Squid 理解

cxwpf200

　　因工作中需要用到squid，为此开始学习squid。这只能说明一点，学习是被逼出来的。费话不多说，开始了！
　　Squid的代理模式有：

1.代理服务器 　　理解：web直接将80请求发给代理服务器3128端口） 　　2.透明代理 　　理解：web的80请求被防火墙直接重定向到3128，因此透时代理对用户而言是不可见的。 　　3.反向代理

　　
　　
一、代理服务器　　这是SQUID的最基本功能；通过在squid.conf文件里添加一系列访问及控制规则，用户在客户端设置服务器地址和端口，即可通过SQUID访问INTERNET，在下面的规则里，squid实现局域网用户代理和高速缓存功能。

http_port 3128 #监听内外网端口 　　cache_dir ufs /var/squid   　　#定义内容缓存的目录    cache_mem 32MB 　　#定义内存缓冲的大小   cache_swap_low 90   cache_swap_high 95 　　cache_dir /var/squid 1000 16 32 　　dns_nameservers 202.96.128.86 　　#设置硬盘缓冲的大小                cache_access_log /var/log/squid/access.log 　　#设置访问日志                cache_log /var/log/squid/cache.log 　　#设置缓存日志                acl all src 0.0.0.0/0.0.0.0 　　#允许所有人可以上网 　　acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255 　　#定义可上网的网段                acl denysite dstdomain tw net 　　#定义阻止的网站                acl denyip dst 202.96.134.133/255.255.255.255 　　#定义阻止的目标IP                acl dnsport port 53 　　＃定义DNS传输端口                http_access allow head                  http_access deny denysite 　　#执行定义的阻止访问站点                http_access deny denyip                #执行定义的阻止的目标IP 　　http_access deny dnsport 　　执行阻止的DNS请求 　　visible_hostname 192.168.0.1 　　#配置代理服务器的主机名 　　cache_mgr ×××＠redhat.com 　　#配置管理员的邮址

　　客户端在IE设置里填写代理服务器IP地址及端口，即刻实现高速上网。
　　
　　二、透明代理
　　所谓透明代理，是相对于代理服务器而言，客户端不需要做任何和代理服务器相关的设置和操作，对用户而言，更本感觉不到代理服务器的存在，所以称之为透明代理
　　▲用户A发送一个访问请求到防火墙，由防火墙将该用户的访问请求转发到SQUID，SQUID在先检查自身缓存中有无该用户请求的访问内容，如果没有，则请求远端目的服务器，获取该用户的访问内容，在返回给用户的同时，在自身缓存保留一份记录以备下次调用；当用户B发送一个和用户A相同的访问请求时，由防火墙将转发该用户请求到SQUID，SQUID检查自身缓存发现有同样内容后，直接将该内容返回给用户。
　　▲注：在实际使用中，通常将SQUID和防火墙放在同一台机器上，为了更清楚的象浏览者描述其工作流程，在以下的流程图中将防火墙和SQUID分开显示。

　　要实现透明代理，需要在代理服务器的配置文件基础上加一些东西。

http_port 3128 #监听内外网端口 　　cache_dir ufs /var/squid   　　#定义内容缓存的目录    cache_mem 32MB 　　#定义内存缓冲的大小   cache_swap_low 90   cache_swap_high 95 　　cache_dir /var/squid 1000 16 32 　　dns_nameservers 202.96.128.86 　　#设置硬盘缓冲的大小                cache_access_log /var/log/squid/access.log 　　#设置访问日志                cache_log /var/log/squid/cache.log 　　#设置缓存日志                acl all src 0.0.0.0/0.0.0.0 　　#允许所有人可以上网 　　acl head src 192.168.0.2/255.255.255.255 192.168.0.3/255.255.255.255 　　#定义可上网的网段                acl denysite dstdomain tw net 　　#定义阻止的网站                acl denyip dst 202.96.134.133/255.255.255.255 　　#定义阻止的目标IP                acl dnsport port 53 　　＃定义DNS传输端口                http_access allow head                  http_access deny denysite 　　#执行定义的阻止访问站点                http_access deny denyip                #执行定义的阻止的目标IP 　　http_access deny dnsport 　　执行阻止的DNS请求 　　visible_hostname 192.168.0.1 　　#配置代理服务器的主机名 　　cache_mgr ×××＠redhat.com 　　#配置管理员的邮址 　　++++++++++++++++以下为实现透明代理不可缺少的主句 　　httpd_accel_host virtual 　　#虚拟主机模式 　　httpd_accel_with_proxy on 　　#此项设置为ON后，Squid即是WEB请求的加速器，又是缓存代理服务器。 　　httpd_accel_users_host_header on 　　#此项设置ON后，在透时代理模式下，代理服务器的缓存功能才能正常工作。 　　 　　+++++++++++ 　　开启Linux 路由功能： 　　方法1：ech0 "1">/proc/sys/net/ipv4/ip_forward                #打开Linux中的包转发功能                　　方法2：#改变此文件(sysctl.conf)让包转发功能在系统启动以后自动生效；                vi /etc/sysctl.conf                #找到下面语句：                # Controls IP packet forwarding                net.ipv4.ip_forward = 0                #把0改为1，改后如下：                # Controls IP packet forwarding                net.ipv4.ip_forward = 1 　　++++++++++++ 　　开启iptables的NAT及端口重定向 　　iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 　　#打开iptables的NAT功能(eth1是连接外网或者连接Internet的网卡);                　　iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080                #端口重定向(eth0是内网的网卡)；                　　service iptables save                #保存iptables的规则;                　　service iptables restart                #重启iptables 　　++++++++++++++++++++ 　　互联网的访问控制： 　　acl 2 src 192.168.0.2                http_access allow 2                ＃允许192.168.0.2这个ip地址的请求全部通过代理服务器；                　　acl qq url_regex -i qq.com                http_access deny qq                acl tencent url_regex -i tencent.com                http_access deny tencent                ＃禁止用户上qq                　　acl jzxz urlpath_regex -i \.exe$ \.rar$ \.zip$ \.mp3$ \.mp4$ \.rm$ \.wma$ \.rmvb$ \.avi$                http_access deny jzxz                ＃禁止用户下载以'.exe、.rar、mp3、mp4、.rm'等结尾的文件(注意空格啊！没有空格便失效)                　　acl all src 192.168.0.1/255.255.255.0                http_access allow all                ＃设置访问控制列表，让代理服务器接受来自192.168.0这个网段的请求。 　　 　　博文若有问题，请大家拍砖！ 　　2010-4-1 深圳地王