squid服务的应用转.docx
《squid服务的应用转.docx》由会员分享,可在线阅读,更多相关《squid服务的应用转.docx(25页珍藏版)》请在冰点文库上搜索。
![squid服务的应用转.docx](https://file1.bingdoc.com/fileroot1/2023-7/6/3c0b1273-ebd9-4aa9-af6b-f4ab2f22f9b0/3c0b1273-ebd9-4aa9-af6b-f4ab2f22f9b01.gif)
squid服务的应用转
squid服务的应用[转]
squid服务的应用
初始化cache
#/s/squid/sbin/squid-z
启动squid
#/s/squid/etc/rc.d/squid.shstart
@设置ipfilter
为了实现透明的功能,需要将所有对80端口的请求转到squid的3128端口上,以实现对客户端透明的功能。
在/etc/ipnat.rules中加入:
rdrfxp10.0.0.0/0port80->127.0.0.13128
刷新ipnat配置:
#ipnat-Cf/etc/ipnat.rules
一切完成,客户端无需任何设置,根本感觉不到代理的存在,而且访问速度明显变快透明代理
httpd_accel_hostvirtual
httpd_accel_port80
httpd_accel_with_proxyon
httpd_accel_user_host_headeron
在Linux上,可以用iptables/ipchains直接将对Web端口80的请求直接转发到Squid端口3128,由Squid接手,而用户浏览器仍然认为它访问的是对方的80端口。
例如以下这条命令:
iptables-tnat-APREROUTING-s192.168.0.200/32-ptcp--dport80-jREDIRECT3128
就是将192.168.0.200的所有针对80端口的访问重定向到3128端口。
普通代理服务器
在这个例子中,代理服务器同时也是网关,内部网络接口eth0的IP地址为192.168.0.1,外部网络接口eth1的IP地址为202.103.x.x。
下面是一个基本的代理所需要配置选项:
http_port192.168.0.1:
3128
默认端口是3128,当然也可以是任何其它端口,只要不与其它服务发生冲突即可。
为了安全起见,在前面加上IP地址,Squid就不会监听外部的网络接口。
下面的配置选项是服务器管理者的电子邮件,当错误发生时,该地址会显示在错误页面上,便于用户联系:
cache_mgr
start@以下这些参数告诉Squid缓存的文件系统、位置和缓存策略:
cache_dirufs/var/squid
cache_mem32MB
cache_swap_low90
cache_swap_high95
在这里,Squid会将/var/squid目录作为保存缓存数据的目录,每次处理的缓存大小是32兆字节,当缓存空间使用达到95%时,新的内容将取代旧的而不直接添加到目录中,直到空间又下降到90%才停止这一活动。
如果不想Squid缓存任何文件,如某些存储空间有限的专有系统,可以使用null文件系统(这样不需要那些缓存策略):
cache_dirnull/tmp
下面的几个关于缓存的策略配置中,较主要的是第一行,即用户的访问记录,通过分析它来了解所有用户访问的详尽地址
cache_access_log/var/squid/access.log
cache_log/var/squid/cache.log
cache_store_log/var/squid/store.log
下面这行配置是在较新版本中出现的参数,告诉Squid在错误页面中显示的服务器名称:
visible_hostnameNo1.proxy
以下配置告诉Squid如何处理用户,对每个请求的IP地址作为单独地址处理:
client_mask255.255.255.255################################################################################
第4章快速配置向导
4.1squid.conf语法
Squid的配置文件相对规范。
它与其他许多unix程序相似。
每行以配置指令开始,后面跟着数字值或关键字。
在读取配置文件时,squid忽略空行和注释掉的行(以#开始)。
如下是一些配置行示例:
cache_log/squid/var/cache.log
#definethelocalhostACL
aclLocalhostsrc127.0.0.1/32
connect_timeout2minutes
log_fqdnon
某些指令取唯一值。
在这些情形下,重复赋予该指令不同的值,将覆盖前面的值。
例如,
下面是一个连接超时值。
第一行无效,因为第二行覆盖了它:
connect_timeout2minutes
connect_timeout1hour
另外,某些指令取列表值。
在这些情形下,每一个新增的值都有效。
"扩展方式"指令以这种方法工作:
extension_methodsUNGET
extension_methodsUNPUT
extension_methodsUNPOST
对这些基于列表的指令,你通常能在同一行中赋予多个值:
extension_methodsUNGETUNPUTUNPOST
许多指令有通用类型。
例如,连接超时值是一个时间规范,在数字后面跟着时间单元。
例如:
connect_timeout3hours
client_lifetime4days
negative_ttl27minutes
类似的,大量的指令指向文件大小或者内存额度。
例如,你可以这样编写大小规范:
十进制数字后面跟bytes,KB,MB或GB.例如:
minimum_object_size12bytes
request_header_max_size10KB
maximum_object_size187MB
另一种值得提起的类型是触发器,它的值是on或者off。
许多指令使用该类型。
例如:
server_persistent_connectionson
strip_query_termsoff
prefer_directon
通常,配置文件指令能以任何顺序出现。
然而,如果某个指令指向的值被其他指令所定义,那么顺序就很重要。
访问控制列表是个好的例子。
acl被用在http_access规则之前必须被定义:
aclFoosrc1.2.3.4
http_accessdenyFoo
squid.conf文件里的许多东西是大小写敏感的,例如指令名。
你不能将http_port写成HTTP_port。
默认的squid.conf文件包含了对每个指令的大量注释,以及指令的默认值。
例如:
#TAG:
persistent_request_timeout
#HowlongtowaitforthenextHTTPrequestonapersistent
#connectionafterthepreviousrequestcompletes.
#
#Default:
#persistent_request_timeout1minute
每次安装squid后,当前默认配置文件存放在$prefix/etc目录下的squid.conf.default。
既然指令每次都有所改变,你能参考该文档,以获取最近的更新。
该章剩下的部分是关于在开始运行squid之前,你必须知道的少数指令。
4.2UserIDs
你可能知道,unix进程和文件拥有文件和组属主的属性。
你必须选择某个用户和组给squid。
该用户和组的组合,必须对大部分squid相关的文件和目录有读和写的权限。
我高度推荐创建名为"squid"的用户和组。
这避免了某人利用squid来读取系统中的其他文件。
假如不止一个人拥有对squid的管理权限,你可以将他们加到squid组里。
unix进程继承了它们父进程的属主属性。
那就是说,假如你以joe用户来启动squid,squid也以joe来运行。
假如你不想以joe来运行squid,你需要预先改变你的用户ID。
这是su命令的典型功能。
例如:
joe%su-squid
squid%/usr/local/squid/sbin/squid
不幸的是,运行squid并非总是如此简单。
在某些情况下,你必须以root来启动squid,这依赖于你的配置。
例如,仅仅root能绑定TCP套接字到特权端口上,如80。
假如你必须以root来启动squid,你必须设置cache_effective_user指令。
它告诉squid,在执行完需要特别权限的任务后,变成哪个用户。
例如:
cache_effective_usersquid
你提供的该名字必须是有效用户(在/etc/passwd文件里)。
请注意仅仅当你以root来启动squid时,你才需要用到该指令。
仅仅root有能力来随意改变用户身份。
假如你以joe来启动squid,它不能改变到squid用户。
你可能尝试不设置cache_effective_user,直接以root来运行squid。
假如你试过,你会发现squid拒绝运行。
这违背了安全规则。
假如外部攻击者有能力危及或利用squid,他能获取对系统的全部访问权。
尽管我们努力使squid安全和少bug,但还是稳重点好。
假如你没有设置cache_effective_user,以root来启动squid,squid使用nobody作为默认值。
不管你选择什么用户ID,请确认它有对下面目录的读访问权:
$prefix/etc,$prefix/libexec,$prefix/share。
该用户ID也必须有对日志文件和缓存目录的写访问
权。
squid也有一个cache_effective_group指令,但你也许不必设置它。
默认的,squid使用cache_effective_user的默认组(从/etc/passwd文件读取)。
4.3端口号
http_port指令告诉squid在哪个端口侦听HTTP请求。
默认端口是3128:
http_port3128
假如你将squid作为加速器运行(见15章),你也许该将它设为80。
你能使用附加的http_port行,来指示squid侦听在多个端口上。
假如你必须支持客户组(它们被配置得不一致),这点就经常有用。
例如,来自某个部门的浏览器发送请求到3128,
然而另一个部门使用80端口。
简单的将两个端口号列举出来:
http_port3128
http_port8080
你也能使用http_port指令来使squid侦听在指定的接口地址上。
当squid作为防火墙运行时,它有两个网络接口:
一个内部的和一个外部的。
你可能不想接受来自外部的http请求。
为了使squid仅仅侦听在内部接口上,简单的将IP地址放在端口号前面:
http_port192.168.1.1:
3128
4.4日志文件路径
我将在第13章讨论所有squid的日志细节。
你现在你关注的唯一事情是,squid将它的日志放在何处。
默认的日志目录是squid安装位置下的logs目录。
例如,假如你在./configure
时没有使用--prefix=选项,那么默认的日志文件路径是/usr/local/squid/var/logs。
你必须确认日志文件所存放的磁盘位置空间足够。
在squid写日志时如果接受到错误,它会退出和重启。
该行为的主要理由应引起你的注意。
squid想确认你不会丢失任何重要的日志信息,特别是你的系统被滥用或者被攻击时。
squid有三个主要的日志文件:
cache.log,access.log,store.log.第一个文件即cache.log,包含状态性的和调试性的消息。
当你刚开始运行squid时,你应密切的关注该文件。
假如squid拒绝运行,理由也许会出现在cache.log文件的结尾处。
在正常条件下,该文件不会变得很大。
也请注意,假如你以-s选项来运行squid,重要的cache.log消息也可被送到你的syslog进程。
通过使用cache_log指令,你可以改变该日志文件的路径:
cache_log/squid/logs/cache.log
access.log文件包含了对squid发起的每个客户请求的单一行。
每行平均约150个字节。
也就是说,在接受一百万条客户请求后,它的体积约是150M。
请使用cache_access_log指令来改变该日志文件的路径:
cache_access_log/squid/logs/access.log
假如因为某些理由,你不想squid记录客户端请求日志,你能指定日志文件的路径为/dev/null.
store.log文件对大多数cache管理员来说并非很有用。
它包含了进入和离开缓存的每个目标的记录。
平均记录大小典型的是175-200字节。
然而,squid不在store.log里对cache点击创建接口,所以它比access.log包含少得多的记录。
请使用cache_store_log指令来改变它的位置:
cache_store_log/squid/logs/store.log
通过指定路径为none,你能轻易的完全禁止store.log日志:
cache_store_lognone
假如你不小心,squid的日志文件增加没有限制。
某些操作系统对单个文件强制执行2G的大小限制,即使你有充足的磁盘空间。
超过该限制会导致写错误,这样squid就会退出。
为了保证日志文件大小合理,你应创建任务来有规律的重命名和打包日志。
squid有内建功能来使这个容易做到。
请见13.7章关于日志轮循的解释。
4.5访问控制
在第6章里有更多的关于访问控制的描述。
现在,我只讲述少量的访问控制方法,以使热心的读者能快速开始使用squid。
squid默认的配置文件拒绝每一个客户请求。
在任何人能使用代理之前,你必须在squid.conf文件里加入附加的访问控制规则。
最简单的方法就是定义一个针对客户IP地址的ACL和一个访问规则,告诉squid允许来自这些地址的HTTP请求。
squid有许多不同的ACL类型。
src类型匹配客户IP地址,squid会针对客户HTTP请求检查http_access规则。
这样,你需要增加两行:
aclMyNetworksrc192.168.0.0/16
http_accessallowMyNetwork
请将这些行放在正确的位置。
http_access的顺序非常重要,但是acl行的顺序你不必介意。
你也该注意默认的配置文件包含了一些重要的访问控制,你不应该改变或删除它们,除非你完全理解它们的意义。
在你第一次编辑squid.conf文件时,请看如下注释:
#INSERTYOUROWNRULE(S)HERETOALLOWACCESSFROMYOURCLIENTS
在该注释之后,以及"http_accessdenyall"之前插入你自己的新规则。
为了彻底说明,如下是一个合理的初始访问控制配置,包括推荐的默认控制和早先的例子:
aclAllsrc0/0
aclManagerprotocache_object
aclLocalhostsrc127.0.0.1/32
aclSafe_portsport8021443563702102804885917771025-65535
aclSSL_ports443563
aclCONNECTmethodCONNECT
aclMyNetworksrc192.168.0.0/16
http_accessallowManagerLocalhost
http_accessdenyManager
http_accessdeny!
Safe_ports
http_accessdenyCONNECT!
SSL_ports
http_accessallowMyNetwork
http_accessdenyAll
4.6可见主机名
希望你不必担心visible_hostname指令。
然而,假如squid不能发现它所运行的机器的主机名,你就必须设置它。
如果发生这样的事,squid抱怨和拒绝运行:
%squid-Nd1
FATAL:
Couldnotdeterminefullyqualifiedhostname.Pleaseset'visible_hostname'
有大量的理由使squid需要知道主机名:
+主机名出现在squid的错误消息里,这帮助用户验证潜在问题的源头。
+主机名出现在squid转发的cache单元的HTTPVia头里。
当请求到达原始主机时,Via头包含了在传输过程中涉及的代理列表。
squid也使用Via头来检测转发环路。
我将在第10章里讨论转发环路。
squid对特定事务使用内部URL,例如FTP目录列表的图标。
当squid对FTP目录产生HTML页面时,它插入小图标用以指明该目录中的文件类型。
图标URL包含了cache的主机名,以便web浏览器能直接从squid请求它们。
每个从squid响应的HTTP回复包含了X-Cache头。
这并非官方HTTP头。
它是一个扩展头,用以指明该响应是cache点击还是cache丢失。
既然请求和响应可能经过多个cache,每个X-Cache头包含了cache报告点击或丢失的名字。
如下是一个通过2个cache的响应示例:
HTTP/1.0200OK
Date:
Mon,29Sep200322:
57:
23GMT
Content-type:
text/html
Content-length:
733
X-Cache:
HITfrom
X-Cache:
MISSfrom
squid在启动时试图自动获取主机名。
首先它调用gethostname()函数,这通常能返回正确的主机名。
接着,squid调用gethostbyname()函数尝试对主机名进行DNS查询。
该函数典型的返回IP地址和系统的规范名。
假如gethostbyname()成功,squid在错误消息里,Via头里等地方使用这个规范名。
因为大量的理由,squid可能不能检测到它的规范主机名,包括:
+主机名可能未设置。
+主机名可能从DNS区域或/etc/hosts文件里丢失。
squid系统的DNS客户端配置可能不正确或丢失。
在unix系统上,你该检查/etc/resolv.conf和/etc/host.conf文件。
假如你看到上述的致命错误,你必须修正主机名和DNS信息,或者显式的给squid指明主机名。
在大多数情况下,请确认"hostname"命令返回一个完全规范的主机名,并且在/etc/hosts文件里增加这个接口。
假如这样不成功,请在squid.conf里设置可见主机名:
visible_hostnamesquid.packet-
4.7管理联系信息
你应该设置cache_mgr指令作为对用户的帮助。
它是一个email地址,假如问题发生,用户能写信给它。
cache_mgr地址默认出现在squid的错误消息里。
例如:
cache_mgr
squid@web-
4.8下一步
在创建了初步的配置文件后,你多少准备首次运行squid了。
请遵循下面章节的建议。
当你掌握了启动和停止squid后,你该花费一些时间来改善配置文件。
你可能想增加更高级的访问控制,这在第6章里有描述。
既然我在这里没有讨论磁盘cache,你该花些时间阅读第7和第8章。
第5章运行Squid
5.1squid命令行选项
在开始其他事情之前,让我们先看一下squid的命令行选项。
这里的许多选项你从不会使用,另外有些仅仅在调试问题时有用。
-aport
指定新的http_port值。
该选项覆盖了来自squid.conf的值。
然而请注意,你能在squid.conf里指定多个值。
-a选项仅仅覆盖配置文件里的第一个值。
(该选项使用字母a是因为在Harvestcache里,HTTP端口被叫做ASCII端口)
-dlevel
让squid将它的调试信息写到标准错误(假如配置了,就是cache.log和syslog)。
level参数指定了显示在标准错误里的消息的最大等级。
在多数情况下,d1工作良好。
请见16.2章关于调试等级的描述。
-ffile
指定另一个配置文件。
-h
显示用法。
-kfunction
指示squid执行不同的管理功能。
功能参数是下列之一:
reconfigure,rotate,shutdown,interrupt,kill,debug,check,orparse。
+reconfigure导致运行中的squid重新读取配置文件。
+rotate导致squid滚动它的日志,这包括了关闭日志,重命名,和再次打开它们。
+shutdown发送关闭squid进程的信号。
+interrupt立刻关闭squid,不必等待活动会话完成。
+kill发送KILL信号给squid,这是关闭squid的最后保证。
+debug将squid设置成完全的调试模式,假如你的cache很忙,它能迅速的用完你的磁盘空间。
+check简单的检查运行中的squid进程,返回的值显示squid是否在运行。
+最后,parse简单的解析squid.conf文件,如果配置文件包含错误,进程返回非零值。
-s
激活将日志记录到syslog进程。
squid使用LOCAL4syslog设备。
0级别调试信息以优先级LOG_WARNING被记录,1级别消息以LOG_NOTICE被记录。
更高级的调试信息不会被发送到syslogd.你可以在/etc/syslogd.conf文件里使用如下接口:
local4.warning/var/log/squid.log
-uport
指定另一个ICP端口号,覆盖掉squid.conf文件里的icp_port。
-v
打印版本信息。
-z
初始化cache,或者交换,目录。
在首次运行squid,或者增加新的cache目录时,你必须使用该选项。
-C
阻止安装某些信号句柄,它们捕获特定的致命信号例如SIGBUS和SIGSEGV。
正常的,这些信号被squid捕获,以便它能干净的关闭。
然而,捕获这些信号可能让以后调试问题困难。
使用该选项,致命的信号导致它们的默认动作,通常是coredump。
-D
禁止初始化DNS测试。
正常情况下,squid直到验证它的DNS可用才能启动。
该选项阻止了这样的检测。
你也能在squid.conf文件里改变或删除dns_testnames选项。
-F
让squid拒绝所有的请求,直到它重新建立起存储元数据。
假如你的系统很忙,该选项可以减短重建存储元数据的时间。
然而,如果你的c