| 在此,咱們要配置一個只對內部網絡提供代理服務的Proxy Server。它將用戶分爲高級用戶和普通用戶兩種,對高級用戶採用網卡物理地址識別的方法,普通用戶則須要輸入用戶名和口令才能正常使用。高級用戶沒有訪問時間和文件類型的限制,而普通用戶只在上班時能夠訪問以及一些其它的限制。 安裝 能夠從Squid站點www.squid-cache.org獲取該軟件的源代碼安裝包,包括gz和bz2兩種壓縮方式。也可使用Linux的發行版,如Red Hat提供的RPM包。 RPM方式安裝很簡單,命令以下: $ rpm -ivh Squid-2.x.STALBx.i386.rpm 不過筆者認爲,即使是系統中已經默認安裝了Squid,也應當先刪掉而後安裝最新的源代碼包。由於開源軟件會不斷修正問題、提供更新的功能,使用最新版本能夠保證最高的性能及安全,並且源代碼方式能夠徹底定製系統。不過STABLE穩定版、DEVEL版一般是提供給開發人員測試程序的,假定下載了最新的穩定版squid-2.5.STABLE2.tar.gz,用如下命令解開壓縮包: $ tar xvfz squid-2.5.STABLE.tar.gz 用bz2方式壓縮的包可能體積更小,相應的命令是: $ tar xvfj squid-2.5.STABLE.tar.bz2 而後,進入相應目錄對源代碼進行配置和編譯,命令以下: $ cd squid-2.5.STABLE2 配置命令configure有不少選項,若是不清楚可先用「-help」查看。一般狀況下,用到的選項有如下幾個: --prefix=/web/squid #指定Squid的安裝位置,若是隻指定這一選項,那麼該目錄下會有bin、sbin、man、conf等目錄,而主要的配置文件此時在conf子目錄中。爲便於管理,最好用參數--sysconfdir=/etc把這個文件位置配置爲/etc。 --enable-storeio=ufs,null #使用的文件系統一般是默認的ufs,不過若是想要作一個不緩存任何文件的代理服 務器,就須要加上null文件系統。 --enable-arp-acl #這樣能夠在規則設置中直接經過客戶端的MAC地址進行管理,防止客戶使用IP欺騙。 --enable-err-languages="Simplify_Chinese" --enable-default-err-languages="Simplify_Chinese" #上面兩個選項告訴Squid編入並使用簡體中文錯誤信息。 --enable-linux-netfilter #容許使用Linux的透明代理功能。 --enable-underscore #容許解析的URL中出現下劃線,由於默認狀況下Squid會認爲帶下劃線的URL是 非法的,並拒絕訪問該地址。 整個配置編譯過程以下: ./configure --prefix=/var/squid --sysconfdir=/etc --enable-arp-acl --enable-linux-netfilter --enable-pthreads --enable-err-language="Simplify_Chinese" --enable-storeio=ufs,null --enable-default-err-language="Simplify_Chinese" --enable-auth="basic" --enable-baisc-auth-helpers="NCSA" --enable-underscore 其中一些選項有特殊做用,將在下面介紹它們。 最後執行make和make install兩條命令,將源代碼編譯爲可執行文件,並拷貝到指定位置。 基本配置 安裝完成後,接下來要對Squid的運行進行配置(不是前面安裝時的配置)。全部項目都在squid.conf中完成。Squid自帶的squid.conf包括很是詳盡的說明,至關於一篇用戶手冊,對配置有任何疑問均可以參照解決。 在這個例子中,代理服務器同時也是網關,內部網絡接口eth0的IP地址爲192.168.0.1,外部網絡接口eth1的IP地址爲202.103.x.x。下面是一個基本的代理所須要配置選項: http_port 192.168.0.1:3128 默認端口是3128,固然也能夠是任何其它端口,只要不與其它服務發生衝突便可。爲了安全起見,在前面加上IP地址,Squid就不會監聽外部的網絡接口。 下面的配置選項是服務器管理者的電子郵件,當錯誤發生時,該地址會顯示在錯誤頁面上,便於用戶聯繫: cache_mgr start@soocol.com 如下這些參數告訴Squid緩存的文件系統、位置和緩存策略: cache_dir ufs /var/squid cache_mem 32MB cache_swap_low 90 cache_swap_high 95 在這裏,Squid會將/var/squid目錄做爲保存緩存數據的目錄,每次處理的緩存大小是32兆字節,當緩存空間使用達到95%時,新的內容將取代舊的而不直接添加到目錄中,直到空間又降低到90%才中止這一活動。若是不想Squid緩存任何文件,如某些存儲空間有限的專有系統,可使用null文件系統(這樣不須要那些緩存策略): cache_dir null /tmp 下面的幾個關於緩存的策略配置中,較主要的是第一行,即用戶的訪問記錄,能夠經過分析它來了解全部用戶訪問的詳盡地址: cache_access_log /var/squid/access.log cache_log /var/squid/cache.log cache_store_log /var/squid/store.log 下面這行配置是在較新版本中出現的參數,告訴Squid在錯誤頁面中顯示的服務器名稱: visible_hostname No1.proxy 如下配置告訴Squid如何處理用戶,對每一個請求的IP地址做爲單獨地址處理: client_mask 255.255.255.255 若是是普通代理服務器,以上的配置已經足夠。可是不少Squid都被用來作透明代理。所謂透明代理,就是客戶端不知道有代理服務器的存在,固然也不須要進行任何與代理有關的設置,從而大大方便了系統管理員。相關的選項有如下幾個: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_user_host_header on 在Linux上,能夠用iptables/ipchains直接將對Web端口80的請求直接轉發到Squid端口3128,由Squid接手,而用戶瀏覽器仍然認爲它訪問的是對方的80端口。例如如下這條命令: iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128 就是將192.168.0.200的全部針對80端口的訪問重定向到3128端口。 全部設置完成後,關鍵且重要的任務是訪問控制。Squid支持的管理方式不少,使用起來也很是簡單(這也是有人寧願使用不作任何緩存的Squid,也不肯意單獨使用iptables的緣由)。Squid能夠經過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶,也能夠經過域名、域後綴、文件類型、IP地址、端口、URL匹配等控制用戶的訪問,還可使用時間區間對用戶進行管理,因此訪問控制是Squid配置中的重點。Squid用ACL(Access Control List,訪問控制列表)對訪問類型進行劃分,用http_access deny 或allow進行控制。根據需求首先定義兩組用戶advance和normal,還有表明全部未指明的用戶組all及不容許上網的baduser,配置代碼以下: acl advance 192.168.0.2-192.168.0.10/32 acl normal src 192.168.0.11-192.168.0.200/32 acl baduser src 192.168.0.100/32 acl baddst dst www.soocol.com acl all src 0.0.0.0/0 http_access deny baduser http_access allow advance http_access allow normal 能夠看出,ACL的基本格式以下: acl 列表名稱 控制方式 控制目標 好比acl all src 0.0.0.0/0,其名稱是all,控制方式是src源IP地址,控制目標是0.0.0.0/0的IP地址,即全部未定義的用戶。出於安全考慮,老是在最後禁止這個列表。 下面這個列表表明高級用戶,包括IP地址從192.168.0.2到192.168.0.10的全部計算機: acl advance 192.168.0.2-192.168.0.20/32 下面這個baduser列表只包含一臺計算機,其IP地址是192.168.0.100: acl baduser 192.168.0.100/32 ACL寫完後,接下來要對它們分別進行管理,代碼以下: http_access deny baduser http_access allow advance http_access allow normal 上面幾行代碼告訴Squid不容許baduser組訪問Internet,但advance、normal組容許(此時尚未指定詳細的權限)。因爲Squid是按照順序讀取規則,會首先禁止baduser,而後容許normal。若是將兩條規則順序顛倒,因爲baduser在normal範圍中,Squid先容許了全部的normal,那麼再禁止baduser就不會起做用。 特別要注意的是,Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如,當一個用戶訪問代理服務器時,Squid會順序測試Squid中定義的全部規則列表,當全部規則都不匹配時,Squid會使用與最後一條相反的規則。就像上面這個例子,假設有一個用戶的IP地址是192.168.0.201,他試圖經過這臺代理服務器訪問Internet,會發生什麼狀況呢?咱們會發現,他可以正常訪問,由於Squid找遍全部訪問列表也沒有和192.168.0.201有關的定義,便開始應用規則,而最後一條是deny,那麼Squid默認的下一條處理規則是allow,因此192.168.0.201反而可以訪問Internet了,這顯然不是咱們但願的。因此在全部squid.conf中,最後一條規則永遠是http_access deny all,而all就是前面定義的「src 0.0.0.0」。 高級控制 前面說過,Squid的控制功能很是強大,只要理解Squid的行爲方式,基本上就可以知足全部的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。 經過IP地址來識別用戶很不可靠,比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別,必須在編譯時加上「--enable-arp-acl」選項,而後能夠經過如下的語句來識別用戶: acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... 它直接使用用戶的MAC地址,而MAC地址通常是不易修改的,即便有普通用戶將本身的IP地址改成高級用戶也沒法經過,因此這種方式比IP地址可靠得多。 假如不想讓用戶訪問某個網站應該怎麼作呢?能夠分爲兩種狀況:一種是不容許訪問某個站點的某個主機,好比ok的主機是ok.sina.com.cn,而其它的新浪資源倒是容許訪問的,那麼ACL能夠這樣寫: acl sinapage dstdomain ok.sina.com.cn ... ... http_access deny ok ... ... 由此能夠看到,除了ok,其它如www.sina.com.cn、news.sina.com.cn均可以正常訪問。 另外一種狀況是整個網站都不準訪問,那麼只須要寫出這個網站共有的域名便可,配置以下: acl qq dstdomain .tcccent.com.cn 注意tcccent前面的「.」,正是它指出以此域名結尾的全部主機都不可訪問,不然就只有tcccent.com.cn這一臺主機不能訪問。 若是想禁止對某個IP地址的訪問,如202.118.2.182,能夠用dst來控制,代碼以下: acl badaddr dst 202.118.2.182 固然,這個dst也能夠是域名,由Squid查詢DNS服務器將其轉換爲IP。 還有一種比較普遍的控制是文件類型。若是不但願普通用戶經過代理服務器下載MP三、AVI等文件,徹底能夠對他們進行限制,代碼以下: acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$ http_access deny mmxfile 看到regex,不少讀者應該心照不宣,由於這條語句使用了標準的規則表達式(又叫正則表達式)。它將匹配全部以.mp三、.avi等結尾的URL請求,還能夠用-i參數忽略大小寫,例如如下代碼: acl mmxfile urlpath_regex -i \.mp3$ 這樣,不管是.mp3仍是.MP3都會被拒絕。固然,-i參數適用於任何可能須要區分大小寫的地方,如前面的域名控制。 若是想讓普通用戶只在上班時間能夠上網,並且是每週的工做日,用Squid應當如何處理呢?看看下面的ACL定義: acl worktime time MTWHF 8:30-12:00 14:00-18:00 http_access deny !worktime 首先定義容許上網的時間是每週工做日(星期一至星期五)的上午和下午的固定時段,而後用http_access 定義全部不在這個時間段內的請求都是不容許的。 或者爲了保證高級用戶的帶寬,但願每一個用戶的併發鏈接不能太多,以避免影響他人,也能夠經過Squid控制,代碼以下: acl conncount maxconn 3 http_access deny conncount normal http_access allow normal 這樣,普通用戶在某個固定時刻只能同時發起三個鏈接,從第四個開始,鏈接將被拒絕。 總之,Squid的ACL配置很是靈活、強大,更多的控制方式能夠參考squid.conf.default。 認證 用戶/密碼認證爲Squid管理提供了更多便利,最經常使用的認證方式是NCSA。從Squid 2.5版本開始,NCSA認證包含在了basic中,而非之前單獨的認證模塊。下面來看看實現認證的具體操做。 首先在編譯時配置選項應包括如下配置: --enable-auth="basic" --enable-basic-auth-helpers="NCSA" 「make install」之後,須要將「helpers/basic_auth/NCSA/ncsa_auth」拷貝到用戶可執行目錄中,如/usr/bin(若是在該目錄中找不到這個執行文件,在編譯時請使用make all而不是make,或者直接在該目錄中執行make),而後須要藉助Apache的密碼管理程序htpasswd來生成用戶名/密碼對應的文件,就像下面這行代碼: htpasswd -c /var/squid/etc/password guest 在輸入兩遍guest用戶的密碼後,一個guest用戶就生成了。若是之後須要添加用戶,把上面的命令去掉-c參數再運行便可。 Squid 2.5在認證處理上有了較大的改變,這裏就只討論2.5版本的處理方法,2.4及如下版本請參考squid.conf.default。在2.5版的squid.conf中,包括如下幾個相關選項: #該選項指出了認證方式(basic)、須要的程序(ncsa_auth)和 對應的密碼文件(password) auth_param basic program /usr/bin/ncsa_auth /var/squid/etc/password # 指定認證程序的進程數 auth_param basic children 5 # 瀏覽器顯示輸入用戶/密碼對話框時的領域內容 auth_param basic realm My Proxy Caching Domain # 基本的認證有效時間 auth_param basic credentialsttl 2 hours # 普通用戶須要經過認證才能訪問Internet acl normal proxy_auth REQUIRED http_access allow normal 經過以上的配置便可完成認證工做。有的讀者可能要問:認證只針對普通用戶,而高級用戶是直接上網的,該怎麼處理呢?其實,這兩種用戶是能夠共存的。如前所述,Squid是順序處理http_access的,因此在http_access處理過程當中,若是先處理normal用戶,那麼當前用戶不管是否屬於高級用戶,都會被要求進行認證;相反若是先處理高級用戶,剩下的就只有須要認證的普通用戶了。例如如下配置代碼: ... http_access allow normal (須要認證) http_access allow advance (不須要認證) ... 不論是否爲noauth用戶,都要求進行用戶名/密碼驗證。正確的方法是將兩者位置交換,代碼以下: ... http_access allow advance http_access allow normal ... 這時,高級用戶不會受到任何影響。 總結 下面把整個squid.conf總結一下: # 服務器配置 http_port 192.168.0.1:3128 cache_mgr start@soocol.com cache_dir null /tmp cache_access_log /var/squid/access.log cache_log /var/squid/cache.log cache_store_log /var/squid/store.log visible_hostname No1.proxy client_mask 255.255.255.255 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_user_host_header on # 用戶分類 acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... acl normal proxy_auth REQUIED acl all src 0.0.0.0 # 行爲分類 acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$ acl conncount maxconn 3 acl worktime time MTWHF 8:30-12:00 14:00-18:00 acl sinapage dstdomain ok.sina.com.cn acl qq dstdomain .tcccent.com.cn # 處理 http_access allow advance http_access deny conncount normal http_access deny !worktime http_access deny mmxfile http_access deny sinapage http_access deny qq http_access allow normal 配置後的情況是,advance組能夠不受任何限制地訪問Internet,而normal組則只能在工做時間上網,並且不能下載多媒體文件,不能訪問某些特定的站點,並且發送請求不能超過3個。 經過本文的介紹,它能夠了解Squid的基本能力。固然,它的能力遠不止此,能夠創建強大的代理服務器陣列,能夠幫助本地的Web服務器提升性能,能夠提升本地網絡的安全性等。要想發揮它的功效,還須要進一步控制。 |
|
