基于Linux网关服务器squid配置过程详解_Linux

前言

  在此,我们要配置一个只对内部网络提供代理服务的 Proxy Server。它具有如下功能它将用户分为高级用户和普通用户两种,对高级用户采用网卡物理地址识别的方法,

  普通用户则需要输入用户名和口令才能正常使用。 高级用户没有 访问时间和文件类型的限制,而普通用户只在上班时可以访问以及一些其它的限制。

  安装

  从源中安装

  源中自带稳定版本,执行下面的命令进行安装

  sudo apt-get install squid squid-common

  源码编译安装

  当然你也可以到官方网站下载最新的版本进行编译安装:

  其中 STABLE 稳定版、DEVEL 版通常是提供给开发人员测试程序的,假定下载了最新的稳定版 squid-2.5.STABLE2.tar.gz,用以下命令解开压缩包:

  tar xvfz squid-2.5.STABLE.tar.gz

  用 bz2方式压缩的包可能体积更小,相应的命令是:

  tar xvfj squid-2.5.STABLE.tar.bz2

  然后,进入相应目录对源代码进行配置和编译,命令如下:

  cd squid-2.5.STABLE2

  配置命令 configure 有很多选项,如果不清楚可先用“-help”查看。通常情况下,用到的选项有以下几个:

  --prefix=/WEB/squid

  指定 Squid 的安装位置,如果只指定这一选项,那么该目录下会有 bin、sbin、man、conf 等目录,而主要的配置文件此时在 conf 子目录中。为便于管理,最好用参数--sysconfdir=/etc把这个文件位置配置为/etc。

  --enable-storeio=ufs,null

  使用的文件系统通常是默认的 ufs,不过如果想要做一个不缓存任何文件的代理服 务器,就需要加上 null 文件系统。

  --enable-arp-acl

  这样可以在规则设置中直接通过客户端的 MAC 地址进行管理,防止客户使用 IP 欺骗。

  --enable-err-languages="Simplify_Chinese"

  --enable-default-err-languages="Simplify_Chinese"

  上面两个选项告诉 Squid 编入并使用简体中文错误信息。

  --enable-Linux-netfilter

  允许使用 Linux 的透明代理功能。

  --enable-underscore

  允许解析的 URL 中出现下划线,因为默认情况下 Squid 会认为带下划线的 URL 是 非法的,并拒绝访问该地址。 整个配置编译过程如下:

  ./configure --prefix=/var/squid

  --sysconfdir=/etc

  --enable-arp-acl

  --enable-linux-netfilter

  --enable-pthreads

  --enable-err-language="Simplify_Chinese"

  --enable-storeio=ufs,null

  --enable-default-err-language="Simplify_Chinese"

  --enable-auth="basic"

  --enable-baisc-auth-helpers="NCSA"

  --enable-underscore

  其中一些选项有特殊作用,将在下面介绍它们。 最后执行下面两条命令,将源代码编译为可执行文件,并拷贝到指定位置。

  make

  sudo make install

  基本配置

  安装完成后,接下来要对 Squid 的运行进行配置(不是前面安装时的配置)。所有项目都在squid.conf 中完成。Squid 自带的 squid.conf 包括非常详尽的说明,相当于一篇用户手册,对配置有任何疑问都可以参照解决。在这个例子中,代理服务器同时也是网关,内部网络接口 eth0的 IP 地址为192.168.0.1,外部网络接 eth1的 IP 地址为202.103.x.x。下面是一个基本的代理所需要配置选项:

  http_port 192.168.0.1:3128

  默认端口是3128,当然也可以是任何其它端口,只要不与其它服务发生冲突即可。为了安全起见,在前面加上 IP 地址,Squid 就不会监听外部的网络接口。 下面的配置选项是服务器管理者的电子邮件,当错误发生时,该地址会显示在错误页面上,便于用户联系:

  cache_mgr start@soocol.

  以下这些参数告诉 Squid 缓存的文件系统、位置和缓存策略:

  cache_dir ufs /var/squid

  cache_mem 32MB

  cache_swap_low 90

  cache_swap_high 95

  在这里,Squid 会将/var/squid 目录作为保存缓存数据的目录,每次处理的缓存大小是32兆字节,当缓存空间使用达到95%时,新的内容将 取代旧的而不直接添加到目录中,直到空间又下降到90%才停止这一活动。如果不想 Squid 缓存任何文件,如某些存储空间有限的专有系统,可以使用 null 文件系统(这样不需要那些缓存策略):

  cache_dir null /tmp

  下面的几个关于缓存的策略配置中,较主要的是第一行,即用户的访问记录,可以通过分析它来了解所有用户访问的详尽地址:

  cache_access_log /var/squid/access.log

  cache_log /var/squid/cache.log

  cache_store_log /var/squid/store.log

  下面这行配置是在较新版本中出现的参数,告诉 Squid 在错误页面中显示的服务器名称:

  visible_hostname No1.proxy

  以下配置告诉 Squid 如何处理用户,对每个请求的 IP 地址作为单独地址处理:

  client_netmask 255.255.255.255

  如果是普通代理服务器,以上的配置已经足够。但是很多 Squid 都被用来做透明代理。所谓透明代理,就是客户端不知道有代理服务器的存在,当然也不需要进行任何与代理有关的设置,从而大大方便了系统管理员。相关的选项有以下几个:

  httpd_accel_host virtual

  httpd_accel_port 80

  httpd_accel_with_proxy on

  httpd_accel_user_host_header on

  在 Linux 上,可以用 iptables/ipchains 直接将对 WEB 端口80的请求直接转发到 Squid 端口3128,

  由 Squid 接手,而用户浏览器仍然认为它访问的是对方的80端口。例如以下这条命令:

  iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

  就是将192.168.0.200的所有针对80端口的访问重定向到3128端口。

  所有设置完成后,关键且重要的任务是访问控制。Squid 支持的管理方式很多,使用起来也非常简单(这也是有人宁愿使用不做任何缓存的 Squid, 不愿意单独使用 ipta

时间: 2024-11-26 16:31:28

基于Linux网关服务器squid配置过程详解_Linux的相关文章

linux VPS服务器安全配置步骤详解

在开通了 Linux 系统的 VPS 或服务器后,我们有必要做一些基本的安全设置. 大概有如下几个方面: 1. 禁止root帐号ssh,使用自定义帐号ssh: 这样一来,黑客要先猜到帐号,然后才能猜解密码: 2. 禁止帐号登录,使用pubkey登录: 3. 作ip ACL,只允许几个特定的IP访问: 4. ssh端口迁移,将默认22端口改为其他端口: 5. 启动尽量少的服务:如无必要,不起服务. 配置开始 一.关闭 SSH 密码登陆 首先,你需要有自己的 SSH Key,如果你使用 Window

基于linux程序中段的学习总结详解_Linux

linux程序的段陆陆续续接触过一些,今天适当的总结一下,时间仓促,总结的比较零散.linux 段:text:已编译程序的机器代码..rodata:只读数据.printf中的格式串,或者开关语句的跳转表.data:已初始化的全局变量.bss:未初始化的全局变量.symtab:符号表.注意:1.如果定义一个全局变量,int i = 0;它被初始化为0,但是,它却不是放在data段中的,而是放在bss段中的.因为编译器可能会做一些优化,如果初始化为0,则它会将它等同于未初始化的变量.这样的可能要求他

linux中了minerd之后的完全清理过程(详解)_Linux

一不小心装了一个Redis服务,开了一个全网的默认端口,一开始以为这台服务器没有公网ip,结果发现之后悔之莫及啊 某天发现cpu load高的出奇,发现一个minerd进程 占了大量cpu,google了一下,发现自己中招了 下面就是清理过程 第一步 1.立即停止redis服务,修改端口权限,增加密码措施 2.按照网上的资料 删除 crontab 里的两个内容 sudo rm /var/spool/cron/root sudo rm /var/spool/cron/crontabs/root 3

基于Android实现百度地图定位过程详解_Android

一.问题描述 LBS位置服务是android应用中重要的功能,应用越来越广泛,下面我们逐步学习和实现lbs相关的应用如定位.地图.导航等,首先我们看如何基于百度地图实现定位功能 二.配置环境 1.注册密钥:地址http://developer.baidu.com/map/ 2.下载定位SDK,并导入SDK如图所示:   三.编写MyApplication类 编写MyApplication类,为了使用方便我们可以将实现定位的方法封装的Application组件中 封装下列方法 1.  获取定位信息

Linux crontab定时任务配置方法(详解)_Linux

CRONTAB概念/介绍 crontab命令用于设置周期性被执行的指令.该命令从标准输入设备读取指令,并将其存放于"crontab"文件中,以供之后读取和执行. cron 系统调度进程. 可以使用它在每天的非高峰负荷时间段运行作业,或在一周或一月中的不同时段运行.cron是系统主要的调度进程,可以在无需人工干预的情况下运行作业.crontab命令允许用户提交.编辑或删除相应的作业.每一个用户都可以有一个crontab文件来保存调度信息.系统管理员可以通过cron.deny 和 cron

linux网站服务Apache的安装与配置方法详解_Linux

这篇文章介绍下linux网站服务apache的安装与配置方法,包括挂载光盘,安装http服务,管理httpd服务,httpd的配置文件几大部分.具体详情可以参考下文. 1.挂载光盘 自己习惯将光盘挂载在/media/cdrom目录,在做本地yum源的时候此目录为默认目录之一 [root@localhost /]# mount /dev/cdrom /media/cdrom/ 2.安装httpd服务(如果本地yum源已经搭建好就直接进行这一步,没有的话需要搭建,前面的文章有提到yum源的搭建) [

YUM解决RPM包安装依赖关系及yum工具介绍本地源配置方法详解_Linux

1.背景概述 在实际生产环境下,对于在linux系统上安装rpm包,主要面临两个实际的问题 1)安装rpm包过程中,不断涌现的依赖关系问题,导致需要按照提示或者查询资料,手工安装更多的包 2)由于内外网的隔离,无法连接外网的yum源 鉴于上述因此,本文将详细介绍,yum工具以及配置本地yum源的方法 2.yum工具简介 •yum工具作为rpm包的软件管理器,可以进行rpm包的安装.升级以及删除等日常管理工作,而且对于rpm包之间的依赖关系可以自动分析,大大简化了rpm包的维护成本. •yum工具

Apache防DDOS模块mod_evasive安装和配置方法详解_Linux

一.mod_evasive 介绍mod_evasive 是Apache(httpd)服务器的防DDOS的一个模块.对于WEB服务器来说,是目前比较好的一个防护DDOS攻击的扩展模块.虽然并不能完全防御DDOS攻击,但在一定条件下,还是起到缓服Apache(httpd)服务器的压力.如配合iptables.硬件防火墙等防火墙设备配合使用,可能有更好的效果.mod_evasive 的官方地址: http://www.zdziarski.com/二.mod_evasive 工作原理Apache模块mo

yum安装CDH5.5 hive、impala的过程详解_Linux

一.安装hive 组件安排如下: 172.16.57.75 bd-ops-test-75 mysql-server 172.16.57.77 bd-ops-test-77 Hiveserver2 HiveMetaStore 1.安装hive 在77上安装hive: # yum install hive hive-metastore hive-server2 hive-jdbc hive-hbase -y 在其他节点上可以安装客户端: # yum install hive hive-server2