1、squid 配置指南及问题gary168 发布于 2008-11-05 | 344 次阅读 字号: 大 中 小 (网友评论 0 条) 我要评论 基本配置具体是对 squid.conf 进行配置,安装配置路径参考安装目录下的 INSTALL 文件。 安装完成后,接下来要对 Squid 的运行进行配置(不是前面安装时的配置)。所有项目都在 squid.conf 中完成。Squid 自带的 squid.conf 包括非常详尽的说明,相当于一篇用户手册,对配置有任何疑问都可以参照解决。 在这个例子中,代理服务器同时也是网关,内部网络接口 eth0 的 IP 地址为 192.168.10.11 http
2、_port 192.168.10.11:3128默认端口是 3128,当然也可以是任何其它端口,只要不与其它服务发生冲突即可。为了安全起见,在前面加上 IP 地址,Squid 就不会监听外部的网络接口。 下面的配置选项是服务器管理者的电子邮件,当错误发生时,该地址会显示在错误页面上,便于用户联系: cache_mgr 以下这些参数告诉 Squid 缓存的文件系统、位置和缓存策略: cache_dir ufs /usr/local/squid/var/cache 100 16 256(这里最好使用系统默认路径,以便更改权限时方便)cache_mem 32MBcache_swap_low 90ca
3、che_swap_high 95在这里,Squid 会将/var/squid 目录作为保存缓存数据的目录,每次处理的缓存大小是 32 兆字节,当缓存空间使用达到 95%时,新的内容将取代旧的而不直接添加到目录中,直到空间又下降到 90%才停止这一活动。如果不想 Squid 缓存任何文件,如某些存储空间有限的专有系统,可以使用null 文件系统(这样不需要那些缓存策略): cache_dir null /tmp -不需要下面的几个关于缓存的策略配置中,较主要的是第一行,即用户的访问记录,可以通过分析它来了解所有用户访问的详尽地址: access_log /usr/local/squid/var/
4、logs/access.logcache_log /usr/local/squid/var/logs/cache.logcache_store_log /usr/local/squid/var/logs/store.log下面这行配置是在较新版本中出现的参数,告诉 Squid 在错误页面中显示的服务器名称: visible_hostname No1.proxy以下配置告诉 Squid 如何处理用户,对每个请求的 IP 地址作为单独地址处理: client_netmask 255.255.255.255如果是普通代理服务器,以上的配置已经足够。但是很多 Squid 都被用来做透明代理。所谓透明代
5、理,就是客户端不知道有代理服务器的存在,当然也不需要进行任何与代理有关的设置,从而大大方便了系统管理员。相关的选项有以下几个: httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_user_host_header on在 Linux 上,可以用 iptables/ipchains 直接将对 Web 端口 80 的请求直接转发到 Squid 端口 3128,由 Squid 接手,而用户浏览器仍然认为它访问的是对方的 80 端口。例如以下这条命令: iptables -t nat -A PR
6、EROUTING -s 192.168.0.200/32 -p tcp -dport 80 -j REDIRECT 3128就是将 192.168.0.200 的所有针对 80 端口的访问重定向到 3128 端口。 所有设置完成后,关键且重要的任务是访问控制。Squid 支持的管理方式很多,使用起来也非常简单(这也是有人宁愿使用不做任何缓存的 Squid,也不愿意单独使用 iptables 的原因)。Squid 可以通过 IP 地址、主机名、MAC 地址、用户/密码认证等识别用户,也可以通过域名、域后缀、文件类型、IP 地址、端口、 URL 匹配等控制用户的访问,还可以使用时间区间对用户进行管
7、理,所以访问控制是 Squid 配置中的重点。Squid 用ACL(Access Control List,访问控制列表)对访问类型进行划分,用 http_access deny 或 allow 进行控制。根据需求首先定义两组用户 advance 和normal,还有代表所有未指明的用户组 all 及不允许上网的 baduser,配置代码如下: acl all src 0.0.0.0/0.0.0.0acl luzhigang src 192.168.10.5/255.255.255.255acl test src 192.168.10.6/255.255.255.255acl hc src 2
8、02.122.39.114/255.255.255.255acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_p
9、orts port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECThttp_access allow luzhiganghttp_access allow testhttp_access allow hchttp_access allow manager localhosthttp_access deny manager# Deny requests to unknown portshttp_access deny !Safe_ports# Deny CONNECT to other than SSL portshttp_access deny CONNECT !SSL_ports
