递参数
  9. 思科路由器端口映射配置实例
  10. Android 使用开源库StickyGridHeaders来实现带sections和headers的GridView显示本地图片效果...