一、squid简介
Squid是一个高性能的代理缓存服务器,Squid支持FTP、gopher、HTTPS和HTTP协议。和一般的代理缓存软件不同,Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。Squid是一种用来缓冲Internet数据的软件。它是这样实现其功能的,接受来自人们需要下载的目标(object)的请求并适当地处理这些请求。也就是说,如果一个人想下载一web页面,他请求Squid为他取得这个页面。Squid随之连接到远程服务器(比如:http://www.baidu.com/)并向这个页面发出请求。然后,Squid显式地聚集数据到客户端机器,而且同时复制一份。当下一次有人需要同一页面时,Squid可以简单地从磁盘中读到它,那样数据迅即就会传输到客户机上。当前的Squid可以处理HTTP,FTP,GOPHER,SSL和WAIS等协议。但它不能处理如POP,NNTP,RealAudio以及其它类型的东西。
二、安装与配置
yum install squid -y #安装
systemctl start squid #启动服务
netstat -tnpl |grep 3128 #查看服务端口查看端口应该看到端口3128的结果,如果没有出现,应该是防火墙拦截了,或者SELINUX控制了信息
配置文件为:/etc/squid/squid.conf 可以查看它的内容,默认的端口是3128,可以修改成其它的端口 如果要让代理服务器支持ftp需要做如下改动: acl SSL_ports port 443 21 #这一行中加入ftp的端口21 在文件最后加上几行:
#Default:
acl FTP proto FTP
always_direct allow FTP三、使用Squid配置透明代理
1.所谓的透明代理就是不需要在客户机上面设置代理,就可以直接代理上网,这个需要借助于iptables设置来帮助完成。
2. 虽然透明代理不要求在客户机上配置代理,但是必要的网络配置还是需要的,首先要与Linux 云计算机连通,要设置DNS,这个与前面的传统代理有差别,那个不用设置DNS,只要求与客户端计算机连通即可
3.配置squid及透明模式
备份squid的配置文件
cp /etc/squid/squid.conf /etc/squid/squid.conf.bak修改squid的配置文件:
vim /etc/squid/squid.conf根据自己的需要添加对应的IP,端口 如果你要使用透明模式,在端口后面添加关键字“transparent”
# Squid normally listens to port 3128
http_port 3128 transparent并且在配置文件的最下方添加这条语句
visible_hostname localhost4.启动squid
systemctl restart squid5.为透明代理配置iptables,
在服务端打开内核转发功能
sysctl net.ipv4.ip_forward=1将对squid代理服务器DNS的请求转到183.221.253.100上
iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 183.221.253.100设置nat表:
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A PREROUTING -i ens33 -p tcp -s 192.168.2.0/24 --dport 80 -j REDIRECT --to-ports 31286.将iptables的配置进行保存,并重启iptables
关机前保存:
iptables-save > my_rule下次开机后再执行:
iptables-restart < my_rule7.测试squid透明代理
打开浏览器进行网页的访问。 注意这里不要在浏览器中钩选代理服务器选项
使用Squid对上网行为进行控制
修改Squid的配置文件/etc/squid/squid.conf 在默认的ACL规则之后添加自定义的ACL
#禁止下载的文件类型
acl denyfiles urlpath_regex -i \.mp3$ \.avi$ \.zip$ \.rar$ \.exe$ \.iso$
#禁止访问的网站列表
acl denysites url_regex -i "/etc/squid/denysites"[root@localhost squid]#cat denysites
web2.qq.com在/etc/squid/squid.conf文件中添加与acl对应的http_access 在“#INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS”中进行添加。如果没有提示就在“允许访问ip地址“之前进行添加。
http_access allow test
http_access deny denyfiles
http_access deny denysites
http_access allow localnet注意:假如test和localnet都是允许访问的本地主机ip列表,那么localnet中ip就不能访问“denyfiles和denysites”中的网站,而test中ip就可以正常访问。 注意他们http_access的顺序。因为在test之前并没有进行拒绝访问的控制,而在localnet之前已经进行了拒绝访问的控制,所以test中的ip地址不受到“denyfiles和denysites”的限制,而localnet中的ip受到限制,不能访问“denyfiles和denysites”中的网站。