在CentOS或RHEL上搭建Squid透明Web代理系统

在CentOS或RHEL上搭建Squid透明Web代理系统

使用透明代理有几个好处。首先，对最终用户来说，透明代理可以改善上网浏览体验，因为缓存了经常访问的网站内容，同时给他们带来的配置开销最小。对管理员来说，透明代理可用于执行各种管理政策，比如内容/URL/IP过滤和速率限制等。

代理服务器充当客户端和目的地服务器之间的中介。客户端将请求发送到代理服务器，随后代理服务器评估请求，并采取必要的动作。在本教程中，我们将使用Squid搭建一个Web代理服务器，而Squid是一种健壮的、可定制的、稳定的代理服务器。就个人而言，大概一年来我管理着一台拖有400多个客户端工作站的Squid服务器。虽然平均而言我大概一个月就要重启一次服务，但处理器和存储使用率、吞吐量以及客户端响应时间都表现不错。

我们将配置Squid以获得下列拓扑结构。CentOS/RHEL设备有一块网卡（eth0）连接到专有局域网，另一块网卡（eth1）则连接到互联网。

Squid的安装

想使用Squid搭建透明代理系统，我们首先要添加必要的iptables规则。这些规则应该会帮助你开始上手，不过务必要确保它们与任何的现有配置没有冲突。

1、# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

2、# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

第一条规则将引起来自eth1（广域网接口）的所有出站数据包都有eth1的源IP地址（也就是启用NAT）。第二条规则将把来自eth0（局域网接口）的所有入站HTTP数据包（发往TCP 80）重定向至Squid侦听端口（TCP 3128），而不是直接将其转发到广域网接口。

我们使用yum，开始安装Squid。

1、# yum install squid

现在，我们将改动Squid配置，将其变成透明代理系统。我们将局域网子网（比如10.10.10.0/24）定义为有效的客户端网络。不是来自该局域网子网的任何流量将被拒绝访问。

1、# vim /etc/squid/squid.conf

2、visible_hostname proxy.example.tst

4、## 定义我们的网络## acl our_network src 10.10.10.0/24

现在我们开启Squid服务，确保它已被添加到启动项。

1、# service squid start

2、# chkconfig squid on

鉴于Squid已搭建并运行起来，我们可以测试其功能了，为此只需监测Squid日志。从连接至该局域网的计算机访问任何URL，你应该会在日志中看到类似以下的内容。

1、# tailf /var/log/squid/access.log

1402987348.816 1048 10.10.10.10 TCP_MISS/302 752

text/html

1402987349.416 445 10.10.10.10 TCP_MISS/302 762

94 text/html

一种最基本的Squid代理服务器现已准备就绪。在本教程的余下部分，我们将调整Squid的一些参数，以控制出站流量。请注意：这仅仅为了演示。实际的政策应加以定制，以满足你的具体要求。

准备工作

在开始配置之前，我们先明确几个要点。

Squid配置解析

在阅读配置文件时，Squid以一种自上而下的方式来解析文件。自上而下地解析规则，直到发现匹配为止。一旦发现匹配，该规则就被执行；其下面的其他任何规则将被忽视。所以，添加过滤规则的最佳实践就是，按下列顺序指定规则。

explicit allow

explicit deny

allow entire LAN

deny all

Squid重启与Squid重新配置

一旦Squid配置经过改动，Squid服务就需要重启。重启服务可能需要一段时间，有时要几分钟，长短取决于活动连接的数量。在这个期间，局域网用户无法访问互联网。想避免这种服务中断，我们可以使用下面这个命令，而不是使用“service squid restart”。

1、# squid -k reconfigure

该命令将允许Squid使用更新后的参数来运行，而不需要重启本身。

按照IP地址过滤局域网主机

在这个演示中，我们想要搭建这样的Squid：禁止拥有IP地址10.10.10.24的主机和IP地址10.10.10.25的主机访问互联网。为此，我们创建了一个文本文件“denied-ip-file”，里面含有所有被拒绝访问的主机的IP地址，然后将该文件添加到Squid配置中。

1、# vim /etc/squid/denied-ip-file

2、10.10.10.24

3、10.10.10.25

4、# vim /etc/squid/squid.conf

5、## 首先我们创建访问控制列表（ACL），隔离被拒绝访问的IP地址##acl denied-ip-list src "/etc/squid/denied-ip-file"

现在我们需要重启Squid服务。Squid将不再认可来自这些IP地址的请求。如果我们检查squid日志，就会发现来自这些主机的请求处于“TCP_DENIED”状态。

过滤黑名单中的网站

1、# vim /etc/squid/badsite-file

2、badsite

3、denysite

4、# vim /etc/squid/squid.conf

5、## ACL定义##acl badsite-list url_regex "/etc/squid/badsite-file"

合并多个ACL

1、# vim /etc/squid/custom-denied-list-file

2、10.10.10.200

3、10.10.10.201

4、# vim /etc/squid/custom-block-website-file

5、custom-block-site

6、# vim /etc/squid/squid.conf

7、acl custom-denied-list src "/etc/squid/custom-denied-list-file"

8、acl custom-block-site url_regex "/etc/squid/custom-block-website-file"

13、# squid -k reconfigure

被阻止的主机现在应该无法访问上述网站了。日志文件/var/log/squid/access.log应该含有相应请求的“TCP_DENIED”。

设定最大下载文件大小

Squid可以用来控制最大的可下载文件大小。我们想把IP地址为10.10.10.200的主机和IP地址为10.10.10.201的主机的最大下载大小限制在50MB。我们之前已经创建了ACL“custom-denied-list”，以隔离来自这些源地址的流量。现在，我们将使用同一个访问列表来限制下载文件大小。

1、# vim /etc/squid/squid.conf

2、reply_body_max_size 50 MB custom-denied-list

3、# squid -k reconfigure

建立Squid缓存层次体系

想启用缓存功能，我们可以改动配置文件squid.conf。

1、# vim /etc/squid/squid.conf

2、cache_dir ufs /var/spool/squid 100 16 256

数字100、16和256 有下列含义。

•为Squid缓存分配100 MB存储空间。如果你愿意，也可以加大所分配的空间。

•16个目录（每个目录里面含有256个子目录）将用于存储缓存文件。这个参数不应该改动。

我们可以通过日志文件/var/log/squid/access.log来证实Squid缓存是否被启用。如果缓存成功命中，我们应该会看到标有“TCP_HIT”的项。

但愿本文对各位有所帮助。