本篇文章為大家展示了如何解析squid的配置,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、寧蒗網(wǎng)絡(luò)推廣、小程序開發(fā)、寧蒗網(wǎng)絡(luò)營銷、寧蒗企業(yè)策劃、寧蒗品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎;成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供寧蒗建站搭建服務(wù),24小時服務(wù)熱線:18980820575,官方網(wǎng)址:www.cdcxhl.com
4.1常用的配置選項
因為缺省的配置文件有問題,所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,以便讓squid跑起來。
下面我們來看一看squid.conf文件的結(jié)構(gòu)以及一些常用的選項:
squid.conf配置文件的可以分為十三個部分,這十三個部分分別是:
1.NETWORK OPTIONS (有關(guān)的網(wǎng)絡(luò)選項)
2.OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM (作用于鄰居選擇算 法的有關(guān)選項)
3.OPTIONS WHICH AFFECT THE CACHE SIZE (定義cache大小的有關(guān)選項)
4.LOGFILE PATHNAMES AND CACHE DIRECTORIES (定義日志文件的路徑及cache的目錄)
5.OPTIONS FOR EXTERNAL SUPPORT PROGRAMS (外部支持程序選項)
6.OPTIONS FOR TUNING THE CACHE (調(diào)整cache的選項)
7.TIMEOUTS (超時)
8.ACCESS CONTROLS (訪問控制)
9.ADMINISTRATIVE PARAMETERS (管理參數(shù))
10.OPTIONS FOR THE CACHE REGISTRATION SERVICE (cache注冊服務(wù)選項)
11.HTTPD-ACCELERATOR OPTIONS (HTTPD加速選項)
12.MISCELLANEOUS (雜項)
13.DELAY POOL PARAMETERS (延時池參數(shù))
雖然squid的配置文件很龐大,但是如果你只是為一個中小型網(wǎng)絡(luò)提供代理服務(wù),并且只準(zhǔn)備使用一臺服務(wù)器,那么,你只需要修改配置文件中的幾個選項。這些幾個常用選項分別是:
1.http_port
說明:定義squid監(jiān)聽HTTP客戶連接請求的端口。缺省是3128,如果使用HTTPD加速模式 則為80。你可以指定多個端口,但是所有指定的端口都必須在一條命令行上。
2.cache_mem (bytes)
說明:該選項用于指定squid可以使用的內(nèi)存的理想值。這部分內(nèi)存被用來存儲以下對象 :
In-Transit objects (傳入的對象)
Hot Objects (熱對象,即用戶常訪問的對象)
Negative-Cached objects (消極存儲的對象)
需要注意的是,這并沒有指明squid所使用的內(nèi)存一定不能超過該值,其實,該選項只 定義了squid所使用的內(nèi)存的一個方面,squid還在其他方面使用內(nèi)存。所以squid實際 使用的內(nèi)存可能超過該值。缺省值為8MB。
3.cache_dir Directory-Name Mbytes Level-1 Level2
說明:指定squid用來存儲對象的交換空間的大小及其目錄結(jié)構(gòu)??梢杂枚鄠€cache_dir命令來定義多個這樣的交換空間,并且這些交換空間 可以分布不同的磁盤分區(qū)。"directory "指明了該交換空間的頂級目錄。如果你想用整個磁盤來作為交換空間,那么你可以將該目錄作為裝載點將整個 磁盤mount上去。缺省值為/var/spool/squid?!癕bytes”定義了可用的空間總量。需要注意的是,squid進程必須擁有對該目錄 的讀寫權(quán)力。“Level-1”是可以在該頂級目錄下建立的第一級子目錄的數(shù)目,缺省值為16。同理,“Level-2”是可以建立的第二級子目錄的數(shù) 目,缺省值為256。為什么要定義這么多子目錄呢?這是因為如果子目錄太少,則存儲在一個子目錄下的文件數(shù)目將大大增加,這也會導(dǎo)致系統(tǒng)尋找某一個文件的 時間大大增加,從而使系統(tǒng)的整體性能急劇降低。所以,為了減少每個目錄下的文件數(shù)量,我們必須增加所使用的目錄的數(shù)量。如果僅僅使用一級子目錄則頂級目錄 下的子目錄數(shù)目太大了,所以我們使用兩級子目錄結(jié)構(gòu)。
那么,怎么來確定你的系統(tǒng)所需要的子目錄數(shù)目呢?我們可以用下面的公式來估算。
已知量:
DS = 可用交換空間總量(單位KB)/ 交換空間數(shù)目
OS = 平均每個對象的大小= 20k
NO = 平均每個二級子目錄所存儲的對象數(shù)目 = 256
未知量:
L1 = 一級子目錄的數(shù)量
L2 = 二級子目錄的數(shù)量
計算公式:
L1 x L2 = DS / OS / NO
注意這是個不定方程,可以有多個解。
4.acl
說明:定義訪問控制列表。
定義語法為:
acl aclname acltype string1 ...
acl aclname acltype "file" ...
當(dāng)使用文件時,該文件的格式為每行包含一個條目。
acltype 可以是 src dst srcdomain dstdomain url_pattern urlpath_pattern time port proto method browser user 中的一種。
分別說明如下:
src 指明源地址??梢杂靡韵碌姆椒ㄖ付ǎ?br/>acl aclname src ip-address/netmask ... (客戶ip地址)
acl aclname src addr1-addr2/netmask ... (地址范圍)
dst 指明目標(biāo)地址。語法為:
acl aclname dst ip-address/netmask ... (即客戶請求的服務(wù)器的ip地址)
srcdomain 指明客戶所屬的域。語法為:
acl aclname srcdomain foo.com ... squid將根據(jù)客戶ip反向查詢DNS。
dstdomain 指明請求服務(wù)器所屬的域。語法為:
acl aclname dstdomain foo.com ... 由客戶請求的URL決定。
注意,如果用戶使用服務(wù)器ip而非完整的域名時,squid將進行反向的DNS解析來確 定其完整域名,如果失敗就記錄為“none”。
time 指明訪問時間。語法如下:
acl aclname time [day-abbrevs] [h2:m1-h3][hh:mm-hh]
day-abbrevs:
S - Sunday
M - Monday
T - Tuesday
W - Wednesday
H - Thursday
F - Friday
A - Saturday
h2:m1 必須小于 h3:m2,表達示為[hh:mm-hh]。
port 指定訪問端口??梢灾付ǘ鄠€端口,比如:
acl aclname port 80 70 21 ...
acl aclname port 0-1024 ... (指定一個端口范圍)
proto 指定使用協(xié)議??梢灾付ǘ鄠€協(xié)議:
acl aclname proto HTTP FTP ...
method 指定請求方法。比如:
acl aclname method GET POST ...
5.http_access
說明:根據(jù)訪問控制列表允許或禁止某一類用戶訪問。
如果某個訪問沒有相符合的項目,則缺省為應(yīng)用最后一條項目的“非”。比如最后一條為允許,則缺省就是禁止。所以,通常應(yīng)該把最后的條目設(shè)為"deny all" 或 "allow all" 來避免安全性隱患。
4.2 應(yīng)用實例
假想情景:某公司用squid作代理服務(wù)器,該代理服務(wù)器配置為PII450/256M/8.4G,公司所用ip段為1.2.3.0/24,并且想用8080作為代理端口。
則相應(yīng)的squid配置選項為:
1.http_port
http_port 8080
2.cache_mem
思路:由于該服務(wù)器只提供代理服務(wù),所以該值可以盡量設(shè)得大一些。
cache_mem 194M
3.cache_dir Directory-Name Mbytes Level-1 Level2
思路:硬盤為8.4G的,在安裝系統(tǒng)時應(yīng)該做好規(guī)劃,為不同的文件系統(tǒng)劃分可用空間。在本例中,我們可以這樣來劃分:
/cache1 3.5G
/cache2 3.5G
/var 400M
swap 127M
/ 剩余部分
并且,在安裝時,我們盡量不安裝不必要的包。這樣在節(jié)約空間的同時可以提高系統(tǒng)的安全性和穩(wěn)定性。下面我們來計算所需的第一級和第二級子目錄數(shù)。
已知量:
DS = 可用交換空間總量(單位KB)/ 交換空間數(shù)目=7G/2=3500000KB
OS = 平均每個對象的大小= 20k
NO = 平均每個二級子目錄所存儲的對象數(shù)目 = 256
未知量:
L1 = 一級子目錄的數(shù)量
L2 = 二級子目錄的數(shù)量
計算公式:
L1 x L2 = DS / OS / NO=3500000/20/256=684
我們?nèi)?br/>L1=16
L2=43
所以,我們的cache_dir語句為:
cache_dir /cache1 3500M 16 43
cache_dir /cache2 3500M 16 43
4.acl
思路:通過src來定義acl.
acl allow_ip src 1.2.3.4/255.255.255.0
5.http_access
http_access allow allow_ip
4.3啟動、停止squid。
配置并保存好squid.conf后,可以用以下命令啟動squid。
squid
或者,使用RedHat的啟動腳本來啟動squid.
/etc/rc.d/init.d/squid start
同樣地,你也可以用下列腳本停止運行squid或重啟動squid.
/etc/rc.d/init.d/squid stop
/etc/rc.d/init.d/squid restart
五、根據(jù)需求配置你的squid——進階篇
5.1其它配置選項
在進行squid的一些高級應(yīng)用之前,我們有必要對其他有用的配置選項作一個全面的了解。下面我們分類來講一講這些選項,用于某些特殊應(yīng)用的選項我們將放在講該種應(yīng)用時來講。
5.1.1網(wǎng)絡(luò)選項
1.tcp_incoming_address
tcp_outgoing_address
udp_incoming_address
udp_outgoing_address
說明:
tcp_incoming_address指定監(jiān)聽來自客戶或其他squid代理服務(wù)器的綁定ip地址;
tcp_outgoing_address指定向遠程服務(wù)器或其他squid代理服務(wù)器發(fā)起連接的ip地址
udp_incoming_address為ICP套接字指定接收來自其他squid代理服務(wù)器的包的ip地址 udp_outgoing_address為ICP套接字指定向其他squid代理服務(wù)器發(fā)送包的ip地址;
缺省為沒有綁定任何ip地址。該綁定地址可以用ip指定,也可以用完整的域名指定。
5.1.2交換空間設(shè)定選項
1.cache_swap_low (percent, 0-100)
cache_swap_high (percent, 0-100)
說明:squid使用大量的交換空間來存儲對象。那么,過了一定的時間以后,該交換空間就會用完,所以還必須定期的按照某種指標(biāo)來將低于某個水平 線的對象清除。squid使用所謂的“最近最少使用算法”(LRU)來做這一工作。當(dāng)已使用的交換空間達到cache_swap_high時,squid 就根據(jù)LRU所計算的得到每個對象的值將低于某個水平線的對象清除。這種清除工作一直進行直到已用空間達到cache_swap_low。這兩個值用百分 比表示,如果你所使用的交換空間很大的話,建議你減少這兩個值得差距,因為這時一個百分點就可能是幾百兆空間,這勢必影響squid的性能。缺省為:
cache_swap_low 90
cache_swap_high 95
2.maximum_object_size
說明:大于該值得對象將不被存儲。如果你想要提高訪問速度,就請降低該值;如果你想最大限度地節(jié)約帶寬,降低成本,請增加該值。單位為K,缺省值為:
maximum_object_size 4096 KB
5.1.3有關(guān)日志的選項
1.cache_access_log
說明:指定客戶請求記錄日志的完整路徑(包括文件的名稱及所在的目錄),該請求可以是來自一般用戶的HTTP請求或來自鄰居的ICP請求。缺省值為:
cache_access_log /var/log/squid/access.log
如果你不需要該日志,可以用以下語句取消:cache_access_log none
2.cache_store_log
說明:指定對象存儲記錄日志的完整路徑(包括文件的名稱及所在的目錄)。該記錄表明哪些對象被寫到交換空間,哪些對象被從交換空間清除。缺省路徑為:
cache_log /var/log/squid/cache.log
如果你不需要該日志,可以用以下語句取消:cache_store_log none
3.cache_log
說明:指定squid一般信息日志的完整路徑(包括文件的名稱及所在的目錄)。
缺省路徑為:cache_log /var/log/squid/cache.log
4.cache_swap_log
說明:該選項指明每個交換空間的“swap.log”日志的完整路徑(包括文件的名稱及所在的目錄)。該日志文件包含了存儲在交換空間里的對象的 元數(shù)據(jù)(metadata)。通常,系統(tǒng)將該文件自動保存在第一個“cache_dir”說定義的頂級目錄里,但是你也可以指定其他的路徑。如果你定義了 多個“cache_dir”,則相應(yīng)的日志文件可能是這樣的:
cache_swap_log.00
cache_swap_log.01
cache_swap_log.02
后面的數(shù)字?jǐn)U展名與指定的多個“cache_dir”一一對應(yīng)。
需要注意的是,最好不要刪除這類日志文件,否則squid將不能正常工作。
5.pid_filename
說明:指定記錄squid進程號的日志的完整路徑(包括文件的名稱及所在的目錄)。缺省路徑為
pid_filename /var/run/squid.pid
如果你不需要該文件,可以用以下語句取消:pid_filename none
6.debug_options
說明:控制作日志時記錄信息的多寡??梢詮膬蓚€方面控制:section控制從幾個方面作記錄;level控制每個方面的記錄的詳細程度。推薦的方式(也是缺省方式)是:debug_options ALL,1
即,對每個方面都作記錄,但詳細程度為1(最低)。
7.log_fqdn on|off
說明:控制在 access.log 中對用戶地址的記錄方式。打開該選項時,squid記錄客戶的完整域名,取消該選項時,squid記錄客戶 的ip地址。注意,如果打開該選項會增加系統(tǒng)的負擔(dān),因為squid還得進行客戶ip的DNS查詢。缺省值為:log_fqdn off
5.1.4有關(guān)外部支持程序的選項
1.ftp_user
說明:設(shè)置登錄匿名ftp服務(wù)器時的提供的電子郵件地址,登錄匿名ftp服務(wù)器時要求用你的電子郵件地址作為登錄口令(更多的信息請參看本書的相 關(guān)章節(jié))。需要注意的是,有的匿名ftp服務(wù)器對這一點要求很苛刻,有的甚至?xí)z查你的電子郵件的有效性。缺省值為:ftp_user Squid@
2.ftp_list_width
說明:設(shè)置ftp列表的寬度,如果設(shè)得太小將不能的瀏覽到長文件名。缺省值為: ftp_list_width 32
3.cache_dns_program
說明:指定DNS查詢程序的完整路徑(包括文件的名稱及所在的目錄)。缺省路徑為:
cache_dns_program /usr/lib/squid/dnsserver
4.dns_children
說明:設(shè)置DNS查詢程序的進程數(shù)。對于大型的登錄服務(wù)器系統(tǒng),建議該值至少為10。最大值可以是32,缺省設(shè)置為5個。注意,如果你任意的降低 該值,可能會使系統(tǒng)性能急劇降低,因為squid主進程要等待域名查詢的結(jié)果。沒有必要減少該值,因為DNS查詢進程并不會消耗太多的系統(tǒng)的資源。
5.dns_nameservers
說明:指定一個DNS服務(wù)器列表,強制squid使用該列表中的DNS服務(wù)器而非使用/etc/resolv.conf文件中定義的DNS服務(wù)器。你可以這樣指定多個DNS服務(wù)器:dns_nameservers 10.0.0.1 192.172.0.4
缺省設(shè)置為:dns_nameservers none
6.unlinkd_program
說明:指定文件刪除進程的完整路徑。
缺省設(shè)置為:
unlinkd_program /usr/lib/squid/unlinkd
7.pinger_program
說明:指定ping進程的完整路徑。該進程被squid利用來測量與其他鄰居的路由距離。該選項只在你啟用了該功能時有用。缺省為:
pinger_program /usr/lib/squid/pinger
8.authenticate_program
說明:指定用來進行用戶認(rèn)證的外部程序的完整路徑。squid的用戶認(rèn)證功能我們將在后面的章節(jié)講述。缺省設(shè)置為不認(rèn)證。
5.1.5用戶訪問控制選項
1.request_size (KB)
說明:設(shè)置用戶請求通訊量的最大允許值(單位為KB)。如果用戶用POST方法請求時,應(yīng)該設(shè)一個較大的值。缺省設(shè)置為:
request_size 100 KB
2.reference_age
說明:squid根據(jù)對象的LRU(最近最少使用算法)來清除對象,squid依據(jù)使用磁盤空間的總量動態(tài)地計算對象的LRU年齡。我們用 reference_age定義對象的最大LRU年齡。如果一個對象在指定的reference_age內(nèi)沒有被訪問,squid將刪除該對象。缺省值為 一個月。你可以使用如下所示的時間表示方法。
1 week
3.5 days
4 months
2.2 hours
3.quick_abort_min (KB)
quick_abort_max (KB)
quick_abort_pct (percent)
說明:控制squid是否繼續(xù)傳輸被用戶中斷的請求。當(dāng)用戶中斷請求時,squid將檢測
quick_abort 的值。如果剩余部分小于“quick_abort_min”指定的值,squid 將繼續(xù)完成剩余部分的傳輸;如果剩余 部分大于“quick_abort_max”指定的值,squid 將終止剩余部分的傳輸;如果已完成“quick_abort_pct”指定的百分 比,squid將繼續(xù)完成剩余部分的傳輸。缺省的設(shè)置為:
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
5.1.6各類超時設(shè)置選項
1.negative_ttl time-units
說明:設(shè)置消極存儲對象的生存時間。所謂的消極存儲對象,就是諸如“連接失敗”及"404 Not Found"等一類錯誤信息。缺省設(shè)置為:negative_ttl 5 minutes
2.positive_dns_ttl time-units
說明:設(shè)置緩存成功的DNS查詢結(jié)果的生存時間。缺省為6小時。
positive_dns_ttl 6 hours
3.negative_dns_ttl time-units
說明:設(shè)置緩存失敗的DNS查詢結(jié)果的生存時間。缺省為5分鐘。
negative_dns_ttl 5 minutes
4.connect_timeout time-units
說明:設(shè)置squid等待連接完成的超時值。缺省值為2分鐘。
connect_timeout 120 seconds
5.read_timeout time-units
說明:如果在指定的時間內(nèi)squid尚未從被請求的服務(wù)器讀入任何數(shù)據(jù),則squid將終止該客戶請求。缺省值為15分鐘。
read_timeout 15 minutes
6.request_timeout
說明:設(shè)置在建立與客戶的連接后,squid將花多長時間等待客戶發(fā)出HTTP請求。缺省值為30秒。
request_timeout 30 seconds
7.client_lifetime time-units
說明:設(shè)置客戶在與squid建立連接后,可以將該連接保持多長時間。
注意,因為客戶建立的每個連接都會消耗一定的系統(tǒng)資源,所以如果你是為一個大型網(wǎng)絡(luò)提供代理服務(wù)的話,一定要正確地修改該值。因為如果同一時間的 連接數(shù)量太大的話,可能會消耗大量的系統(tǒng)資源,從而導(dǎo)致服務(wù)器宕機。缺省值為1天,該值太大了,建議根據(jù)你自己的情況適當(dāng)減小該值。
client_lifetime 1 day
8.half_closed_clients on/off
說明:有時候由于用戶的不正常操作,可能會使與squid的TCP連接處于半關(guān)閉狀態(tài),
這時候,該TCP連接的發(fā)送端已經(jīng)關(guān)閉,而接收端正常工作。缺省地,squid將一直保持這種處于半關(guān)閉狀態(tài)的TCP連接,直到返回套接字的讀寫 錯誤才將其關(guān)閉。如果將該值設(shè)為off,則一旦從客戶端返回“no more data to read”的信息,squid就立即關(guān)閉該連接。 half_closed_clients on
9.pconn_timeout
說明:設(shè)置squid在與其他服務(wù)器和代理建立連接后,該連接閑置多長時間后被關(guān)閉。缺省值為120秒。
pconn_timeout 120 seconds
10.ident_timeout
說明:設(shè)置squid等待用戶認(rèn)證請求的時間。缺省值為10秒。
ident_timeout 10 seconds
11.shutdown_lifetime time-units
說明:當(dāng)收到SIGTERM 或者 SIGHUP 信號后, squid將進入一種shutdown pending的模式,等待所有活動的套接字關(guān)閉。在過了shutdown_lifetime所定義的時間后,所有活動的用戶都將收到一個超時信息。缺省值為30秒。
shutdown_lifetime 30 seconds
5.1.7管理參數(shù)選項
1.cache_mgr
說明:設(shè)置管理員郵件地址。缺省為:
cache_mgr root
2. cache_effective_user
cache_effective_group
說明:如果用root啟動squid,squid將變成這兩條語句指定的用戶和用戶組。缺省變?yōu)閟quid用戶和squid用戶組。注意這里指定 的用戶和用戶組必須真是存在于/etc/passwd中。如果用非root帳號啟動squid,則squid將保持改用戶及用戶組運行,這時候,你不能指 定小于1024地http_port。
cache_effective_user squid
cache_effective_group squid
3.visible_hostname
說明:定義在返回給用戶的出錯信息中的主機名。
如: visible_hostname www-cache.foo.org
4.unique_hostname
說明:如果你有一個代理服務(wù)器陣列,并且你為每個代理服務(wù)器指定了同樣的“visible_hostname”,同時你必須為它們指定不同的“unique_hostname”來避免“forwarding loops ”(傳輸循環(huán))發(fā)生。
5.1.8其它雜項
1. dns_testnames
說明:設(shè)置進行DNS查詢測試,如果第一個站點解析成功則立即結(jié)束DNS查詢測試。如果你不愿意進行DNS查詢測試,就不要去掉缺省的設(shè)置。
#dns_testnames netscape.com internic.net nlanr.net microsoft.com
2.logfile_rotate
說明:通常,squid會定期的將日志文件更名并打包。比如正在使用的日志文件為access.log,squid會將其更名并打包為access.log.1.gz;過了一定時間后,squid又會將
access.log.1.gz更名為access.log.2.gz并將當(dāng)前的日志文件更名并打包為access.log.1.gz,以此循 環(huán)。logfile_rotate所指定的數(shù)字即為打包并備份的文件的數(shù)量,當(dāng)達到這一數(shù)目時,squid將刪除最老的備份文件。缺省值為10。如果你想 手動來進行這些操作,你可以用logfile_rotate 0來取消自動操作。
3.err_html_text
說明:用該語句定義一個字符串變量,可以用%L在返回給用戶的錯誤信息文件中引用。錯誤信息文件通常在/etc/squid/errors目錄中,這是一些用HTML寫成的腳本文件,你可以自己修改它。
4.deny_info
說明:你可以定制自定義的拒絕訪問信息文件,并且可以和不同的用戶列表相關(guān)聯(lián)。當(dāng)用戶被http_access相關(guān)規(guī)則拒絕時,squid可以向用戶顯示你自定義的相應(yīng)的拒絕訪問信息文件。語法為:
Usage: deny_info err_page_name acl
比如:
deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys
5.memory_pools on|off
說明:如果你將該項設(shè)為on,則squid將保留所有已經(jīng)分配(但是未使用)的內(nèi)存池以便在將來使用。缺省為on.
memory_pools on
6.log_icp_queries on|off
說明:設(shè)置是否對ICP請求作日志。如果你的系統(tǒng)負載很大,你可以用off來取消該功能。缺省為:
log_icp_queries on
7.always_direct
說明:該選項允許你指定某些用戶類,squid將這些用戶類的請求直接轉(zhuǎn)發(fā)給被請求的服務(wù)器。語法為:
always_direct allow|deny [!]aclname ...
如:直接轉(zhuǎn)發(fā)FTP請求可以這樣設(shè)置:
acl FTP proto FTP
always_direct allow FTP
8.never_direct
說明:與always_direct相反。語法為:
Usage: never_direct allow|deny [!]aclname ...
比如,為了強制除了本地域的其他用戶使用代理服務(wù)器,你可以這樣設(shè)置:
acl local-servers dstdomain foo.net
acl all src 0.0.0.0/0.0.0.0
never_direct deny local-servers
never_direct allow all
9.icon_directory
說明:指明向用戶傳送錯誤信息時所用到的圖標(biāo)文件的目錄。缺省路徑為: icon_directory /usr/lib/squid/icons
10.error_directory
說明:指明向用戶傳送錯誤信息所用到的錯誤描述文件的目錄。缺省路徑為:
error_directory /etc/squid/errors
5.2 用戶認(rèn)證設(shè)置
缺省的,squid本身不帶任何認(rèn)證程序,但是我們可以通過外部認(rèn)證程序來實現(xiàn)用戶認(rèn)證。一般說來有以下的認(rèn)證程序:
1.LDAP認(rèn)證:你可以訪問以下資源來獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認(rèn)證:可以實現(xiàn)基于NT和samba的用戶認(rèn)證。更多的信息請訪問以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html
3.基于MySQL的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基于sock5密碼用戶認(rèn)證。
http://nucleo.freeservers.com/
5.基于Radius 的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實現(xiàn)的認(rèn)證和用smb_auth實現(xiàn)的基于NT和samba的用戶認(rèn)證。下面我們就來講這兩種認(rèn)證方法的具體實現(xiàn)。
5.2.1 ncsa用戶認(rèn)證的實現(xiàn)
ncsa是squid源代碼包自帶的認(rèn)證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
2.用tar解開:
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然后,進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功后,會生成ncsa_auth的可執(zhí)行文件。
4.拷貝生成的執(zhí)行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關(guān)選項如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關(guān)的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問。
7.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應(yīng)該把要認(rèn)證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應(yīng)的用戶信息。一般說來,該密碼文件每行包含一個用戶的用戶信息,即用戶名和密碼。
用htpasswd生成密碼文件passwd并添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然后重新啟動squid,密碼認(rèn)證已經(jīng)生效。
5.2.2 smb用戶認(rèn)證的實現(xiàn)
國內(nèi)介紹并使用ncsa實現(xiàn)用戶認(rèn)證的文章不多,而使用smb_auth和samba實現(xiàn)基于NT的用戶認(rèn)證我還沒有看到過,下面我們就來看一看在squid中實現(xiàn)基于NT的用戶認(rèn)證。
當(dāng)前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載。當(dāng)然,squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統(tǒng)需求:
squid2.0以上版本。
安裝samba2.0.4以上版本。你并不需要運行samba服務(wù),因為smb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz并復(fù)制到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據(jù)你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數(shù)。SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑。我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功后會在INSTALLBIN指定路徑中生成可執(zhí)行文件smb_auth.
7.按下列步驟設(shè)置你要用于認(rèn)證的主域控制器:
首先在NETLOG共享目錄中建立一個“proxy”文件,該文件只包含一個“allow”的字符串,一般說來,該NETLOG目錄位于 winntsystem32Replimportscripts目錄中;然后,設(shè)置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權(quán)力。
8.修改squid.conf中的相關(guān)選項如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關(guān)的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問。
10.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應(yīng)該把要認(rèn)證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然后重新啟動squid,密碼認(rèn)證已經(jīng)生效。
說明:smb_auth的調(diào)用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B
如果你有多個網(wǎng)絡(luò)接口,可以用-B 指定用于廣播的網(wǎng)絡(luò)接口的ip地址。
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個不同于NETLOG的共享目錄。
5.2.3 squid.conf中關(guān)于認(rèn)證的其他設(shè)置
1.authenticate_children
說明:設(shè)置認(rèn)證子進程的數(shù)目。缺省為5個。如果你處于一個繁忙的網(wǎng)絡(luò)環(huán)境中,你可以適當(dāng)增大該值。
2.authenticate_ttl
說明:設(shè)置一次認(rèn)證的有效期,缺省是3600秒。
3.proxy_auth_realm
說明:設(shè)置用戶登錄認(rèn)證時向用戶顯示的域名。
5.3透明代理的設(shè)置
關(guān)于透明代理的概念我們已經(jīng)在第一節(jié)將過了,下面我們看一下怎么樣在squid中實現(xiàn)透明代理。
透明代理的實現(xiàn)需要在Linux 2.0.29以上,但是Linux 2.0.30并不支持該功能,好在我們現(xiàn)在使用的通常是2.2.X以上的版 本,所以不必擔(dān)心這個問題。下面我們就用ipchains+squid來實現(xiàn)透明代理。在開始之前需要說明的是,目前我們只能實現(xiàn)支持HTTP的透明代 理,但是也不必太擔(dān)心,因為我們之所以使用代理,目的是利用squid的緩存來提高Web的訪問速度,至于提供內(nèi)部非法ip地址的訪問及提高網(wǎng)絡(luò)安全性, 我們可以用ipchains來解決。
實現(xiàn)環(huán)境:RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關(guān)配置
確定你的內(nèi)核已經(jīng)配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒有,請你重新編譯內(nèi)核。一般在RedHat6.x以上,系統(tǒng)已經(jīng)缺省配置了這些特性。
5.3.2squid的相關(guān)配置選項
設(shè)置squid.conf中的相關(guān)選項,如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說明:
1.http_port 3128
在本例中,我們假設(shè)squid的HTTP監(jiān)聽端口為3128,即squid缺省設(shè)置值。然后,把所有來自于客戶端web請求的包(即目標(biāo)端口為80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個選項本來是用來定義squid加速模式的。在這里我們用virtual來指定為虛擬主機模式。80端口為要加速的請求端口。采用這種模式時,squid就取消了緩存及ICP功能,假如你需要這些功能,這必須設(shè)置httpd_accel_with_proxy選項。
3.httpd_accel_with_proxy on
該選項在透明代理模式下是必須設(shè)置成on的。在該模式下,squid既是web請求的加速器,又是緩存代理服務(wù)器。
4.httpd_accel_uses_host_header on
在透明代理模式下,如果你想讓你代理服務(wù)器的緩存功能正確工作的話,你必須將該選項設(shè)為on。設(shè)為on時,squid會把存儲的對象加上主機名而不是ip地址作為索引。這一點在你想建立代理服務(wù)器陣列時顯得尤為重要。
5.3.3 ipchains的相關(guān)配置
ipchains在這里所起的作用是端口重定向。我們可以使用下列語句實現(xiàn)將目標(biāo)端口為80端口的TCP包重定向到3128端口。
#接收所有的回送包
/sbin/ipchains -A input -j ACCEPT -i lo
#將目標(biāo)端口為80端口的TCP包重定向到3128端口
/sbin/ipchains -A input -p tcp -d 0.0.0.0/0 80 -j REDIRECT 80
當(dāng)然在這以前,我們必須用下面的語句打開包轉(zhuǎn)發(fā)功能。
echo 1 >; /proc/sys/net/ipv4/ip_forward
上述內(nèi)容就是如何解析squid的配置,你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。