代理服務是一種特殊的服務，允許客戶端通過它與另一個網絡服務進行非直接的連接，也稱網絡代理。提供代理服務的計算機或其他類型的網絡節點稱為代理服務器，代理服務器中實現網絡代理的軟件稱為代理軟件。Linux中用到的代理軟件是squid。

本實驗平臺為Centos 6.2，環境為：

Squid服務器暨Apache服務器

主機名：itpro ? ?IP地址：192.168.56.53

客戶端測試機

主機名：station ? ? IP地址：192.168.56.123

準備工作：

Httpd方面，

[root@itpro ~]# yum install httpd

[root@itpro ~]# chkconfig httpd on

[root@itpro ~]# service httpd start

同時，在/var/www/html/下創建一個index.html文件，內容隨意，用于測試網頁訪問。

Squid方面，

[root@itpro ~]# yum install squid

[root@itpro ~]# chkconfig squid on

[root@itpro ~]# service squid start

[root@itpro ~]# ls /var/spool/squid/

（注：此時的緩存目錄為空目錄）

一、緩存設置

Squid主配文件/etc/squid/squid.conf中，有一行是用于指定緩存目錄設置的，如下

cache_dir ufs /var/spool/squid 100 16 256

默認情況下被注釋掉了，要將其前面的“#”刪除，才能生效。

其中ufs表示緩存數據的存儲格式；

/var/spool/squid 指緩存目錄；

100 : 緩存目錄占磁盤空間大小（M）；

16 ：緩存空間一級子目錄個數；

256 ：緩存空間二級子目錄個數。

修改配置文件，將cache_dir ufs /var/spool/squid 100 16 256前面的#去掉，再重啟服務，可以看到/var/spool/squid/下多了16個目錄，每個目錄里又有256個子目錄。

[root@itpro ~]# service squid restart

init_cache_dir /var/spool/squid... Starting squid: ...... ?[ ?OK ?]

[root@itpro ~]# ls /var/spool/squid/

00 ?01 ?02 ?03 ?04 ?05 ?06 ?07 ?08 ?09 ?0A ?0B ?0C ?0D ?0E ?0F ?swap.state

在客戶端station，打開firefox瀏覽器，將其代理服務設置為192.168.53.56:3128，

然后訪問http://192.168.53.56，能看到先前在服務器上創建的index.html的內容，

表明客戶機station通過squid服務器itpro成功訪問httpd服務器（也是itpro）。

刷新頁面兩次。

在服務器上查看squid訪問日志，內容如下：

[root@itpro ~]# tail /var/log/squid/access.log

1368574347.237 ? ? 23 192.168.56.123 TCP_MEM_HIT/200 427 GET http://192.168.56.53/ - NONE/- text/html

1368574350.174 ? ? 23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ - NONE/- text/html

1368574354.157 ? ? 23 192.168.56.123 TCP_IMS_HIT/304 291 GET http://192.168.56.53/ - NONE/- text/html

其中第一條記錄的狀態碼為200，表示這是squid服務器第一次訪問http服務器，由http服務器提供請求的頁面。

第二、三條記錄的狀態碼為304，表示網頁內容未修改過，http服務器只返回響應，不返回頁面內容，亦即客戶端瀏覽器上看到的是squid里的緩存。

二、訪問控制

A、設置1

1.修改記主配文件

[root@itpro ~]# vim/etc/squid/squid.conf

……省略部分內容…… acl rhca src 192.168.56.123/32 #定義來源主機的acl #acl rhca dst 192.168.56.53/32 ……省略部分內容…… # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access deny rhca #注，這條記錄要在http_access allow localnet記錄的上面，否則不生效，或者把http_access allow localnet記錄注釋掉 http_access allow localnet #注，允許本地網絡訪問，即同一網段的主機都可以訪問 http_access allow localhost # And finally deny all other access to this proxy http_access deny all # squid.conf中，最后一條規則永遠是http_access deny all ……省略部分內容……

2.修改完成后重啟服務

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客戶端使用瀏覽器訪問網站主頁

4.在服務器上查看squid訪問日志報錯

[root@itpro ~]# tail /var/log/squid/access.log

…………

1368580343.071 ? ? ?0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580343.096 ? ? ?0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

1368580345.106 ? ? ?0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580345.127 ? ? ?0 192.168.56.123 TCP_DENIED/403 3919 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

B、設置2

1.修改主配文件

[root@itpro ~]# vim/etc/squid/squid.conf ……省略部分內容…… #acl rhca src 192.168.56.123/32 acl rhca dst 192.168.56.53/32 #定義目的主機的acl ……省略部分內容…… # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access deny rhca http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all ……省略部分內容……

2.修改完成后重啟服務

[root@itpro ~]# service squid reload

2013/05/15 09:16:09| WARNING cache_mem is larger than total disk cache space!

3.在客戶端使用瀏覽器訪問網站主頁

4.在服務器上查看squid訪問日志報錯

[root@itpro ~]# tail /var/log/squid/access.log

……省略部分內容……

1368580731.245 ? ? ?0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png - DIRECT/www.squid-cache.org text/html

1368580731.870 ? ? ?0 192.168.56.123 TCP_DENIED/403 3841 GET http://192.168.56.53/ - NONE/- text/html

1368580731.877 ? ? ?0 192.168.56.123 TCP_MISS/503 4231 GET http://www.squid-cache.org/Artwork/SN.png - DIRECT/www.squid-cache.org text/html

以上兩種情況，客戶端瀏覽器上顯示的結果都是“Access Denied”頁面，不過，squid服務器的訪問日志，收到的httpd服務器返回的狀態碼是不一樣的。404表示的是請求出錯，即客戶端出錯；504表示服務器在處理請求時發生錯誤，即服務器端的錯。

C、其他設置

以下是摘抄的資料，只有第一點實驗驗證了。

1. 假如不想讓用戶訪問某個網站應該怎么做呢？可以分為兩種情況：一種是不允許用戶訪問某個站點的某個主機，比如新浪sina的www主機，即www.sina.com，而其它的新浪資源卻是允許訪問的，那么ACL可以這樣寫：

　　acl　 sina-www　dstdomain sinapage4.sina.com

　　……

　　http_access deny sinapage

　　……

由此可以看到，除了www，其它如 news.sina.com、bbs.sina.com.cn都可以正常訪問。

另一種情況是整個網站都不許訪問，只需要寫出這個網站共有的域名即可，配置如下：

　　acl sina dstdomain .sina.com

　　……

　　http_access deny sina

　　……

注意，sina前面的“.”，正是它指出以此域名結尾的所有主機都不可訪問，否則就只有tencent.com.cn這一臺主機不能訪問。

2. 通過IP地址來識別用戶不可靠，比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別，必須在編譯時加上 “--enable-arp-acl”選項，然后可以通過以下的語句來識別用戶：

　　acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...

它直接使用用戶的MAC地址，而MAC地址一般是不易修改的，即使有普通用戶將自己的IP地址改為高級用戶也無法通過，所以這種方式比IP地址可靠得多。

3.還有一種比較廣泛的控制是文件類型。如果不希望普通用戶通過代理服務器下載MP3、AVI等文件，完全可以對他們進行限制，代碼如下：

　　acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$

　　http_access deny mmxfile

看到regex，很多讀者應該心領神會，因為這條語句使用了標準的規則表達式（又叫正則表達式）。它將匹配所有以.mp3、.avi等結尾的URL請求，還可以用-i參數忽略大小寫，例如以下代碼：

　　acl mmxfile urlpath_regex -i \.mp3$

這樣，無論是.mp3還是.MP3都會被拒絕。當然，-i參數適用于任何可能需要區分大小寫的地方，如前面的域名控制。

4.如果想讓普通用戶只在上班時間可以上網，而且是每周的工作日，用 Squid應當如何處理呢？看看下面的ACL定義：

　　acl worktime time MTWHF 8:30-12:00 14:00-18:00

　　http_access deny !worktime

首先定義允許上網的時間是每周工作日（星期一至星期五）的上午和下午的固定時段，然后用http_access 定義所有不在這個時間段內的請求都是不允許的。

5.或者為了保證高級用戶的帶寬，希望每個用戶的并發連接不能太多，以免影響他人，也可以通過Squid控制，代碼如下：

　　acl conncount maxconn 3

　　http_access deny conncount normal

　　http_access allow normal

這樣，普通用戶在某個固定時刻只能同時發起三個連接，從第四個開始，連接將被拒絕。

總之，Squid的ACL配置非常靈活、強大，更多的控制方式可以參考squid.conf.default。

另，反向代理比較難，未研究實驗。

轉載于:https://blog.51cto.com/sunshyfangtian/1201900

總結

以上是生活随笔為你收集整理的RHCE培训笔记——Squid的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。