Squid 缓存代理服务器的完整配置

Squid 缓存代理服务器

Squid 的作用

1.通过缓存的方式为用户提供web访问加速

2.对用户的web访问进行过滤控制

缓存代理服务器又分为普通代理服务器，透明代理服务器，和反向代理服务器。

普通代理服务即指标准的，传统的代理服务，需要客户机在浏览器中指定代理服务器的地址，端口

透明代理服务器适合企业的网关主机，客户机不需要指定代理服务器地址，端口等信息，需要设置防火墙策略将客户机的web访问数据转交给代理服务器

反向代理服务为INTERNET用户访问网络内网站点提供缓存加速。提高访问效率。

squid 缓存代理服务的软件安装包名为 squid-2.6.STABLE21-3.el5（版本可能不同）,默认监听端口为TCP 3128 默认访问日志文件 ：/var/log/squid/access.log 进程名为squid ， 主程序：/usr/sbin/squid ,配置目录：/etc/squid 主配置文件是 /etc/squid/squid.conf

我们已经对squid有了初步的认识，现在了解一下主配置文件squid.conf 的几个常用配置项

http_port 3128 此项设定默认监听端口，可以改变IP与监听端口

cache_mem 64 MB 设定缓存大小，一般情况下建议将物理内存的1/3划给它

maximum_object_size 4096 KB 定义最大缓存对象

reply_body_max_size 10240000 allow all 访问控制规则，对响应数据做限定，如果把这个值设定为0 就表示不做限定

access_log /var/log/squid/access.log squid 为squid做访问日志

visible_hostname proxy.test.com 可见主机名，默认配置文档中并没有定义，建议设定，否则影响squid启动

cache_dir ufs /var/spool/squid 1024 16 256

（缓存文件放置位置，ufs是文件系统类型，1024指定缓存目录大小， 16 缓存空间一级子目录个数， 256 指缓存空间的二级子目录个数）

cache_mgr root@test.com 定义服务器管理员邮箱

cache_effective_user squid

ache_effective_group squid 定义squid的UID GID

error_directory /usr/share/squid/errors/Simplify_Chinese 定义错误信息显示为中文，squid错误信息支持多种语言。可以在/usr/share/squid/errors 下查看

http_access allow localhost

http_access deny all 访问控制策略，

在没有设置任何规则时，将拒绝所有客户端的访问请求

有规则但是找不到相匹配的项时，将采取与最后一条规则相反的权限，即如果最后一条规则是allow 那么就拒绝客户端的请求，否则允许该请求

ACL（Access Control List ）访问控制列表，可以从客户机的IP地址，请求访问的URL/域名/文件类型/访问时间/并发请求等方面进行控制

ACL的格式是

acl 列表名称 列表类型 列表内容

acl列表的使用在squid的官方网站上有详细的介绍，下面只介绍几种常用的acl列表类型

src 基于客户端IP地址做控制， 源ip

dst 基于访问目的IP做控制

srcdomain 基于域名的源地址解析

port 基于端口控制

proto 基于协议类型做控制

browser 对浏览器的做控制 # acl notfirefox browser MOZILIA

time 基于时间做控制，acl worktime time 10:00-23:59

acl working time 0:00-5:59

(注意：time时间控制时，前一个时间点要小于后一个时间点，若是要过0点设定，就仿写成上面例子，列表名称可以一样，acl匹配时取它们的并集)

maxconn 最大并发连接数

url_regex [-i ] 统一资源，针对url做正则表达式匹配 -i 不区分大小写

acl notpdf url_regex –i ^http.*\.pdf$

urlpath_regex [-i] 可不指定前端只对url 尾部做匹配

acl notpdf urlpath_regex –i .*\.pdf$

下面先来配置一个传统的代理服务

要求做一个普通代理，pc机能通过squid服务器访问外网192.168.0.254的web服务，但是在18：30-8：30之间内网用户不能上网，不能访问下载以.rmvb .mp3为后缀的文件，单个文件最大不能超过10M 代理端口为8080，错误提示呈现为中文，管理员邮箱为root@test.com， 内存大小为64M， 缓存目录大小为1024M， 并为squid配置可见主机名

1 安装squid软件包

#yum install squid

2 编辑/etc/squid/squid.conf

配置可见主机名

visible_hostname st.test.com

指定缓存目录大小

cache_dir ufs /var/spool/squid 1024 16 256

配置管理员邮箱

cache_mgr root@test.com

定义内存大小

cache_mem 64 MB

指定 缓存目录为1024M

cache_dir ufs /var/spool/squid 1024 16 256

定义错误信息显示

error directory /usr/share/squid/errors/Simplify_Chinese

定义最大单个文件大小

reply_body_max_size 10240000 allow all

修改监听端口

http_port 8080

最acl控制

3.现在 到内网pc机上将为浏览器配置代理服务，将ip指向192.168.0.72 端口指向8080

现在连上0.254 了测试一下你做的acl 控制吧

现在我们把题目修改一下，把上面的普通代理做成透明代理

1 修改squid.conf 配置文件，并重新加载该配置项

只需要修改一下监听端口

http port 192.168.10.9:8080 transparent

2.在squid主机上添加iptables 规则

iptables -t nat -A PREROUTING -i eth1 -s 192.168.10.0/24 -p tcp--dport 80 -j REDIRECT --to-ports 8080

3 客户机浏览器不需要指定代理服务器的地址，端口

做完透明代理访问也是一样的

下面再介绍一下反向代理

1.修改squid.conf 文件,并重启加载配置项

（cache_peer web 服务器 服务器类型 http端口 icp端口 可选项）

http_port 192.168.0.74:80 vhost 修改监听端口

cache_peer 192.168.10.2 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.3 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.4 parent 80 0 originserver weight=5 max-conn=30

cache_peer 192.168.10.5 parent 80 0 originserver weight=1 max-conn=8

2，好了现在可以验证了，在外网的客户机访问反向代理服务器192.168.0.74能够看到web提供的网页

（注意透明代理服务器和反向代理服务器不能配置在一台squid服务器上）