架设 Squid 代理服务器

　　Squid已经安装了吗？

　　Squid 的 rpm 文件已经和 RedHat7.1 捆绑发行了，在安装系统的时候，如果在 Networks选项中选中的

　　话，它会自动安装在系统上。您可以用下面的命令检查您的系统中是否已经安装了 Squid：

　　rpm -q squid

　　Squid 的最新版本可以在 Squid 主页 或它的镜像站点得到。 Squid 可以用下述命令安装在系统上：

　　rpm -ivh squid-2.3.STABLE4-10.i386.rpm

　　配置Squid

　　Squid 的定制是通过编辑它的配置文件squid.conf 来实现的，squid.conf 文件通常在 /etc/squid 目录

　　下。这个配置文件内容很多，但好在它的每个选项都有详尽的说明。

　　首先要修改的是 http_port，这个选项指定了 Squid 监听客户请求的端口，默认值是 3128。要使用代理

　　功能，这个端口值要和运行 Squid 的机器的 IP 地址一起使用，可以修改成下面这样：

　　http_port 192.168.0.1:8080

　　上述声明表示 Squid 绑定在 IP 地址 192.168.0.1 上，端口为 8080。端口可以设置为任意值，但要确认

　　没有其他程序会使用同样的端口。其他的服务请求的端口设置也可以设为类似的配置。

　　访问控制

　　使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等等。 Squid 访问控制有两个要素：ACL 元素和 访问列表。访问列表可以允许或拒绝某些用户对此服务的访问。

　　下面列出一些重要的 ACL 元素类型

　　* src : 源地址 （即客户机IP地址）

　　* dst : 目标地址 （即服务器IP地址）

　　* srcdomain : 源名称 （即客户机名称）

　　* dstdomain : 目标名称 （即服务器名称）

　　* time : 一天中的时刻和一周内的一天

　　* url_regex : URL 规则表达式匹配

　　* urlpath_regex: URL-path 规则表达式匹配，略去协议和主机名

　　* proxy_auth : 通过外部程序进行用户验证

　　* maxconn : 单一 IP 的最大连接数

　　为了使用控制功能，必须先设置 ACL 规则并应用。ACL 声明的格式如下：

　　acl acl_element_name type_of_acl_element values_to_acl

　　注：

　　1. acl_element_name 可以是任一个在 ACL 中定义的名称。

　　2. 任何两个 ACL 元素不能用相同的名字。

　　3. 每个 ACL 由列表值组成。当进行匹配检测的时候，多个值由逻辑或运算连接；换言之，即任一 ACL

　　元素的值被匹配，则这个 ACL 元素即被匹配。

　　4. 并不是所有的 ACL 元素都能使用访问列表中的全部类型。

　　5. 不同的 ACL 元素写在不同行中，Squid 将把它们组合在一个列表中。

　　我们可以使用许多不同的访问条目。下面列出我们将要用到的几个：

　　* http_access: 允许 HTTP 访问。这个是主要的访问控制条目。

　　* no_cache: 定义对缓存请求的响应。

　　访问列表的规则由一些类似 'allow' 或 'deny' 的关键字构成，用以允许或拒绝向特定或一组 ACL 元素提供服务。

　　注：

　　1. 这些规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束。

　　2. 一个访问列表可以又多条规则组成。

　　3. 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则对应。

　　4. 一个访问条目中的所有元素将用逻辑与运算连接：

　　http_access Action 声明1 AND 声明2 AND 声明 OR.

　　http_access Action 声明3

　　多个 http_access 声明间用或运算连接，但每个访问条目的元素间用与运算连接。

　　5. 请记住列表中的规则总是遵循由上而下的顺序。

　　回到配置 Squid

　　Squid 默认不做任何用户访问控制。若要允许某个访问，必须进行定制规则。在 squid.conf 中 http_access deny 行前输入下述文字：

　　acl mynetwork 192.168.0.1/255.255.255.0

　　http_access allow mynetwork

　　mynetwork 是 acl 名称，下一行则是适用于特定 acl （即 mynetwork ） 的规则。192.168.0.1 指明是网络中掩码为 255.255.255.0 的子网。mynetwork 主要是为了给出网络上一组机器，下一条规则则允许这些

　　机器访问 http 服务。上述修改配合 http_port 就可以让 Squid 很好的工作起来了。 修改完成后，Squid

　　可以用下述命令启动：

　　service squid start

　　注：

　　Squid 也可以在系统启动的时候自动运行，方法是在 ntsysv 或 setup（系统服务菜单）中打开 Squid。在

　　对配置文件做了任何更改之后，当前正运行的 Squid 进程必须重新启动。可以用下面的命令来完成：

　　1. service squid restart 或

　　2. /etc/rc.d/init.d/squid restart

　　配置客户端

　　由于客户端的请求是送到代理服务器的特定端口的，因此，客户端也要做相应配置。在继续下一步之前，请

　　确认要访问代理服务器的客户端已经连接在局域网中并已分配了有效的 IP 地址，请确认它们都能 ping 通

　　运行了 Squid 的 Linux服务器。

　　在 InternetExplorer下的配置：

　　1. 点击菜单上的 工具 -> Internet 选项

　　2. 选择 连接 并单击 局域网设置

　　3. 选中 使用代理服务器 输入上述代理服务器的 IP 地址和端口。

　　在 NetscapeNavigator 下的配置：

　　1. 点击菜单上的编辑（Edit）->首选项（Preference）->高级（Advanced）->代理服务器（Proxies）。

　　2. 选中手动配置代理服务器（Manual Proxy Configuration）。

　　3. 点击查看（View） 并

　　4. 输入上述代理服务器的 IP 地址和端口。

　　使用访问控制

　　多个访问控制及其规则为客户端访问控制提供了一种灵活的机制。下面给出通常所用到的例子：

　　1. 允许列表中的机器访问 Internet。

　　acl allowed_clients src 192.168.0.10 192.168.0.20 192.168.0.30

　　http_access allow allowed_clients

　　http_access deny !allowed_clients

　　这个规则只允许 IP 地址为 192.168.0.10、192.168.0.20 及 192.168.0.30 的机器

　　访问 Internet，其他 IP 地址的机器则都被拒绝访问。

　　2. 限制访问时段。

　　acl allowed_clients src 192.168.0.1/255.255.255.0

　　acl regular_days time MTWHF 10:00-16:00

　　http_access allow allowed_clients regular_days

　　http_access deny !allowed_clients

　　这个规则允许子网192.168.0.1中的所有客户机在周一到周五的上午10:00到下午4:00

　　访问 Internet。

　　3. 为不同的客户机分配不同的访问时段。

　　acl hosts1 src192.168.0.10

　　acl hosts2 src 192.168.0.20

　　acl hosts3 src 192.168.0.30

　　acl morning time 10:00-13:00

　　acl lunch time 13:30-14:30

　　acl evening time 15:00-18:00

　　http_access allow host1 morning

　　http_access allow host1 evening

　　http_access allow host2 lunch

　　http_access allow host3 evening

　　http_access deny all

　　在这个规则中，主机 host1 可以在 morning 和 evening 时段访问 Internet，主机

　　host2 和 host3 分别只能在 lunch 和 evening 时段访问 Internet。

　　注：

　　一个访问条目中所有的元素之间用与运算按下述方式连接 ：

　　http_access Action statement1 AND staement2 AND statement OR.

　　多个 http_access 声明之间用或运算连接而每个访问条目中的元素用与运算连接，见

　　下：

　　http_access allow host1 morning evening

　　无法在时段 morning 和时段 evening 同时进行(morning AND evening )，这个表达

　　式将不会返回真值（TRUE），从而这个条目将不会引发任何动作。

　　4. 站点屏蔽

　　Squid 可以屏蔽某些特定站点或含有某些特定字词的站点。可以用下面的规则实现：

　　acl allowed_clients src 192.168.0.1/255.255.255.0

　　acl banned_sites url_regex abc.com *()(*.com

　　http_access deny banned_sites

　　http_access allow allowed_clients

　　也可以用以屏蔽含有某些特定字词（比如说 dummy、fake）的站点

　　acl allowed_clients src 192.168.0.1/255.255.255.0

　　acl banned_sites url_regex dummy fake

　　http_access deny banned_sites

　　http_access allow allowed_machibes

　　在实际应用中，不需要把需屏蔽的所有站点或字词都列在上面，可以先保存在一个文件

　　中（请查看 /etc 目录中的 banned.list文件）ACL 将从这个文件中读出所需信息用以

　　屏蔽被禁止的站点。

　　acl allowed_clients src 192.168.0.1/255.255.255.0

　　acl banned_sites url_regex "/etc/banned.list"

　　http_access deny banned_sites

　　http_access allow allowed_clients

　　5. 优化

　　Squid 可以通过使用 maxconn 元素来限制客户端连接的数目。 要使用这个选项，必须

　　先允许 client_db。

　　acl mynetwork 192.168.0.1/255.255.255.0

　　acl numconn maxconn 5

　　http_access deny mynetwork numconn

　　注：

　　maxconn ACL 使用小于（less-than）对比。此 ACL 规则将在连接数大于设定值.