squid代理

概念
    高性能dialing服务软件，作为前置缓存服务，用于替代用户向网站服务器请求页面数据并进行缓存。
    默认占用端口3128、3401、4827
    
分类
    从作用分类
        正向代理
          用于局域网内
            标准正向代理模式：
                将网站的数据缓存在服务器本地，用户需要指定服务器的IP地址和端口号
            透明正向代理模式
                功能同上，但不需要用户指定代理服务器的IP地址和端口号
                
        反向代理
            降低网站服务器负载而设计的，反向代理服务器负责回应用户对原始网站服务器的静态页面请求
            用于网站架构中，缓存网站的静态数据
            
安装squid
    yum -y install squid
    
    主程序目录        /usr/sbin/squid
    配置文件目录    /etc/squid
        主配置文件    /etc/squid/squid.conf
        访问日志    /var/log/squid/access.log
        缓存日志    /var/log/squid/cache.log
        
    配置文件中的参数
        http_port 3128     监听的端口号。
        cache_mem 64M     内存缓冲区的大小。
        cache_dir ufs /var/spool/squid 2000 16 256     硬盘缓冲区的大小。缓存大小，一级目录数，二级目录数
        cache_effective_user squid     设置缓存的有效用户。
        cache_effective_group squid     设置缓存的有效用户组。
        dns_nameservers IP地址     一般不设置，用服务器默认的DNS地址。
        cache_access_log /var/log/squid/access.log     访问日志文件的保存路径。
        cache_log /var/log/squid/cache.log     缓存日志文件的保存路径。
        visible_hostname linuxprobe.com     设置Squid服务主机的名称
        
启动服务
    systemctl enable squid
    systemctl start squid
        #启动后默认可以标准正向代理模式
    
    放行squid或端口
        firewall-cmd --permanent --add-port=3128/tcp
        firewall-cmd --permanent --add-service=squid
        
自定义服务端口
    1、更改主配置文件
        vim /etc/squid/squid.conf
            http_port 10000
        
    2、修改squid的布尔值
        setsebool -P squid_connect_any 0
        
    3、修改SELinux对10000的端口策略
        semanage port -a -t squid_port_t -p tcp 10000
        
    4、重启服务
        systemctl restart squid
        
    透明正向代理
        squid不支持DNS解析，需要配置SNAT                                          
            iptables -t nat -A POSTROUTING -p udp --dport 53 -o en016777736 -j MASQUERADE
            
            # firewall-cmd --permanent --add-masquerade
        
            开启IPv4 转发策略
                echo “net.ipv4.ip_forward=1” >> /etc/sysctl.conf
                sysctl -p
        
        配置透明代理
            vim /etc/squid/squid.conf
                
                http_port 3128  transparent
            
            判断文件是否有错误
                squid -k  parse
            
        重启服务
            systemctl restart squid
        
        将用户对80端口的请求转发到3128端口
            iptables -t nat -A PEROUTING -p tcp --dport 80 -j REDIRECT --to-port 3218
            iptables -t nat -R PEROUTING 1 -i eno16777736 -p tcp --dport 80 REDIRECT --to-port 3218
            
                
    反向代理    
        编辑配置文件
        格式:http_port squid服务器地址:端口号 vhost
        http_port 192.168.10.10:80 vhost
        
        添加原网站服务地址
            格式：
                cache_peer 原网站服务器地址 parent 服务器端口号 0 originserver
                cache_peer 106.184.1.125 parent 80 0 originserver
                
    ACL访问控制
        ACL语法：
            acl AclName AclType string
            acl ACLName AclType "file"
            
            AclType:
                src定义源地址
                    acl aclname  src x.x.x.x/mask
                    acl aclname  src addr1-addr2/mask
                
                dst目的地址
                    acl aclname dst x.x.x.x/mask
                    
                port指定访问端口号
                    acl aclname port 80 1024
                    acl aclname port 0-1024
                
                url_regex限制网址中的关键词
                    acl aclname url_regex [-i] pattern
                
                proto定义要代理的协议
                    acl aclname proto HTTP FTP
                
                method指定请求的方法
                    acl aclname method GET POST
                    
        例：仅允许192.168.10.20的主机使用本地squid服务，拒绝其他
            acl client src 192.168.10.20
            http_access allow client
            http_access deny all
            
            拒绝客户使用代理服务器访问带有关键词“linux”的网站
                acl deny_keyword url_regex -i linux
                http_access deny deny_keyword
                http_access allow all
                
            拒绝客户机使用代理服务访问www. i.cnblogs.com
                acl deny_url url_regex http://i.cnblogs.com
                http_access deny deny_url
                
            禁止客户机使用代理服务器下载mp3与rar为后缀的文件
                acl badfile urlpath_regex -i \.mp3$ \.rar$
                http_access deny badfile