Linux代理服務全攻略——Squid篇

　　代理提供兩個方面的服務：一是讓不能直接訪問Internet的用戶訪問Internet，因為允許一台權限較大的計算機直接連接網絡更安全也更易於管理；二是讓那些已經能夠訪問Internet的用戶可以更快或更廣泛地訪問，因為代理服務器可以將訪問較為頻繁的網頁緩存到本地，當有人再次訪問同一頁面時，代理可以直接發送本地頁面而無需浪費網絡帶寬。當然也可以二者兼而有之。　　　　我們以應用最廣泛的Squid為例，討論Linux下的代理服務器。這裡所指的僅僅是服務器端應用，不包括客戶端配置。Squid的優點是功能強大、配置簡單、文檔豐富；缺點是目前支持的協議尚不夠廣泛，對超大型應用略感吃力，不過這些不足都在慢慢完善之中。對於初學者和普通的應用而言，Squid仍是最佳選擇。　　　　在此，我們要配置一個只對內部網絡提供代理服務的Proxy Server。它將用戶分為高級用戶和普通用戶兩種，對高級用戶采用網卡物理地址識別的方法，普通用戶則需要輸入用戶名和口令才能正常使用。高級用戶沒有訪問時間和文件類型的限制，而普通用戶只在上班時可以訪問以及一些其它的限制。　　　　安裝　　可以從Squid站點www.squid-cache.org獲取該軟件的源代碼安裝包，包括gz和bz2兩種壓縮方式。也可以使用Linux的發行版，如Red Hat提供的RPM包。　　　　RPM方式安裝很簡單，命令如下：　　　　$ rpm -ivh Squid-2.x.STALBx.i386.rpm　　　　不過筆者認為，即便是系統中已經默認安裝了Squid，也應當先刪掉然後安裝最新的源代碼包。因為開源軟件會不斷修正問題、提供更新的功能，使用最新版本可以保證最高的性能及安全，而且源代碼方式可以完全定制系統。不過STABLE穩定版、DEVEL版通常是提供給開發人員測試程序的，假定下載了最新的穩定版squid-2.5.STABLE2.tar.gz，用以下命令解開壓縮包：　　　　$ tar xvfz squid-2.5.STABLE.tar.gz　　　　用bz2方式壓縮的包可能體積更小，相應的命令是：　　　　$ tar xvfj squid-2.5.STABLE.tar.bz2　　　　然後，進入相應目錄對源代碼進行配置和編譯，命令如下：　　　　$ cd squid-2.5.STABLE2　　　　配置命令configure有很多選項，如果不清楚可先用“-help”查看。通常情況下，用到的選項有以下幾個：　　　　--prefix=/web/squid　　#指定Squid的安裝位置，如果只指定這一選項，那麼該目錄下會有bin、sbin、man、conf等目錄，而主要的配置文件此時在conf子目錄中。為便於管理，最好用參數--sysconfdir=/etc把這個文件位置配置為/etc。　　--enable-storeio=ufs,null　　#使用的文件系統通常是默認的ufs，不過如果想要做一個不緩存任何文件的代理服務器，就需要加上null文件系統。　　--enable-arp-acl　　#這樣可以在規則設置中直接通過客戶端的MAC地址進行管理，防止客戶使用IP欺騙。　　--enable-err-languages="Simplify_Chinese"　　--enable-default-err-languages="Simplify_Chinese"　　#上面兩個選項告訴Squid編入並使用簡體中文錯誤信息。　　--enable-linux-netfilter　　#允許使用Linux的透明代理功能。　　--enable-underscore　　#允許解析的URL中出現下劃線，因為默認情況下Squid會認為帶下劃線的URL是非法的，並拒絕訪問該地址。　　　　整個配置編譯過程如下：　　　　./configure --prefix=/var/squid　　--sysconfdir=/etc　　--enable-arp-acl　　--enable-linux-netfilter　　--enable-pthreads　　--enable-err-language="Simplify_Chinese"　　--enable-storeio=ufs,null　　--enable-default-err-language="Simplify_Chinese"　　--enable-auth="basic"　　--enable-baisc-auth-helpers="NCSA"　　--enable-underscore　　　　其中一些選項有特殊作用，將在下面介紹它們。　　　　最後執行make和make install兩條命令，將源代碼編譯為可執行文件，並拷貝到指定位置。　　　　基本配置　　安裝完成後，接下來要對Squid的運行進行配置（不是前面安裝時的配置）。所有項目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明，相當於一篇用戶手冊，對配置有任何疑問都可以參照解決。　　　　在這個例子中，代理服務器同時也是網關，內部網絡接口eth0的IP地址為192.168.0.1，外部網絡接口eth1的IP地址為202.103.x.x。下面是一個基本的代理所需要配置選項：　　　　http_port 192.168.0.1:3128　　　　默認端口是3128，當然也可以是任何其它端口，只要不與其它服務發生沖突即可。為了安全起見，在前面加上IP地址，Squid就不會監聽外部的網絡接口。　　　　下面的配置選項是服務器管理者的電子郵件，當錯誤發生時，該地址會顯示在錯誤頁面上，便於用戶聯系：　　　　cache_mgr [email protected]　　　　以下這些參數告訴Squid緩存的文件系統、位置和緩存策略：　　　　cache_dir ufs /var/squid　　cache_mem 32MB　　cache_swap_low 90　　cache_swap_high 95　　　　在這裡，Squid會將/var/squid目錄作為保存緩存數據的目錄，每次處理的緩存大小是32兆字節，當緩存空間使用達到95%時，新的內容將取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動。如果不想Squid緩存任何文件，如某些存儲空間有限的專有系統，可以使用null文件系統（這樣不需要那些緩存策略）：　　　　cache_dir null /tmp　　　　下面的幾個關於緩存的策略配置中，較主要的是第一行，即用戶的訪問記錄，可以通過分析它來了解所有用戶訪問的詳盡地址：　　　　cache_Access_log /var/squid/access.log　　cache_log /var/squid/cache.log　　cache_store_log /var/squid/store.log　　　　下面這行配置是在較新版本中出現的參數，告訴Squid在錯誤頁面中顯示的服務器名稱：　　　　visible_hostname No1.proxy　　　　以下配置告訴Squid如何處理用戶，對每個請求的IP地址作為單獨地址處理：　　　　client_mask 255.255.255.255　　　　如果是普通代理服務器，以上的配置已經足夠。但是很多Squid都被用來做透明代理。所謂透明代理，就是客戶端不知道有代理服務器的存在，當然也不需要進行任何與代理有關的設置，從而大大方便了系統管理員。相關的選項有以下幾個：　　　　httpd_accel_host virtual　　httpd_accel_port 80　　httpd_accel_with_proxy on　　httpd_accel_user_host_header on　　　　在Linux上，可以用iptables/ipchains直接將對Web端口80的請求直接轉發到Squid端口3128，由Squid接手，而用戶浏覽器仍然認為它訪問的是對方的80端口。例如以下這條命令：　　　　iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128　　　　就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口。　　　　所有設置完成後，關鍵且重要的任務是訪問控制。Squid支持的管理方式很多，使用起來也非常簡單（這也是有人寧願使用不做任何緩存的Squid，也不願意單獨使用iptables的原因）。Squid可以通過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶，也可以通過域名、域後綴、文件類型、IP地址、端口、URL匹配等控制用戶的訪問，還可以使用時間區間對用戶進行管理，所以訪問控制是Squid配置中的重點。Squid用ACL（Access Control List，訪問控制列表）對訪問類型進行劃分，用http_access deny 或allow進行控制。根據需求首先定義兩組用戶advance和normal，還有代表所有未指明的用戶組all及不允許上網的baduser，配置代碼如下：　　　　acl advance 192.168.0.2-192.168.0.10/32　　acl normal src 192.168.0.11-192.168.0.200/32　　acl baduser src 192.168.0.100/32　　acl baddst dst www.somebadsite.com　　acl all src 0.0.0.0/0　　　　http_access deny baduser　　http_access allow advance　　http_access allow normal　　　　可以看出，ACL的基本格式如下：　　　　acl 列表名稱 控制方式 控制目標　　　　比如acl all src 0.0.0.0/0，其名稱是all，控制方式是src源IP地址，控制目標是0.0.0.0/0的IP地址，即所有未定義的用戶。出於安全考慮，總是在最後禁止這個列表。　　　　下面這個列表代表高級用戶，包括IP地址從192.168.0.2到192.168.0.10的所有計算機：　　　　acl advance 192.168.0.2-192.168.0.20/32　　　　下面這個baduser列表只包含一台計算機，其IP地址是192.168.0.100：　　　　acl baduser 192.168.0.100/32　　　　ACL寫完後，接下來要對它們分別進行管理，代碼如下：　　　　http_access deny baduser　　http_access allow advance　　http_access allow normal　　　　上面幾行代碼告訴Squid不允許baduser組訪問Internet，但advance、normal組允許（此時還沒有指定詳細的權限）。由於Squid是按照順序讀取規則，會首先禁止baduser，然後允許normal。如果將兩條規則順序顛倒，由於baduser在normal范圍中，Squid先允許了所有的normal，那麼再禁止baduser就不會起作用。　　　　特別要注意的是，Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如，當一個用戶訪問代理服務器時，Squid會順序測試Squid中定義的所有規則列表，當所有規則都不匹配時，Squid會使用與最後一條相反的規則。就像上面這個例子，假設有一個用戶的IP地址是192.168.0.201