squid實踐

squid實踐

[@more@] 配置帶認證的SQuid 代理

代理伺服器是網上提供轉接功能的伺服器，比如你想訪問的目的網站是A，由於某種原因你不能訪問到網站A或者你不想直接訪問網站A（這樣透過代理伺服器網站A，對網站A而已可以隱藏你自己的身份，也就是不知道是誰訪問的網站，而認為是代理伺服器訪問的），此時你就可以使用代理伺服器，在實際訪問網站的時候，你在瀏覽器的位址列內和你以前一樣輸入你要訪問的網站，瀏覽器會自動先訪問代理伺服器，然後代理伺服器會自動給你轉接到你的目標網站。簡單而言，代理伺服器可以隱藏你的身份。

在此，我們要配置一個只對內部網路提供代理服務的Proxy Server。它將使用者分為高階使用者和普通使用者兩種，對高階使用者採用網路卡實體地址識別的方法，普通使用者則需要輸入使用者名稱和口令才能正常使用。高階使用者沒有訪問時間和檔案型別的限制，而普通使用者只在上班時可以訪問以及一些其它的限制。

　　安裝

　　可以從Squid站點獲取該軟體的原始碼安裝包，包括gz和bz2兩種壓縮方式。也可以使用Linux的發行版，如Red Hat提供的RPM包。

　　RPM方式安裝很簡單，命令如下：

　　# rpm -ivh Squid-*.rpm

檢視 Squid rpm 包編譯的引數方法
# squid -v



　　不過筆者認為，即便是系統中已經預設安裝了Squid，也應當先刪掉然後安裝最新的原始碼包。因為開源軟體會不斷修正問題、提供更新的功能，使用最新版本可以保證最高的效能及安全，而且原始碼方式可以完全定製系統。不過STABLE穩定版、DEVEL版通常是提供給開發人員測試程式的，假定下載了最新的穩定版squid-2.5.STABLE2.tar.gz，用以下命令解開壓縮包：

# tar xvfz squid-2.5.STABLE.tar.gz


　　用bz2方式壓縮的包可能體積更小，相應的命令是：

# tar xvfj squid-2.5.STABLE.tar.bz2


　　然後，進入相應目錄對原始碼進行配置和編譯，命令如下：

# cd squid-2.5.STABLE2


　　配置命令configure有很多選項，如果不清楚可先用“-help”檢視。通常情況下，用到的選項有以下幾個：

--prefix=/web/squid
#指定Squid的安裝位置，如果只指定這一選項，那麼該目錄下會有bin、sbin、man、conf等目錄，而主要的配置檔案此時在conf子目錄中。為便於管理，最好用引數--sysconfdir=/etc把這個檔案位置配置為/etc。
--enable-storeio=ufs,null
#使用的檔案系統通常是預設的ufs，不過如果想要做一個不快取任何檔案的代理服
務器，就需要加上null檔案系統。
--enable-arp-acl
#這樣可以在規則設定中直接透過客戶端的MAC地址進行管理，防止客戶使用IP欺騙。
--enable-err-languages="Simplify_Chinese"
--enable-default-err-languages="Simplify_Chinese"
#上面兩個選項告訴Squid編入並使用簡體中文錯誤資訊。
--enable-linux-netfilter
#允許使用Linux的透明代理功能。
--enable-underscore
#允許解析的URL中出現下劃線，因為預設情況下Squid會認為帶下劃線的URL是
非法的，並拒絕訪問該地址。


　　整個配置編譯過程如下：

./configure --prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
--enable-auth="basic"
--enable-baisc-auth-helpers="NCSA"
--enable-underscore


　　其中一些選項有特殊作用，將在下面介紹它們。

　　最後執行make和make install兩條命令，將原始碼編譯為可執行檔案，並複製到指定位置。

　　基本配置

　　安裝完成後，接下來要對Squid的執行進行配置（不是前面安裝時的配置）。所有專案都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明，相當於一篇使用者手冊，對配置有任何疑問都可以參照解決。

　　在這個例子中，代理伺服器同時也是閘道器，內部網路介面eth0的IP地址為192.168.0.254，外部網路介面eth1的IP地址為111.112.113.114。下面是一個基本的代理所需要配置選項：

　　http_port 192.168.0.254:3128


　　預設埠是3128，當然也可以是任何其它埠，只要不與其它服務發生衝突即可。為了安全起見，在前面加上IP地址，Squid就不會監聽外部的網路介面。

　　下面的配置選項是伺服器管理者的電子郵件，當錯誤發生時，該地址會顯示在錯誤頁面上，便於使用者聯絡：

cache_mgr kevin@uplooking.com


　　以下這些引數告訴Squid快取的檔案系統、位置和快取策略：

cache_dir ufs /squid 2000 16 256
cache_mem 128MB
cache_swap_low 90
cache_swap_high 95


　　在這裡，Squid會將/var/squid目錄作為儲存快取資料的目錄，每次處理的快取大小是32兆位元組，當快取空間使用達到95%時，新的內容將取代舊的而不直接新增到目錄中，直到空間又下降到90%才停止這一活動。如果不想Squid快取任何檔案，如某些儲存空間有限的專有系統，可以使用null檔案系統（這樣不需要那些快取策略）：

cache_dir null /tmp


　下面的幾個關於快取的策略配置中，較主要的是第一行，即使用者的訪問記錄，可以透過分析它來了解所有使用者訪問的詳盡地址：

cache_access_log /var/log/squid/access.log
ache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log


　　下面這行配置是在較新版本中出現的引數，告訴Squid在錯誤頁面中顯示的伺服器名稱，不設定可能會導致squid啟動出錯：

visible_hostname stuxx.uplooking.com


　　以下配置告訴Squid如何處理使用者，對每個請求的IP地址作為單獨地址處理：

client_mask 255.255.255.255


　　如果是普通代理伺服器，以上的配置已經足夠。但是很多Squid都被用來做透明代理。所謂透明代理，就是客戶端不知道有代理伺服器的存在，當然也不需要進行任何與代理有關的設定，從而大大方便了系統管理員。相關的選項有以下幾個：

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on


　　在Linux上，可以用iptables直接將對Web埠80的請求直接轉發到Squid埠3128，由Squid接手，而使用者瀏覽器仍然認為它訪問的是對方的80埠。例如以下這條命令：

iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp --dport 80 -j REDIRECT --to-ports 3128


　　就是將192.168.0.200的所有針對80埠的訪問重定向到3128埠。

　　所有設定完成後，關鍵且重要的任務是訪問控制。Squid支援的管理方式很多，使用起來也非常簡單（這也是有人寧願使用不做任何快取的 Squid，也不願意單獨使用iptables的原因）。Squid可以透過IP地址、主機名、MAC地址、使用者/密碼認證等識別使用者，也可以透過域名、域字尾、檔案型別、IP地址、埠、URL匹配等控制使用者的訪問，還可以使用時間區間對使用者進行管理，所以訪問控制是Squid配置中的重點。Squid 用ACL（Access Control List，訪問控制列表）對訪問型別進行劃分，用http_access deny 或allow進行控制。根據需求首先定義兩組使用者advance和normal，還有代表所有未指明的使用者組all及不允許上網的baduser，配置程式碼如下：

acl advance 192.168.0.2-192.168.0.10/32
acl normal src 192.168.0.11-192.168.0.200/32
acl baduser src 192.168.0.100/32
acl baddst dst
acl all src 0.0.0.0/0

http_access deny baduser
http_access allow advance
http_access allow normal


　　可以看出，ACL的基本格式如下：

　　acl 列表名稱 控制方式 控制目標


　　比如acl all src 0.0.0.0/0，其名稱是all，控制方式是src源IP地址，控制目標是0.0.0.0/0的IP地址，即所有未定義的使用者。出於安全考慮，總是在最後禁止這個列表。

　　下面這個列表代表高階使用者，包括IP地址從192.168.0.2到192.168.0.10的所有計算機：

acl advance 192.168.0.2-192.168.0.20/32


　　下面這個baduser列表只包含一臺計算機，其IP地址是192.168.0.100：

acl baduser 192.168.0.100/32


　　ACL寫完後，接下來要對它們分別進行管理，程式碼如下：

http_access deny baduser
http_access allow advance
http_access allow normal


　　上面幾行程式碼告訴Squid不允許baduser組訪問Internet，但advance、normal組允許（此時還沒有指定詳細的許可權）。由於Squid是按照順序讀取規則，會首先禁止baduser，然後允許normal。如果將兩條規則順序顛倒，由於baduser在normal 範圍中，Squid先允許了所有的normal，那麼再禁止baduser就不會起作用。

　　特別要注意的是，Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如，當一個使用者訪問代理伺服器時， Squid會順序測試Squid中定義的所有規則列表，當所有規則都不匹配時，Squid會使用與最後一條相反的規則。就像上面這個例子，假設有一個使用者的IP地址是192.168.0.101，他試圖透過這臺代理伺服器訪問Internet，會發生什麼情況呢？我們會發現，他能夠正常訪問，因為 Squid找遍所有訪問列表也沒有和192.168.0.101有關的定義，便開始應用規則，而最後一條是deny，那麼Squid預設的下一條處理規則是allow，所以192.168.0.101反而能夠訪問Internet了，這顯然不是我們希望的。所以在所有squid.conf中，最後一條規則永遠是http_access deny all，而all就是前面定義的“src 0.0.0.0”。

　　

高階控制

　　Squid的控制功能非常強大，只要理解Squid的行為方式，基本上就能夠滿足所有的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。

　　透過IP地址來識別使用者很不可靠，比IP地址更好的是網路卡的MAC實體地址。要在Squid中使用MAC地址識別，必須在編譯時加上“--enable-arp-acl”選項，然後可以透過以下的語句來識別使用者：

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...


　　它直接使用使用者的MAC地址，而MAC地址一般是不易修改的，即使有普通使用者將自己的IP地址改為高階使用者也無法透過，所以這種方式比IP地址可靠得多。

　　假如不想讓使用者訪問某個網站應該怎麼做呢？可以分為兩種情況：一種是不允許訪問某個站點的某個主機，比如ok的主機是ok.sina.com.cn，而其它的新浪資源卻是允許訪問的，那麼ACL可以這樣寫：

acl sinapage dstdomain ok.sina.com.cn
... ...
http_access deny ok
... ...


　　由此可以看到，除了ok，其它如、news.sina.com.cn都可以正常訪問。

　　另一種情況是整個網站都不許訪問，那麼只需要寫出這個網站共有的域名即可，配置如下：

acl qq dstdomain .tcccent.com.cn


　　注意tcccent前面的“.”，正是它指出以此域名結尾的所有主機都不可訪問，否則就只有tcccent.com.cn這一臺主機不能訪問。

　　如果想禁止對某個IP地址的訪問，如202.118.2.182，可以用dst來控制，程式碼如下：


acl badaddr dst 202.118.2.182


　　當然，這個dst也可以是域名，由Squid查詢DNS伺服器將其轉換為IP。

　　還有一種比較廣泛的控制是檔案型別。如果不希望普通使用者透過代理伺服器下載MP3、AVI等檔案，完全可以對他們進行限制，程式碼如下：

acl mmxfile urlpath_regex .mp3$ .avi$ .exe$
http_access deny mmxfile


　　看到regex，很多讀者應該心領神會，因為這條語句使用了標準的規則表示式（又叫正規表示式）。它將匹配所有以.mp3、.avi等結尾的URL請求，還可以用-i引數忽略大小寫，例如以下程式碼：

acl mmxfile urlpath_regex -i .mp3$


　　這樣，無論是.mp3還是.MP3都會被拒絕。當然，-i引數適用於任何可能需要區分大小寫的地方，如前面的域名控制。

　　如果想讓普通使用者只在上班時間可以上網，而且是每週的工作日，用Squid應當如何處理呢？看看下面的ACL定義：

acl worktime time MTWHF 8:30-12:00 14:00-18:00
http_access deny !worktime


　　首先定義允許上網的時間是每週工作日（星期一至星期五）的上午和下午的固定時段，然後用http_access 定義所有不在這個時間段內的請求都是不允許的。

　　或者為了保證高階使用者的頻寬，希望每個使用者的併發連線不能太多，以免影響他人，也可以透過Squid控制，程式碼如下：

acl conncount maxconn 3
http_access deny conncount normal
http_access allow normal


　　這樣，普通使用者在某個固定時刻只能同時發起三個連線，從第四個開始，連線將被拒絕。

　　總之，Squid的ACL配置非常靈活、強大，更多的控制方式可以參考squid.conf.default。



　　認證

　　使用者/密碼認證為Squid管理提供了更多便利，最常用的認證方式是NCSA。從Squid 2.5版本開始，NCSA認證包含在了basic中，而非以前單獨的認證模組。下面來看看實現認證的具體操作。

　　首先在編譯時配置選項應包括以下配置：

--enable-auth="basic" --enable-basic-auth-helpers="NCSA"


　　“make install”以後，需要將“helpers/basic_auth/NCSA/ncsa_auth”複製到使用者可執行目錄中，如/usr/bin（如果在該目錄中找不到這個執行檔案，在編譯時請使用make all而不是make，或者直接在該目錄中執行make），然後需要藉助Apache的密碼管理程式htpasswd來生成使用者名稱/密碼對應的檔案，就像下面這行程式碼：

htpasswd -c /var/squid/etc/password guest


　　在輸入兩遍guest使用者的密碼後，一個guest使用者就生成了。如果以後需要新增使用者，把上面的命令去掉-c引數再執行即可。

　　Squid 2.5在認證處理上有了較大的改變，這裡就只討論2.5版本的處理方法，2.4及以下版本請參考squid.conf.default。在2.5版的squid.conf中，包括以下幾個相關選項：

#該選項指出了認證方式（basic)、需要的程式（ncsa_auth）和 對應的密碼檔案（password）
auth_param basic program /usr/lib/squid/ncsa_auth /var/squid/etc/password

# 指定認證程式的程式數
auth_param basic children 5

# 瀏覽器顯示輸入使用者/密碼對話方塊時的領域內容
auth_param basic realm My Proxy Caching Domain

# 基本的認證有效時間
auth_param basic credentialsttl 2 hours

# 普通使用者需要透過認證才能訪問Internet
acl normal proxy_auth REQUIRED
http_access allow normal


　　透過以上的配置即可完成認證工作。有的讀者可能要問：認證只針對普通使用者，而高階使用者是直接上網的，該怎麼處理呢？其實，這兩種使用者是可以共存的。如前所述，Squid是順序處理http_access的，所以在http_access處理過程中，如果先處理normal使用者，那麼當前使用者無論是否屬於高階使用者，都會被要求進行認證；相反如果先處理高階使用者，剩下的就只有需要認證的普通使用者了。例如以下配置程式碼：

...
http_access allow normal (需要認證)
http_access allow advance （不需要認證）
...


　　不管是否為noauth使用者，都要求進行使用者名稱/密碼驗證。正確的方法是將二者位置交換，程式碼如下：

...
http_access allow advance
http_access allow normal
...


　　這時，高階使用者不會受到任何影響。

　　帶認證的正向代理總結

　　下面把整個squid.conf總結一下：

# 伺服器配置
http_port 192.168.0.254:3128
cache_mgr kevin@uplooking.com
cache_dir null /tmp
cache_access_log /var/squid/access.log
cache_log /var/squid/cache.log
cache_store_log /var/squid/store.log
visible_hostname server1.uplooking.com
client_mask 255.255.255.255
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_user_host_header on

# 使用者分類
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...
acl normal proxy_auth REQUIED
acl all src 0.0.0.0

# 行為分類
acl mmxfile urlpath_regex .mp3$ .avi$ .exe$
acl conncount maxconn 3
acl worktime time MTWHF 8:30-12:00 14:00-18:00
acl sinapage dstdomain ok.sina.com.cn
acl qq dstdomain .tcccent.com.cn

# 處理
http_access allow advance
http_access deny conncount normal
http_access deny !worktime
http_access deny mmxfile
http_access deny sinapage
http_access deny qq
http_access allow normal


　　配置後的狀況是，advance組可以不受任何限制地訪問Internet，而normal組則只能在工作時間上網，而且不能下載多媒體檔案，不能訪問某些特定的站點，而且傳送請求不能超過3個。





Squid反向代理

1． Squid反向代理單個後臺WEB伺服器

A、如果WEB伺服器和反向代理伺服器是兩臺單獨的機器（一般的反向代理應該有兩塊網路卡分別連線了內外部網路）。那麼，應該修改下面的內容來設定反向代理服務。


http_port 80 # squid監聽的埠

httpd_accel_host 192.168.0.100 # 內部WEB伺服器的IP地址

httpd_accel_port 80 # WEB伺服器的監聽埠

httpd_accel_single_host on # 轉發為緩衝的請求到一臺單獨的機器

httpd_accel_with_proxy on #

httpd_accel_uses_host_header off


B、如果WEB伺服器和反向代理伺服器是同一臺機器。那麼，應該設定WEB伺服器的監聽埠為非80埠（比如：81埠）。要修改的內容如下：

http_port 80 # squid監聽的埠

httpd_accel_host localhost # 內部WEB伺服器的IP地址

httpd_accel_port 81 # WEB伺服器的監聽埠

httpd_accel_single_host on # 轉發為緩衝的請求到一臺單獨的機器

httpd_accel_with_proxy on #

httpd_accel_uses_host_header off


下面解釋一下配置指令。

http_port 80

選項 http_port 指定squid監聽HTTP請求的埠，一般都設定成80埠，這樣使使用者感覺不到反向代理的存在，就像訪問真正的WEB伺服器一樣。

httpd_accel_host 192.168.0.100 和 httpd_accel_port 80

選項httpd_accel_host 和 httpd_accel_port 指定WEB伺服器的IP地址和埠號，可以根據自己的WEB伺服器的實際情況而定。

httpd_accel_single_host on

選項httpd_accel_single_host 為on 時，squid被設定成僅對單一的web伺服器作反向代理。不考慮HTTP頭資訊，Squid轉發所有的為被緩衝的頁面請求到這個web伺服器。如果squid需要做多個web伺服器反向代理，必須將此選項設定為off，並且使用轉向器或者DNS去對映請求到合適的後臺WEB伺服器。

httpd_accel_with_proxy on

如果希望squid既作反向代理伺服器又作本地機器的上網代理，需要將httpd_accel_with_proxy 改為 on，預設情況下是off

httpd_accel_uses_host_header off

在HTTP協議1.1中，HTTP請求包括一個主機頭資訊，指定URL的主機名或者主機的IP地址。這個選項可以用來完成多個後臺WEB伺服器的反向代理功能。



2. Squid反向代理多個後臺WEB伺服器

我們可以用Squid反向代理多個後臺WEB伺服器。例如：我們可以配置squid同時反向代理 三個後臺WEB伺服器，

Squid的配置如下：

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_single_host off

httpd_accel_uses_host_header on


注意:編譯Squid時需啟用Internal DNS選項: --disable-internal-dns


反向代理器需要的DNS入口資訊（即設定內部DNS，僅僅是squid在內部使用，Internet使用者不可見）。


有兩種方法可以設定內部DNS，使用內部DNS伺服器來解析或者使用/etc/hosts檔案來實現。

使用內部DNS伺服器的資源記錄如下：


IN A 192.168.0.101

IN A 192.168.0.102

IN A 192.168.0.103


如果使用/etc/hosts檔案來實現內部DNS（編譯時應使用disable internal dns選項）,編輯/etc/hosts檔案新增如下條目：

192.168.0.101

192.168.0.102

192.168.0.103

FOR RHLE5

squid-2.6 和squid-2.5的主要區別之一（紅帽 RHLE4整合的是
Squid-2.5，RHEL5整合的是Squid-2.6）。在
squid-2.5中，反向代理所涉及到的關鍵配置指令是：httpd_accel_host,
httpd_accel_port, httpd_accel_single_host, httpd_accel_with_proxy,
httpd_accel_uses_host_header。httpd_accel_*這一系列的指令，在Squid-2.6中都已經去
掉，取而帶之的是
cache_peer, cache_peer_domain, cache_peer_access 這三個指令


cache_peer 192.168.1.50 parent 81 0 no-query originserver weight=1 name=a
cache_peer 192.168.1.50 parent 82 0 no-query originserver weight=1 name=b
cache_peer 192.168.1.51 parent 80 0 no-query originserver weight=1 name=c

cache_peer_domain a
cache_peer_domain b
cache_peer_domain c
＃以上六行配置，讓 Squid 伺服器知道：
＃從客戶端過來的請求，如果是 ，則 Squid 向 ServerA
192.168.1.50 的埠 81傳送請求；
＃從客戶端過來的請求，如果是 ，則 Squid 向 ServerA
192.168.1.50 的埠 82傳送請求；
＃從客戶端過來的請求，如果是 ，則 Squid 向 ServerA 192.168.1.50
的埠 80傳送請求；

cache_dir ufs /squid_cache 256 16 256 ＃指定 Squid 伺服器存放資料的目錄

acl all src 0.0.0.0/0.0.0.0
http_access allow all

cache_peer_access a allow all
cache_peer_access b allow all
cache_peer_access c allow all
http_reply_access allow all
＃設定訪問許可權，允許所有外部客戶端訪問 a b c（我們定義的三個虛擬主機）


反向代理配置檔案例子

#squid.conf
#伺服器IP 192.168.1.1
#監聽伺服器的80埠，透明代理，支援域名和IP的虛擬主機
http_port 192.168.1.1:80 transparent vhost vport

#限制同一IP客戶端的最大連線數
acl OverConnLimit maxconn 16
http_access deny OverConnLimit

#防止天涯盜鏈，轉嫁給百度
acl tianya referer_regex -i tianya
http_access deny tianya
deny_info tianya

#防止被人利用為HTTP代理，設定允許訪問的IP地址
acl myip dst 192.168.1.1
http_access deny !myip

#防止百度機器人爬死伺服器
acl AntiBaidu req_header User-Agent Baiduspider
http_access deny AntiBaidu

#允許本地管理
acl Manager proto cache_object
acl Localhost src 127.0.0.1 192.168.1.1
http_access allow Manager Localhost
http_access deny Manager

#僅僅允許80埠的代理
acl Safe_ports port 80 # http
http_access deny !Safe_ports
http_access allow all

#Squid資訊設定
visible_hostname
cache_mgr webmaster@test137.com

#基本設定
cache_effective_user squid
cache_effective_group squid
tcp_recv_bufsize 65535 bytes

#2.5的反向代理加速配置
#httpd_accel_host 127.0.0.1
#httpd_accel_port 80
#httpd_accel_single_host on
#httpd_accel_uses_host_header on
#httpd_accel_with_proxy on
#2.6的反向代理加速配置
#代理到本機的80埠的服務，僅僅做為原始內容伺服器
cache_peer 127.0.0.1 parent 80 0 no-query originserver

#錯誤文件
error_directory /usr/local/squid/share/errors/Simplify_Chinese

#單臺使用，不使用該功能
icp_port 0


squid常用命令：
/usr/local/squid/sbin/squid -z 初始化快取空間
/usr/local/squid/sbin/squid 啟動
/usr/local/squid/sbin/squid -k shutdown 停止
/usr/local/squid/sbin/squid -k reconfigure 重新載入配置檔案
/usr/local/squid/sbin/squid -k rotate 輪循日誌

Squid不能啟動的解決方法

1、根據配置檔案建立相應的cache.log access.log所在目錄

2、建立squid使用者和組

3、修改相關目錄所屬主和所屬組為squid：squid

4、建立cache_dir 並修改所屬主與所屬組

5、用squid -k parse 檢測配置檔案是否有錯

6、檢視日誌 cache.log

7、記得要squid -z 初始化cache_dir

8、建立快取目錄：/usr/local/squid/sbin/squid -z

9、啟動squid：/usr/local/squid/sbin/squid

10、停止squid：/usr/local/squid/sbin/squid -k shutdown

11、啟用新配置：/usr/local/squid/sbin/squid -k reconfig

13，檢視你的日誌文件。

#more /data/logs/access.log | grep TCP_MEM_HIT

該指令可以看到在squid執行過程中，有那些檔案被squid快取到記憶體中，並返回給訪問使用者。

#more /usr/local/squid/var/logs/access.log | grep TCP_HIT

該指令可以看到在squid執行過程中，有那些檔案被squid快取到cache目錄中，並返回給訪問使用者。

#more /usr/local/squid/var/logs/access.log | grep TCP_MISS

該指令可以看到在squid執行過程中，有那些檔案沒有被squid快取，而是現重原始伺服器獲取並返回給訪問使用者。

cache_peer 192.168.1.50 parent 81 0 no-query originserver weight=1 name=a

cache_peer 192.168.1.50 parent 82 0 no-query originserver weight=1 name=b

cache_peer 192.168.1.50 parent 80 0 no-query originserver weight=1 name=c

cache_peer_domain a

cache_peer_domain b

cache_peer_domain c

icp_port 3130 #多臺squid通訊使用

/usr/local/squid/bin/squidclient -p 80 mgr:info

cache_peer 192.168.1.3 parent 80 0 no originserver name=edns

cache_peer_domain edns .test.com 泛域名解析

cache_peer 172.18.0.52 parent 80 0 no-query originserver name=tserver1

cache_peer_domain tserver1 downtest.9ctime.com

cache_peer 172.18.0.54 parent 80 0 no-query originserver name=tserver02

cache_peer_domain tserver02 downtest.9ctime.com

Squid的幾個命中率代表的含義

某方面的 5分鐘平均值 一小時平均值

Request Hit Ratios: 5min: 80.1%, 60min: 80.3%

Byte Hit Ratios: 5min: 66.6%, 60min: 70.0%

Request Memory Hit Ratios: 5min: 30.3%, 60min: 32.6%

Request Disk Hit Ratios: 5min: 8.7%, 60min: 8.8%

Request Hit Ratios:表示第二次或者以後的請求時，發現它在快取裡面且有效，不然就從原始伺服器讀取拉

Byte Hit Ratios:顧名思義，位元組數嘛

Request Memory Hit Ratios:這個是快取在記憶體裡面的東西

Request Disk Hit Ratios:這個是從硬碟讀取的

--------------------------------------------------------------

總結：

squid代理：

正向代理：減少公司網站頻寬，加速使用者訪問體驗，提供訪問控制，透明代理（不用配置，可以使用dhcp來獲得ip，gateway，dns等資訊），

這項代理中的訪問控制包括：

1.高階使用者0.1 ~ 0.10無限制

2.0.11~0.15 只訪問

3.0.20~0.30 禁止訪問mp3 mp4 rm 等

4.時間限制

5.mac地址繫結，防止沒有ip

預設正向代理埠3128

ls -lh | grep G 將檔案大小>1G的

操作步驟：

客戶端：閘道器一定要指向代理機器

伺服器：

1.開啟轉發功能ip /proc/sys/net/ipv4/ip_forward

2.正確配置squid代理伺服器3128

3.開啟正確的轉發

取可用段ip的埠重定向

#iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp -dport 80 -j REDIRECT --to-ports 3128

地址偽裝

#iptables -t nat -A POSTROVTING -j MASQUERAOE

route -p add 192.168.12.0 mask 255.255.255.0 gw 192.168.1.254 中得-p選項表示永久儲存