linux-squid服务器的配置

[日期：

一linux--squid效器的配置心康[体：大中小id劳由一台拥有准地址机器代替设干没有准址机和Internet上的其它主打交道.squid工作制与根本功能工作机制代理效劳有何优点1.快速的存取由于它是将网页下载到地使用，因此问频率越高的点速度就会越快2.降低网络费用.id是下最为流行的代理效劳器软件它能强大。做为代理，性能远WINNT加为几百人的小型局域网代理绰3,Squid置参数squid的配置文件．:3128．指定squid可以用的内存想值，建议为内存的3cache_dir256定义硬盘缓存空间4.简单理访问控制的两要素例如：允许/8的网段能上网，#vi/etc/squid/squid.conf/24〔行〕god〔行〕格式

列表名称

控制方

控制目srcx/24控制式src:源地〔即户机IP地〕:目地〔劳器地址〕:源名称dstdomain:目标名称:时间URL规那么表达式配例-根据ip控制A,只允许内的户用代.#vi/etc/squid/squid.confgod在deny这一行前面加多个时，可以建立一个脚本再设它的路径aclgoodsrc"/etc/squid/authorizedip.txt“,根据时间制参数-,M-Monday,T-Tuesday,W-H-Thursday,F-A-，例--控制局部客户机时间许/8。/etc/squid/squid.confworktimetime8:30-12:00worktimetimeworktimegodACL结这些规那么按照它们的排顺序进行匹配检测，一旦检测到匹配的规那么，匹配检测就立即结束。请记住列表中的规那么总遵循由上而下的顺序。根据关键字过滤网址A,过滤色情网站#vi/etc/squid/squid.confsrcbadurl_regexxxxdenybadgod控文类型不允许用下载MP3AVI等文件/etc/squid/squid.conffileurlpath_regex\.avi$e$denymmxC,透明代理添加或如行/etc/squid/squid.conf//找/_port3128312880d_accel_with_proxyd_accel_uses_host_headeron#iptables>s/net/ipv4/ip_forward-APREROUTING-tnat-ieth1tcp80-jREDIRECT–#iptbales–tnat–A––s/8–j--toiptables二Squid置解源码编安装当然你可以到下面的官方网站下载最新的版本进行编译安装：:///其中STABLE稳定版、DEVEL版通常是提供应开发人员测试程序的，假定下载了最新定版squid-2.5.STABLE2.tar.gz，用以下命令解开压缩包：tarxvfzsquid-2.5.STABLE.tar.gz用方式压缩的包能体积更小，相应的命令是：tarxvfjsquid-2.5.STABLE.tar.bz2然后，入相应目录对源代码进行配置和编译，命令如下：cdsquid-2.5.STABLE2配置命令有很多项选择项，如果不清楚可先用“-help查。通常情况下用到的选项有以下几个：--prefix=/web/squid指定的安装位置，果只指定这一选项，那么该目录下会有、sbin、man、conf等目录，而主要的配置文件此时在子目录中。为便于管理，最好用参数--sysconfdir=/etc把这个文件位置配置为etc。--enable-storeio=ufs,null使用的文件系统通常是默认的ufs不过如果想要做一个不缓存任何文件的代理服务器，就需要加上null文件系统。--enable-arp-acl这样可以在规那么设置中直接通过客户端的地址进行管理，防止客户使用IP欺骗。--enable-err-languages="Simplify_Chinese"--enable-default-err-languages="Simplify_Chinese"上面两个选项告诉Squid编入并使用简体中文错误信息。--enable-linux-netfilter允许使用Linux的透明代理功能。--enable-underscore允许解析的URL中出现下划线，因为默认情况下会认为带下划线的URL是非法的，并拒绝访问该地址。整个配置编译过程如下：./configure--prefix=/var/squid--sysconfdir=/etc--enable-arp-acl--enable-linux-netfilter--enable-pthreads--enable-err-language="Simplify_Chinese"--enable-storeio=ufs,null--enable-default-err-language="Simplify_Chinese"--enable-auth="basic"--enable-baisc-auth-helpers="NCSA"--enable-underscore其中一些选项有特殊作用，将在下面介绍它们。最后执行下面两条命令，将源代码编译为可执行文件，并拷贝到指定位置。makesudomakeinstall[编辑本Squidsquid.confsquid.confeth0IPeth1IP_port:3128

3128Squid

诉Squid缓存文、缓策9095Squid/var/squid目作存存录每次处缓存大32兆节缓存空间使到达新容将到录到到Squid缓存文存间统使null文统缓存策略cache_dirnull缓略录cache_access_log/var/squid/access.logcache_log/var/squid/cache.log/var/squid/store.log新诉visible_hostnameNxySquidclient_netmask55d_accel_hostvirtuald_accel_port80d_accel_with_proxyond_accel_user_host_headeronLinuxiptables/ipchains80Squid3128Squid80iptables-tnat-APREROUTING-s00/32-ptcp80-jREDIRECT312800803128Squid〔人宁愿缓Squid愿意iptables因〕Squid过、主机MAC、/密码证等识别过、域缀、件类、URL匹等还时间区间Squid中Squid〔AccessControlList〕类_accessdenyallowadvance还all码acladvance-0/32aclsrc1-00/32aclbadusersrc00/32acldstaclallsrc/0_accessdenybaduser_accessallowadvance_accessallownormalACLaclaclallsrc/0allIP/0IP0acladvance-0/32baduser00aclbaduser00/32ACL_accessdenybaduser_accessallowadvance_accessallownormalSquidbaduser

InternetadvanceSquidbadusernormalbadusernormalSquid

normal就起作特注意Squid使allow-deny-allow-deny…套例当效劳器Squid测试当匹配Squid使与相反就像子假IP他试图通过效劳器Internet发生什情呢？我发他能够正常因为找遍也和便开应而deny默认处反Internet希望squid.conf永deny而all就“”[编辑制前面说过，Squid的控制功能常强大，只要理解的行为方式，根本上就能够满足所有的控制要求下面就一步一步来了解是如何进行控制管理的。通过地址来识别用户很不可靠比地址好的是网卡的物理地址要在中用地址识别，必在编译时加上“--enable-arp-acl〞选，然后可以通过以下的语句识别用户：acladvancearp00:01:02:1f:2c:3e00:01:02:3c:1a:8b...它直接使用地址而MAC地一般是不易修改的即使有普通用户将自己的地址改为高级用户也无法通过，所以这种方式比地址可靠得多。假设不想让用户访问某个站应该怎么做呢？可以分为两种情况一种是不允许访某站的个主，方的主机是ok.sina，其它的浪资源却是允许问的，么ACL可以样：aclsinapagedstdomainok.sina......_accessok......由此可以到，除了，其如sina、news.sina.c...�访。种是整个网站都许，那么只出这个网站共有域即可，如：acldstdomain.tcccent意前面的“.，正它指出以此域名结所主都不访，么就只有这一主不能访问。想某IP地访，如82，可以用，如下：aclbadaddrdst82，这dst也以是域名，由SquidDNS将其为。有一种比制通用理下MP3、AVI等文件，完全可以对他们进行限制，代码如下：aclmmxfileurlpath_regex\.mp3$\.avi$\.exe$_accessdenymmxfile看到regex，很多读者应该心神会，因为这条语使用了标准的规那表达式〔叫那表式〕。它将匹配所.mp3、.avi等尾的URL请求，还可以用-i参数略小，如以下代码：aclmmxfileurlpath_regex-i\.mp3$这样，无论是.mp3还是MP3都被拒绝当然，-i参数适用于任可能需要区分大小的地方如前面域名控。如果想普通用只在上时间可上网，而且是周工作用Squid应当如何处呢？看下面的ACL义：aclworktimetimeMTWHF8:30-12:0014:00-18:00_accessdeny!worktime首先定允许上的时间每周工〔星期一星五的上午和下午固定时段，后用_access定所有不这个时段内的求都是允许的。或者为保证高用户的宽希望每个户的并连接不能多以免他，可以通Squid控制，代码下：aclconncountmaxconn3_accessdenyconncountnormal_accessallownormal这样普通户在个固定时只能时发个接个连将被拒绝。，Squid的ACL配、大，的控方式可参squid.conf.default。[编辑用户/码为Squid了多的方式NCSA。Squid2.5证在basic而以前。下面看看证的作。首先在配应以配：--enable-auth="basic"--enable-basic-auth-helpers="NCSA"“makeinstall〞以后，需要将“helpers/basic_auth/NCSA/ncsa_auth〞拷贝到用户可执行目录中，如/usr/bin〔如果在该目录中找不到这个执行文件，在编译时请使用makeall而不是make，或直接在该目录中执行make〕，然后需要借助Apache的密码管理程序htpasswd/密码对应的文件，就像下面这行代码：htpasswd-cguest在输入两遍guest，一个guest用户。如果以后需要添加用户，把上面的命令去掉-c参数。Squid2.5在认证处理上有了较大的改变，这里就只讨论2.5版本的处理方法，2.4及以下版本请参考。在的squid.conf中，包括以下几个相关选项：该选项指出了认证方式〔〕和对应的密码文件〔password〕auth_parambasicprogram/usr/bin/ncsa_auth/var/squid/etc/password指定认证程序的进程数auth_parambasicchildren浏览器显示输入用户/密码对话框时的领域内容auth_parambasicrealmMyProxyCachingDomain根本的认证有效时间auth_parambasiccredentialsttl2hou