Linux教程網 >> Linux綜合 >> Linux資訊 >> 更多Linux >> squid和squidGuard配置代理服務器

squid和squidGuard配置代理服務器

日期：2017/2/27 9:22:14 编辑：更多Linux

　　前言：本文主要介紹了在Linux使用squid和squidGuard配置代理服務器，以www代理服務為例介紹如何過濾有害站點和限制用戶對internet的訪問。一. 介紹 Squid是linux下最為流行的代理服務器軟件，它功能強大，支持對HTTP，FTP，Gopher，SSL和WAIS等協議的代理；設置簡單，只需對配置文件中稍稍改動就可使代理服務器運轉起來。而且Squid具有頁面緩存功能，它接收用戶的下載申請，並自動處理所下載的數據。也就是說，當一個用戶象要下載一個主頁時，它向Squid發出一個申請，要Squid替它下載，然後Squid連接所申請網站並請求該主頁，接著把該主頁傳給用戶同時保留一個備份，當別的用戶申請同樣的頁面時，Squid把保存的備份立即傳給用戶，使用戶覺得速度相當快。 squidGuard則是作為squid的輔助軟件，完成過濾、重定向和訪問控制的功能。它是一個自由軟件，功能強，便於安裝、易於配置、而且處理速度快。功能主要包括：根據web服務器或URLs列表限制一些用戶的訪問；阻塞某些用戶對黑名單上的web服務器和URLs的訪問；阻塞某些用戶對正則表達式匹配的URLs的訪問；在URL路徑加強了使用域名訪問而禁止用IP訪問；重定向阻塞的URLs到一個智能CGI的信息頁；重定向非授權用戶到一個注冊頁面；具有基於日期、每周、每天具體時間的訪問規則；對不同用戶組有不同的規則。但是不能過濾、檢查文檔中的文本以及Html中的javascript或Vbscript腳本語言。二. 安裝 1。安裝squid：從www.squid-cache.org下載squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src下。在編譯Squid之前，建立一個專門運行Squid的用戶和組，這裡建立了名為squid的組和用戶，用戶目錄設為/usr/local/squid #su squid $cd /usr/local/squid/src $tar xvzf squid-2.4.STABLE2-src.tar.gz $ cd squid-2.4.STABLE2 $./configure $make $make install (默認安裝到/usr/local/squid目錄下) 2。安裝Berkeley DB 2.x: 從http://www.sleepycat.com 下載db-2.7.7.tar.gz並存在/usr/local/squidGuard/src/目錄下 $su #cd /usr/local/squidGuard/src/ #tar xvzf db-2.7.7.tar.gz #cd db-2.7.7 #cd build_unix #../dist/configure #make #make install (默認安裝到/usr/local/BerkeleyDB目錄下) 注意：squidＧuard不支持Berkeley DB 3.x版本 3。安裝squidGuard 從http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下載軟件包並存於本地/usr/local/squidGuard/src/ #cd /usr/local/squidGuard/src/ #tar xvzf squidGuard-1.1.4.tar.gz #cd squidGuard-1.1.4 #./configure --with-sg-config=/usr/local/squidGuard/squidGuard.conf --with-sg-logdir=/usr/local/squidGuard/logs --with-sg-dbhome=/usr/local/squidGuard/db #make #make test //測試ok，即可進行下一步安裝 #make install 三. 配置 1．配置squid：

修改squid的配置文件/usr/local/squid/etc/squid.conf： http_port 8080 #squid的代理端口，使用1024以下的端口，squid必須以root身份運行 http_Access allow all #允許所有的用戶通過代理進行http訪問 redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf #squid啟用squidGuard進行過濾和轉發其它參數： cache_mem：設置代理服務使用的內存大小，一般推薦為物理內存的三分之一 cache_dir：指定cache目錄的路徑，默認為/usr/local/squid/cache。 maximum_object_size：指定Squid可以接收的最大對象的大小。Squid缺省值為4M，可以根據自己的需要進行設定。 cache_dir：設定緩存的位置、大小。一般格式如下： cache_dir /usr/local/squid/cache 100 16 256 /usr/local/squid/cache代表緩存的位置；100代表緩存最大為100M；16和256代表一級和二級目錄數。 cache_effective_user：設定使用緩存的有效用戶。缺省為用戶nobody，如果系統中沒有用戶nobody，最好建一個或以非root用戶運行Squid。這裡是以squid身份運行的 cache_effective_group：設定使用緩存的有效用戶組。缺省組為nogroup，如果系統中沒有組nogroup，最好建一個組。這裡是squid組。　(其余參數用默認值即可！) 2．配置squidGuard: 修改squidＧuard的配置文件/usr/local/squidGuard/squidGuard.conf文件： logdir /usr/local/squidGuard/logs #日志目錄定義 dbhome /usr/local/squidGuard/db #db目錄定義 time testtime { #時間規則定義 weekly mtwhf 05:00 - 10:30 weekly as 08:00 - 19:00 date *-*-01 08:00 - 16:30 date 2001.10.01 - 2001.10.09 } src admin { #源組定義 ip 192.168.100.18 } src client{ ip 192.168.100.20 192.168.100.21 192.168.100.22 ip 192.168.200.0/24 } dest porn { #目標組定義 domainlist porn/domains urllist porn/urls eXPressionlist porn/expressions } acl { #訪問規則定義 admin within testtime { pass !porn all } else { pass all } client { pass !in-addr !porn all } default { pass none redirect http://admin.foo.com （＃也可以重定向到一個含有一些信息的cgi頁面，如下： http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u） } } # vi db/porn/domains （域列表文件：主要是阻塞一些定義的站點） co.za sex.com （如上，可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com，但是不同於.*[^.]sex.com，不匹配ssex.com） # vi db/porn/urls （url列表文件，主要是阻塞一些站點及其一些欄目） qihui.com/sex valen.sohu.com/album (如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等) # vi db/porn/expressions (表達式列表文件，主要是阻塞一些與表達式匹配的URL訪問) (^[?+=/])(.*)(girl)(.*)([?+=/]$) （上面的正則表達式可以阻塞URL中包括girl站點的訪問，如：www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等）

注意：squidGuard對配置文件的語法要求很嚴，如果配置文件語法有誤，squidGuard仍能運行，但是squidGuard已進入應急模式，此時代理服務不具有任何阻塞作用，所有通過該代理的訪問都可通過，可以查看logs/squidGuard的日志文件，即可發現錯誤，例如： 2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8 2001-12-20 17:08:44 [2430] going into emergency mode ……. 其中配置文件第8行有誤，squidＧuard進入應急模式。配置的具體說明詳見http://www.squidguard.org/ 四. 運行： $ chmod 777 /usr/local/squid/logs （設置logs對所有用戶為可寫。這樣，不特定的squid代理客戶才能正常訪問代理服務器，並能在logs目錄、產生access.log、cache.log等文件。） $ /usr/local/squid/bin/squid -z (手工建立squid的緩存目錄/usr/local/squid/cache。) #/usr/local/squid/bin/squid (後台執行squid。如果想前台執行squid：如果你想前台執行Squid執行命令：　　$/usr/local/squid/bin/squid -NCd1 　　該命令正式啟動Squid。如果一切正常，你會看到一行輸出: 　　Ready to serve requests　) # ps axgrep squid 20198 ? S 0:00 /usr/local/squid/bin/squid 20200 ? S 0:27 (squid) 20310 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20311 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20312 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20313 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20314 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf （此時squidGuard也已啟用，每次修改配置後squid -k reconfigure重新起用即可，要殺掉squid執行squid -k kill）查看squidGuard日志文件： init domainlist /usr/local/squidGuard/db/porn/domains 2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains 2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls 2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions 2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022) 2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds 2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044) 表示squidGuard已正常啟動五. 測試：配置客戶端，然後測試代理服務：在另一台win2k上，（以Internet Explore5.0為例）運行IE，單擊"工具"，接著單擊"Internet選項"，再單擊"連接"選項卡，單擊"局域網設置"；在"局域網設置"窗口中，在"地址"處填上squid服務器的IP地址192.168.100.16，在"端口"處填上"8080"（修改後squid代理使用的端口號，也就是squid.conf中的http_port，默認值為3128），確定後退出。接下來，先把IP改成192.168.100.20，浏覽一些網站，如sohu，163等，然後再試試domains和urls中定義的，如hack.co.za、qihui.com/sex，會發現主頁被重定向到http://admin.foo.com。然後再試試浏覽有關girl的網站，去不了了：（；在sohu中搜girl也被重定向了；用IP試試（有些代理程序對ＩＰ不做限制，用ＩＰ可以繞過代理的限制訪問一些禁止的站點），可惜不行！（因為squidＧuard配置文件中使用了！in_addr，所以可以強迫用戶使用域名訪問而不能使用ip訪問）再下來，把IP改成192.168.100.18，然後時間改為testtime外的時間，浏覽網頁，試試結果，然後再將時間改為testtime內浏覽網頁！最後，把IP改成192.168.100.30，浏覽網頁測試。（可以查看logs下的access.log和cache.log，看看是否代理運行正常以及訪問的站點記錄）總結：由上可見，用squid和squidＧuard建立的代理服務器，配置比較簡單，而且功能強大，可以有效的限制一些用戶對internet的訪問並過濾一些黑名單列出的站點（如色情站點等）。

這裡只簡單的介紹了關於http代理的例子，其它的應用和功能大家可以自己試試。

接下來，先把IP改成192.168.100.20，浏覽一些網站，如sohu，163等，然後再試試domains和urls中定義的，如hack.co.za、qihui.com/sex，會發現主頁被重定向到http://admin.foo.com。然後再試試浏覽有關girl的網站，去不了了：（；在sohu中搜girl也被重定向了；用IP試試（有些代理程序對ＩＰ不做限制，用ＩＰ可以繞過代理的限制訪問一些禁止的站點），可惜不行！（因為squidＧuard配置文件中使用了！in_addr，所以可以強迫用戶使用域名訪問而不能使用ip訪問）再下來，把IP改成192.168.100.18，然後時間改為testtime外的時間，浏覽網頁，試試結果，然後再將時間改為testtime內浏覽網頁！最後，把IP改成192.168.100.30，浏覽網頁測試。（可以查看logs下的access.log和cache.log，看看是否代理運行正常以及訪問的站點記錄）總結：由上可見，用squid和squidＧuard建立的代理服務器，配置比較簡單，而且功能強大，可以有效的限制一些用戶對internet的訪問並過濾一些黑名單列出的站點（如色情站點等）。這裡只簡單的介紹了關於http代理的例子，其它的應用和功能大家可以自己試試。