《squid介紹及其配置優(yōu)化》由會員分享，可在線閱讀，更多相關(guān)《squid介紹及其配置優(yōu)化（14頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、squid介紹及其簡單配置 1. Squid是什么？ Squid是一種用來緩沖Internet數(shù)據(jù)的軟件。它是這樣實現(xiàn)其功能的，接受 來自人們需要下載的目標(biāo)（0 bject ）的請求并適當(dāng)?shù)靥幚磉@些請求。也就是說， 如果一個人想下載一 web頁面，他請求Squid為他取得這個頁面。Squid隨之連 接到遠(yuǎn)程服務(wù)器（比如：http： // Squid顯式地聚集數(shù)據(jù)到客戶端機(jī)器，而且同時復(fù)制一份。當(dāng)下一次有人需要同 一頁面時，Squid可以簡單地從磁盤中讀到它，那樣數(shù)據(jù)迅即就會傳輸?shù)娇蛻魴C(jī) 上。當(dāng)前的Squid可以處理HTTP，F(xiàn)TP，GOPHER，SSL和 WAIS等協(xié)議。但 它不能處理如P

2、OP，NNTP，RealAudio以及其它類型的東西。 I1 1 阪閃代幕 xwwIMoom 0tH? WM ? JQ31GO WMJ m吊? 2.squid代理的作用: 淳代理服務(wù)器的作用 。通過緩存的方式為用戶提供Web訪問加速 o對用f1的Web訪問進(jìn)行過濾控制 3.接下來我們主要探討的是squid各種代理的定義 正向代理 a. 標(biāo)準(zhǔn)的代理緩沖服務(wù)器 一個標(biāo)準(zhǔn)的代理緩沖服務(wù)被用于緩存靜態(tài)的網(wǎng)頁（例如：html

3、文件和圖 片文件等）到本地網(wǎng)絡(luò)上的一臺主機(jī)上（即代理服務(wù)器）。當(dāng)被緩存的頁面被第 二次訪問的時候，瀏覽器將直接從本地代理服務(wù)器那里獲取請求數(shù)據(jù)而不再向原 web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是， 要想實現(xiàn)這種方式，必須在每一個內(nèi)部主機(jī)的瀏覽器上明確指明代理服務(wù)器的IP 地址和端口號?？蛻舳松暇W(wǎng)時，每次都把請求送給代理服務(wù)器處理，代理服務(wù)器 根據(jù)請求確定是否連接到遠(yuǎn)程web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo) 文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，先在本地保存 一份緩沖，然后將文件發(fā)給客戶端瀏覽器。 b. 透明代理緩沖服務(wù)器 透明代理緩

4、沖服務(wù)和標(biāo)準(zhǔn)代理服務(wù)器的功能完全相同。但是，代理操作 對客戶端的瀏覽器是透明的（即不需指明代理服務(wù)器的IP和端口）。透明代理 服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP （80端口）流量。如果客戶 端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向 遠(yuǎn)程web服務(wù)器發(fā)出請求，其余操作和標(biāo)準(zhǔn)的代理服務(wù)器完全相同。對于Linux 操作系統(tǒng)來說，透明代理使用Iptables或者Ipchains實現(xiàn)。因為不需要對瀏覽器 作任何設(shè)置，所以，透明代理對于ISP （Internet服務(wù)器提供商）特別有用。 反向代理： a.反向代理緩沖服務(wù)器 反向代理是和前兩種代理完全不同的一

5、種代理服務(wù)。使用它可以降低原 始WEB服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對原始WEB服務(wù)器的靜態(tài)頁面 的請求，防止原始服務(wù)器過載。它位于本地WEB服務(wù)器和Internet之間，處理 所有對WEB服務(wù)器的請求，組織了 WEB服務(wù)器和Internet的直接通信。如果互 聯(lián)網(wǎng)用戶請求的頁面在代理服務(wù)器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā) 送給用戶。如果沒有緩沖則先向WEB服務(wù)器發(fā)出請求，取回數(shù)據(jù)，本地緩存后 再發(fā)送給用戶。這種方式通過降低了向WEB服務(wù)器的請求數(shù)從而降低了 WEB 服務(wù)器的負(fù)載。 4. Squid主要組成部分 服務(wù)名：squid 主程序：/usr/sbin/squid 配置

6、目錄：/etc/squid 主配文件：/etc/squid/squid.conf 監(jiān)聽tcp端口號：3128 默認(rèn)訪問日志文件：/var/log/squid/access.log 5. squid 常用配置選項（/etc/squid/squid.conf） http_port 3128 （還可以只監(jiān)聽一個一個 ip http_port 192.168.0.1:3128） cache_mem 64MB #緩存占內(nèi)存大小 maximum_object_size 4096KB # 最大緩存塊 reply_body_max_size 1024000 allow all # 限定下載文件

7、大小 access_log /var/log/squid/access.log #訪問日志存放的文件 visible_hostname proxy.test.xom # 可見的主機(jī)名 cache_dir ufs /var/spool/squid 100 16 256 usf:緩存數(shù)據(jù)的存儲格式 /var/spool/squid 緩存目錄 100 :緩存目錄占磁盤空間大?。∕） 16 :緩存空間一級子目錄個數(shù) 256 :緩存空間二級子目錄個數(shù) cache_mgr webmaster@ # 定義管理員郵箱 http_ _access deny all #訪問控制 6. 好了介

8、紹了那么多下面我們來對squid幾種代理進(jìn)行簡 單配置： 標(biāo)準(zhǔn)的代理緩沖服務(wù)器的配置: a.squid服務(wù)器上的配置 準(zhǔn)備環(huán)境：軟件包：squid （任意版本） 雙網(wǎng)卡：eth0:192.168.1.1 eth1:10.106.34.12 如圖： vim /etc/squid/squid.conf http_port 3128 access_log /var/log/squid/access.log http_ _access allow all b?一切配置以后： squid -z初始化緩存 squid -k parse檢查語法 service squid

9、start 啟動 squid chkconfig squid on加入開機(jī)啟動 netstat -nltp 查看3128端口是否打開 c. 客服端的配置： ip : 192.168.1.12 gw:192.168.1.1 然后打開瀏覽器-> 工具-> 選項-> 連接-> 局域網(wǎng)設(shè)置-> 代理服 務(wù)器 地址：192.168.1.1 端口： 3128 一切搞定之后在瀏覽器輸入http： //即可訪問，上網(wǎng)了 easy 吧！ 透明代理緩沖服務(wù)器的配置： a. aquid服務(wù)器上的配置與標(biāo)準(zhǔn)的代理緩沖服務(wù)器幾乎一樣 差別就是：http_port 192.168.1.12:3128

10、transparent b?添加iptables規(guī)則： iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128 squid -k parse service squid reload c.客服端不需要在瀏覽器中指定代理服務(wù)器的地址，端口 但需設(shè)置上網(wǎng)的DNS 好了經(jīng)過上三個步驟你就可以上網(wǎng)了 訪問控制 應(yīng)用訪問控制的方式 定義acl列表 acl列表名稱列表類型列表內(nèi)容… 針對acl列表進(jìn)行限制 http_access allow 或 deny 列表名 拒絕某個ip地址 acl dy

11、_ip src 192.168.1.103/32 http_access deny dy_ip 拒絕某個網(wǎng)段 acl dy_ip src 192.168.1.0/24 acl dy_ip src 192.168.1.0/24 192.168.10.0/24 acl dy_ip src 192.168.1.0-192.168.10.0/24 http_access deny dy_ip 通過文件拒絕某個ip的訪問 acl guests src "/etc/squid/guest” http_access deny guests /etc/squid/guests 內(nèi)容 拒絕

12、端口號 acl d_p port 80 acl d_p port 1-1024 http_access deny d_p 允許域名為域訪問本地代理服務(wù)器 acl permitted_domain src http_access allow permitted_domain 拒絕訪問域 acl B dstdomain www.squid-cache.org http_access allow all http_access deny B 服務(wù) acl FTP proto FTP http_access deny FTP time Code Day S Sunda

13、y M Monday T Tuesday W Wednesday H Thursday F Friday ASaturday DAll weekdays (M-F) 時間跨越子夜，你需要把它們分成兩個ACL來寫，或者使用否定機(jī)制來定義非 忙時。例如： acl Offpeak1 20:00-23:59 acl Offpeak2 00:00-04:00 http_access allow Offpeak1 ... http_access allow Offpeak2 ... 另外，你可以這樣寫： acl Peak 04:00-20:00 http_access al

14、low !Peak ... 不應(yīng)該在同一個time ACL里放置多個日期和時間范圍列表。例如，假如你輸 入：acl Blah time M 08:00-10:00 W 09:00-11:00，實際能做到的是：acl Blah time MW 09:00-11:00,解析僅僅使用最后一個時間范圍。正確的寫法是，將它們寫進(jìn) 兩行： acl Blah time M 08:00-10:00 acl Blah time W 09:00-11:00 控制訪問包含sexy字段的網(wǎng)址 acl deny_url url_regex -i sexy http_access deny deny_ur

15、l 拒絕某些字段結(jié)尾的網(wǎng)址 acl RealFile urlpath_regex -i \.rmvb$ \.rm$ http_access deny RealFile 解釋一下含義 acl kaixin_net dstdomain acl adv_net src 192.168.0?2-192?168?0.20/255.255.255.255 acl mynetwork src 192.168.0.0/24 acl kaixin time time MTWHF 7:00-9:30 acl all src 0.0.0.0/0.0.0.0 http_access allow

16、adv_net kaixin_time kaixin_net http_access deny mynetwork kaixin_time kaixin_net http_access allow all 練習(xí) 允許網(wǎng)段10?0?0?12424以及192.168.10.15/24內(nèi)的所有客戶機(jī)訪問代理服務(wù) 器，并且允許在文件/etc/squid/guest列出的客戶機(jī)訪問代理服務(wù)器，除此之外的 客戶機(jī)將拒絕訪問本地代理服務(wù)器: 允許域名為、的兩個域訪問本地代理服務(wù)器，其他的域都 將拒絕訪問本地代理服務(wù)器: 拒絕客戶機(jī)通過代理服務(wù)器訪問文件中指定IP或者域名的網(wǎng)站，其中文件 /et

17、c/squid/ deny_ip中存放有拒絕訪問的IP地址，文件/etc/squid/deny_dns中存 放有拒絕訪問的域名: 允許所有的用戶在規(guī)定的時間內(nèi)（周一至周四的8： 30到20： 30）訪問代理服務(wù) 器，只允許特定的用戶（系統(tǒng)管理員，其網(wǎng)段為：192.168.10.0/24）在周五下午訪 問代理服務(wù)器，其他的在周五下午一點至六點一律拒絕訪問代理服務(wù)器： 向代理緩沖服務(wù)器配置 注意：反向代理和透明代理不能同時使用 步驟： a. Squid 服務(wù)器的設(shè)置，修 改 /etc/squid/squid.conf 同樣反向代理aquid服務(wù)器上的配置與標(biāo)準(zhǔn)的代理緩沖服務(wù)器幾 乎

18、一樣 不同之處：http_port 10.106.34.12： 80 vhost Cache_peer 192.168.1.12 parent 80 0 originserver weight=5 max-conn=30 上一行的解釋：定義web服務(wù)器web服務(wù)器地址 服務(wù)器類型 http端口 icp端口 ［可選項］ squid k parse service squid reload b. 客服端的設(shè)置（注意：這時的客服端就是web服務(wù)器） 開啟web服務(wù) 好了通過以上配置外網(wǎng)即可訪問你的web服務(wù)器了 一對一反向代理 Internet client 今 squid

19、 server 今 internal static web server 1.1.1.2 1.1.1.1 192.168.0.254 192.168.0.2 1. squid打開轉(zhuǎn)發(fā)功能 2. squid要監(jiān)聽80端口 3. squid http_access allow all 配置過程 Http_port 80 cache_peer 192.168.1.105 parent 8888 0 originserver cache_peer Web服務(wù)器地址 服務(wù)器類型http端口 icp端口 ［可選項］ cache_peer指定真正WEB服務(wù)器的位置 parent服務(wù)器類型

20、對應(yīng)到目標(biāo)主機(jī)的緩存級別，上游Web主機(jī)一般使用“parent”（父服務(wù) 器） icp端口用于連接相鄰的ICP（Internet Cache Protocol）緩存服務(wù)器（通常為另一臺Squid主 機(jī)），如果沒有，則使用0； originserver表示該服務(wù)器作為提供Web服務(wù)的原始主機(jī)， weight=n”指定服務(wù)器的優(yōu)先權(quán)重，n為整數(shù)，數(shù)字越大優(yōu)先級越高（缺省為1）； max-conn=n”指定反向代理主機(jī)到該web服務(wù)器的最大連接數(shù)。 第二種SQUID反向代理，一對多WEB SERVER做負(fù)載均衡 192.168.0.2 / Client --- squid server

21、 1 > | — 192.168.0.3 1.1.1.1 \ 192.168.0.4 Squid server 的兩個 IP： 1.1.1.1 192.168.0.254 3 個 web server 分別是：192.168.0.2 192.168.0.3 192.168.0.4 需要有相同的頁面內(nèi) 容，可以通過NFS共享頁面內(nèi)容，三個WEB server掛載NFS共享到/var/www/html下 配置文件中在一對一反向代理的基礎(chǔ)上修改cache_peer行為如下三行 ache_peer 192.168.0.2 parent 8888 0 round-robin ache_peer 192.168.0.3 parent 8888 0 round-robin ache_peer 192.168.0.4 parent 8888 0 round-robin