SQUID介绍PPT课件.ppt

1、第10章 squid1.101 squid概述 Squid是一款著名的代理服务器软件 1011 squid功能 简单地说，代理服务器就是客户机上网的中介。2.图10-1 代理服务器的作用3.squid主要功能如下：1）支持代理HTTP、FTP协议。2）支持代理SSL。3）采用层次化的缓存结构。4）实现了ICP（Internet 缓存协议）、HTCP（超文本缓存协议）、CARP（缓存数组路由协议）和Cache Digests（缓存摘要）。5）支持透明代理。6）支持WCCP（Web缓存通信协议）。7）支持丰富的访问控制列表功能。8）支持HTTP加速器功能，实现反向代理。9）支持SNMP。10）支持

2、缓存DNS查询。4.1012 squid配置文件v在RHEL 4.0中，Squid的配置文是/etc/squid/squid.conf vsquid中常用的配置指令 5.（1）http_portv示例：http_port 3128v功能：设置squid监听的端口号为3128。v说明：3128是squid默认监听的端口，也可以设为其它值。另外，squid可以同时监听多个端口，方法是在端口号之间用空格隔开，如下所示：vhttp_port 3128 80806.（2）icp_portv示例：icp_port 3130v功能：设置squid服务器之间通信的端口为3130。v说明：icp（Interne

3、t Cache Protocol）是专门用在多台代理服务器之间交换数据的协议。默认的端口为3130，用户也可以设置为其它端口。7.（3）cache_memv示例：cache_mem 256 MBv功能：设置squid代理服务器运行时占用的内存空间的大小256MB。v说明：cache_mem的默认值是8MB，目前来看此值很小，可以根据实际的物理内存大小来设置该值。一般情况下，将此值设置为物理内存的1/3左右，如果这台主机纯做代理的话可以进一步提高该值的大小。8.（4）cache_swap_low cache_swap_highv示例：cache_ swap_low 90 cache_swap_h

4、igh 95v功能：设置代理服务器中缓存的使用率。当缓存的数据占到整个缓存大小的95%以上时，就开始删除缓存中的数据，一直下降到缓存数据占到整个缓存大小的90%为止。v说明：这是一对用来维护缓存不被用完而又尽量保存更多数据的指令。9.（5）maximum_object_sizev示例：maximum_object_size 4096 KB v功能：设置squid最大缓存的对象为4MB。v说明：squid代理服务器不是任何数据都被缓存的，默认情况下小于4MB的对象才被保存到缓存目录中，如果网络较大或缓存目录很大，则可以适当的提高此值，但是此值不宜过大。（6）maximum_object_size

5、_in_memoryv示例：maximum_object_size 8 KB v功能：设置squid最大保存在内存中的对象为8KB。v说明：由于会过多地占用内存，所以调整此值时需要慎重。10.（7）cache_dir示例：cache_dir ufs /var/spool/squid 100 16 256v功能：设置缓存目录的类型是ufs、具体位置是/var/spool/squid、大小为100MB、第1层子目录为16个、第2层子目录为256个。v说明：采用磁盘阵列或多块大容量的硬盘，而且应该尽可能地将缓存目录创建在单独的硬盘或分区上，另外，为了快速地查找到缓存对象，squid采用了两级目录结构

6、，而且每层最少有16个子目录、最多有256个子目录，真正的缓存数据只存放在第2层目录中。11.（8）cache_access_log示例：cache_access_log /var/log/squid/access.log功能：设置用来记录客户请求的日志为/var/log/squid/access.log。说明：如果不想记录客户访问squid的日志，则填入“none”。（9）pid_filename示例：pid_filename /var/run/squid.pid功能：设置squid服务器的进程号文件的名称和位置。12.（10）acl 名称 src IP地址 示例：acl mynet src

7、 192.168.2.0/24功能：将源IP地址为192.168.2.0/24的网段命名为mynet说明：acl指令仅仅是用来定义访问控制列表的名称和值。定义名称后，需要用另一条指令http_access来设置针对该名称的访问控制。示例：acl localhost src 127.0.0.1/255.255.255.255功能：将源地址为本机环回地址的IP命名为localhost。示例：acl all src 0.0.0.0/0.0.0.0功能：将任意的源IP地址命名为all。13.（11）acl 名称 dst IP地址示例：acl to_localhost dst 127.0.0.1/255

8、.255.255.255功能：将目的地址为本机环回地址的IP命名为to_localhost。（12）acl 名称 srcdomain 示例：acl mydomain srcdomain 功能：将源域名为的所有主机命名为mydomain。说明：此处要用到DNS反向查询，所以速度较慢。14.（13）acl 名称 dstdomain 示例：acl myaim dstdomain 功能：将目的域名为的所有主机命名为myaim。说明：此处的域名直接来自URL。（14）acl 名称 url_regex -i url示例：acl thebadurl url_regex -i http:/ 名称 urlpat

9、h_regex -i urlpath示例：acl theimagefile url_regex -i .gif$功能：将url路径中以.gif结尾的文件命名为theimagefile（16）acl 名称 time day h1:m1-h2:m2示例：acl myworktime time MTWHF 08:00-17:00功能：将周一到周五8：0017：00命名为myworktime说明：day的值S Sunday、M Monday、T Tuesday、W Wednesday、H Thursday、F Friday、A Saturday；时间用24小时制，而且h1:m1必须要小于h2:m2。1

10、6.（17）acl 名称 port 端口示例：acl myopenport port 80功能：将80端口命名为myopenport。（18）http_access allow|deny 列表名示例：http_access allow mynet功能：设置允许列表mynet中定义的IP地址可以访问本代理服务器。说明：http_access以列表为操作单位来设置访问控制。17.（19）http_reply_access allow|deny 列表名示例：http_reply_access allow all功能：允许针对列表all中所有客户机请求的答复进入本代理服务器。（20）cache_mgr

11、示例：cache_mgr root功能：当本代理服务器出现故障时，会向root用户发送一封邮件。18.1013 squid的日志文件v默认情况下这些日志文件位于/var/log/squid目录下，其中：access.log负责记录客户端使用代理服务器的情况 cache.log负责记录代理服务启动及各种状态信息 store.log负责记录缓存对象的状态情况。19.vsquid采用了日志“轮换”的方法。在squid.conf中可以通过logfile_rotate来设置文件轮换的个数：logfile_rotate 10功能：设置参与日志文件轮换的有10个文件。以access.log为例来做一下解释，

12、第一次被轮换出来的文件名为access.logaccess.log.0；第二次被轮换出来的文件名为access.log.0 access.log.1，access.logaccess.log.0 注意access.log.9中内容会在下一次轮换时被覆盖掉。20.说明：如果将参与日志文件轮换的个数设置为0，则不进行轮换。需要注意的是，日志的轮换需要管理员手工执行如下命令：#squid -k rotate利用crontab定时器来完成周期性地日志轮换，例如每周六零晨2：00进行日志轮换，则可以执行如下命令来设置crontab文件：#crontab -e输入以下内容：0 2 *6 squid -k

13、rotate21.102 squid配置示例1021配置单台正向代理服务器示例v如图10-2所示，图中代理服务器的IP地址为192.168.1.1，内网中三台客户机的IP地址为192.168.1.2、192.168.1.3、192.168.1.4。现计划让内网中客户机通过192.168.1.1提供的代理功能来访问外网，按要求写出代理服务器及客户机的配置。22.图10-2 单台正向代理拓扑图23.解决方案如下：（1）在代理服务器上，编辑/etc/squid/squid.conf文件其内容如下：http_port 3128#squid监听的端口号cache_dir ufs/var/spool/sq

14、uid 100 16 256#设置缓存目录的类型、位置、大小和每层目录的个数acl all src 0.0.0.0/0.0.0.0#将源IP地址为任意的所有主机命名为allacl localhost src 127.0.0.1/255.255.255.255#将本机环回地址命名为localhost24.acl mynet src 192.168.1.0/24 192.168.2.0/24#将源地址为192.168.1.0/24和192.168.2.0/24的网段命名为mynetacl baddomain dstdomain #将目的域名为、 及的域名命名为baddomain。acl badur

15、l url_regex -i http:/#将以http:/开头的url地址命名为badurl，其中-i表示忽略大小写acl badurlpath urlpath_regex -i sex#将url路径中包含“sex”的url命名为badurlpathhttp_access deny baddomain#禁止访问列在baddomain中的所有域名http_access deny badurl#禁止访问包含在badurl 中的url地址，即禁止访问http:/http_access deny badurlpath#禁止访问url路径含有sex的网站http_access allow localh

16、ost#允许环回地址访问本代理服务器25.http_access allow mynet#允许内网192.168.1.0/24和192.168.2.0/24使用本代理服务器http_access deny all#拒绝任意主机使用本代理服务器http_reply_access allow all#允许针对列表all中所有客户机请求的答复进入本代理服务器。coredump_dir/var/spool/squid#设置squid核心转储的目录为/var/spool/squidlogfile_rotate 3#设置用来轮换转储日志文件的个数为3visible_hostname #设置对外可见的主机名

17、为说明：一定要注意访问控制指令http_access指令的先后顺序。26.v在保存squid.conf文件后，执行如下命令：#squid -z功能：创建代理服务器的缓存目录，执行一次即可，无需每次都执行该指令。#service squid start功能：启动代理服务器。27.（2）在代理服务器上配置DNS服务在代理服务上配置DNS服务器。本例中DNS正向区域数据库内容如下：rootredhat1 squid#cat/var/named/chroot/var/named/.hosts IN SOA .(2006091501 3600 1800 36000 3600)IN NS .IN A 19

18、2.168.1.1www IN CNAME .s2 IN A 192.168.1.2s3 IN A 192.168.1.3s4 IN A 192.168.1.4执行下面的指令将DNS服务器运行起来：#service named start接着，编辑DNS客户端配置文件，将首选DNS服务器指向自己，即192.168.1.1，内容如下：rootredhat1 squid#cat/etc/resolv.confsearch nameserver 192.168.1.128.（3）在客户机上配置IE使用代理服务器29.（4）测试 设置好客户端后，即可打开IE浏览器访问外网测试，具体过程请读者自行测试。

19、30.1022配置透明代理服务器示例v透明代理的最大的特点就是：客户机无需做任何设置，即可使用代理服务器。v为了实现透明代理的功能，代理服务器在网络拓扑中的位置是至关重要的 位于网关或防火墙上 31.v透明代理示例v如图10-4所示，插有两块网卡的squid代理服务器处于连接内、外网的网关的位置上。图中外网网卡eth3，其IP地址为202.204.235.1；内网网卡eth2，其IP地址为192.168.2.1；外网中有一台服务器，其IP地址为202.204.235.2；内网中有三台客户机，IP地址分别为：192.168.2.2、192.168.2.3和192.168.2.4。现希望内网客户通

20、过代理服务器访问外网，而且不需要在客户机上做任何设置。32.图10-4 透明代理拓扑图33.解决方案如下：（1）编辑squid配置文件修改后的内容如下：rootredhat1 squid#cat squid.confhttp_port 3128#squid监听的端口号cache_dir ufs/var/spool/squid 100 16 256#设置缓存目录的类型、位置、大小和每层目录的个数acl all src 0.0.0.0/0.0.0.0#将源IP地址为任意的所有主机命名为allacl localhost src 127.0.0.1/255.255.255.255#将本机环回地址命名为

21、localhosthttp_access allow localhost#允许本机访问squid服务器http_access allow all#允许访问控制列表all中定义的主机可以访问squid服务器 34.http_reply_access allow all#允许针对列表all中所有客户机请求的答复进入本代理服务器coredump_dir/var/spool/squid#设置squid核心转储的目录为/var/spool/squidvisible_hostname #设置对外可见的主机名httpd_accel_host virtual#由于要访问的外网主机有很多台，所以必须把httpd

22、_accel_host的值设置为“virtual”，即虚拟的主机，这是在配置透明代理时所必须配置的 httpd_accel_port 80#被加速主机的端口35.httpd_accel_with_proxy on#配置为加速器的同时承担代理的功能，这也是在配置透明代理时所必须要配置的。httpd_accel_single_host off#由于要访问的外网主机有很多台，所以把httpd_accel_single_host的值设置为“off”httpd_accel_uses_host_header on#针对要访问的主机使用主机头，即通过主机头来区分不同的主机；这也是配置透明代理时所必须要配置的

23、保存配置文件后，需要重新启动squid服务。#service squid restart36.（2）在代理服务器上，利用iptables配置端口重定向 本例将代理服务器配置为透明代理，所以要利用iptables的端口重定向功能来辅助实现，执行的指令如下：#echo 1 /proc/sys/net/ipv4/ip_forward#iptables -t nat -F#iptables -t nat -A PREROUTING-i eth2-p tcp-dport 80-j REDIRECT-to 3128这是实现透明代理非常关键的一步。37.（3）代理服务器上DNS的配置 为方便代理服务器进行域

24、名解析，一般情况下需要在父代理服务上配置DNS服务器。本例中DNS正向区域数据库内容如下：#cat/var/named/chroot/var/named/.hosts IN SOA .(2006091501 3600 1800 36000 3600)IN NS .IN A 192.168.2.1www IN CNAME .redhat2 IN A 192.168.2.2redhat3 IN A 192.168.2.3redhat4 IN A 192.168.2.4执行下面的指令将DNS服务器运行起来：#service named start38.v接着，编辑DNS客户端配置文件，将首选DNS服

25、务器指向自己，即192.168.2.1，内容如下：rootredhat1 squid#cat/etc/resolv.confsearch nameserver 192.168.2.1v以上就是在squid代理服务器上实现透明代理的配置过程。39.（4）在客户机上的配置 由于本例实现的是透明代理，所以无需在客户机的浏览器上做特殊的设置，只需要将默认网关设置为透明代理服务器内网网卡的IP地址，即192.168.2.1；同时，将首选DNS设置为透明代理上的DNS服务器的IP地址，也是192.168.2.1。如果内网客户机是Linux主机，编辑解析器配置文件，内容如下：#cat /etc/resolv

26、.confsearch nameserver 192.168.2.1v接下来，设置默认网关为192.168.2.1。#route add default gw 192.168.2.1 40.v最后，在客户机进行访问外网的测试：v#elinks 关于Windows客户机上的配置方法请自行练习。41.1023配置多台代理服务器示例v在Squid中，代理服务器之间可以有两种关系：一种是分层关系，即父子代理类型；另一种是同级关系，即兄弟代理类型。42.v父子代理类型示例v两级代理的拓扑可参见图10-5所示，图中有两台squid代理服务器，二者将要实现父子代理关系。图中父代理的外网网卡eth3，其IP地

27、址为192.168.1.1、内网网卡eth2，其IP地址为192.168.2.1；子代理只有一块网卡，其IP地址为192.168.2.2；内网中一台客户机的IP地址为192.168.2.251，将要设置客户机使用子代理访问外网。43.图10-5 父子代理拓扑图44.解决方案如下：（1）将父代理服务器配置为透明代理rootredhat1 squid#cat squid.confhttp_port 3128#设置squid监听的端口icp_port 3130#1、设置icp协议使用的端口，即代理服务器之间通信采用的端口cache_dir ufs/var/spool/squid 100 16 256

28、#设置缓存目录的类型、位置、大小、每层中子目录个数45.acl all src 0.0.0.0/0.0.0.0acl localhost src 127.0.0.1/255.255.255.255acl mynet src 192.168.2.0/24#将源IP地址为192.168.2.0/24的网段命名为mynethttp_access allow localhost#允许本机使用代理服务器http_access allow all#允许所有主机使用本代理服务器icp_access allow all#2、允许所有主机采用icp与本代理服务器通信http_reply_access allow

29、 allcoredump_dir/var/spool/squid46.visible_hostname #设置本代理服务器对外可见的主机名#以下配置将本机设置为透明代理httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_single_host offhttpd_accel_uses_host_header onv说明：上述配置中#1和#2的两行是专门为配置多台代理服务器而设置的。v运行父代理服务器，指令如下：#service squid start 47.（2）在父代理服务器上，利用ip

30、tables配置端口重定向 本例将父代理服务器配置为透明代理，所以要利用iptables的端口重定向功能来辅助实现，执行的指令如下：#echo 1 /proc/sys/net/ipv4/ip_forward#iptables -t nat -F#iptables -t nat -A PREROUTING-i eth2-p tcp-dport 80-j REDIRECT-to 312848.（3）父代理服务器上DNS的配置 为方便代理服务器进行域名解析，一般情况下需要在父代理服务上配置DNS服务器。本例中DNS正向区域数据库内容如下：#cat/var/named/chroot/var/named

31、/.hosts IN SOA .(2006091501 3600 1800 36000 3600)IN NS .IN A 192.168.2.1www IN CNAME .ftp IN CNAME .redhat2 IN A .IN A 192.168.2.251说明：上述记录中redhat2就是子代理服务器名称。将DNS服务器运行起来，执行如下指令：#service named start49.v接着，编辑DNS客户端配置文件，将首选DNS服务器指向自己，即192.168.2.1，内容如下：rootredhat1 squid#cat/etc/resolv.confsearch nameser

32、ver 192.168.2.1v以上是父代理服务器上的配置过程，下面开始子代理服务器的配置。50.（4）子代理服务器的配置v按照图10-5所示，子代理服务器的IP地址是192.168.2.2。子代理服务器配置文件的内容：rootredhat2#cat/etc/squid/squid.confhttp_port 3128#设置squid监听的端口icp_port 3130#1、设置icp协议使用的端口，即代理服务器之间通信采用的端口cache_dir ufs/var/spool/squid 100 16 256cache_peer 192.168.2.1 parent 3128 3130#2、指

33、定父代理的IP地址为192.168.2.1，父代理的端口号为3128，与父代理交换数据时采用的端口为313051.acl all src 0.0.0.0/0.0.0.0acl localhost src 127.0.0.1/255.255.255.255http_access allow localhosthttp_access allow allicp_access allow all#3、允许所有主机采用icp与本代理服务器通信cache_peer_access 192.168.2.1 allow all#4、对所有网站的访问从父代理服务器192.168.2.1处获取数据http_repl

34、y_access allow allcoredump_dir/var/spool/squidvisible_hostname #设置本代理服务器对外可见的主机名52.（5）子代理服务器上DNS的配置v本例为了简化DNS的配置，使用转发器指令来指向父代理上的DNS服务器。options directory/var/named;forward only;#只使用转发器来解析 forwarders 192.168.2.1;#指定转发器服务器是192.168.2.1，即父代理上的DNS服务器。；v修改后启动named进程，执行如下指令：#service named start53.v编辑子代理上DNS

35、客户端配置文件，将首选DNS指向自己，即192.168.2.2，其内容如下：rootredhat2#cat/etc/resolv.confsearch nameserver 192.168.2.2v经过以上配置后与父子代理服务器相关的文件都已经配置完毕 54.（6）客户端的设置Windows主机作为客户机 55.图10-7 设置IE使用代理服务器56.（7）客户端测试及抓包分析图57.1024配置反向代理服务器示例v反向代理是保护和加速内网www主机的重要手段之一；v反向代理的思路是：利用代理服务器来代替内网www主机来响应外网客户的请求。58.1反向代理示例一加速单台www主机v如图10-9

36、所示由插有两块网卡的squid代理服务器将内外网隔开，其中内网网卡eth2的IP地址为192.168.2.1，外网网卡eth3的IP地址为202.204.235.1，内网中真正的www服务器的IP地址为192.168.2.2。为了安全起见，希望由squid作为内网www服务器的反向代理，即对外宣称squid就是www服务器。59.图10-9 squid反向代理拓扑60.解决方案如下：（1）在squid.conf文件中的进行设置http_port 80#1、设置squid服务器监听的端口，注意该指令使得squid占用了http典型#的80端口，即所有访问该机器www服务的请求都被直接交给了squ

37、id#这是设置反向代理中关键的一步cache_dir ufs /var/spool/squid 100 16 256#设置squid缓存目录的位置、大小及每层的子目录的数量acl all src 0.0.0.0/0.0.0.0#将源IP地址为任意的所有主机命名为allacl localhost src 127.0.0.1/255.255.255.255#将本机环回地址命名为localhost61.http_access allow localhost#允许本机localhost访问squidhttp_access allow all#允许列表“all”中的主机访问squidhttp_reply

38、_access allow all#允许针对列表all中所有客户机请求的答复进入本代理服务器coredump_dir /var/spool/squid#设置squid核心转储的目录为/var/spool/squid62.#以下三行也是针对反向代理的设置visible_hostname #2、设置squid代理服务器对外公开（可见）的名称，外网客户可以直接访问的名称httpd_accel_host #3、设置被squid服务器“加速”的主机是，即内网中真正的www服务器是，而这台squid仅仅是的“反向代理”httpd_accel_port 80#4、指定被加速主机上www服务器的端口号63.v

39、编辑完squid.conf文件之后，执行以下命令启动squid服务器：#service squid start64.v接下来，需要配置DNS服务以支持，squid.conf中涉及到的域名。（2）named.conf中的配置本例中DNS服务器与squid服务器在一台主机上，其中正向区域数据库的内容如下：#vi/var/named/chroot/var/named/.hosts IN SOA .(2006091501 3600 1800 36000 3600)IN NS .IN A .IN CNAME .IN A .IN A .IN A 192.168.2.465.（3）激活路由转发v纯粹实现反向

40、代理是不需要iptables帮助的，但是一定要将squid代理服务器上的路由转发功能激活，可以执行如下指令：#echo 1 /proc/sys/net/ipv4/ip_forward66.（4）在客户机上测试 图10-10 反向代理客户访问效果67.2反向代理示例二加速多台www主机v拓扑仍然可以参考图10-9，现假设要被加速的内网主机有3台：，其内网IP地址为192.168.2.2；，其内网IP地址为192.168.2.3；，其内网IP地址为192.168.2.4。v现要求利用squid实现上述主机的反向代理。68.v思路：由于被加速的主机有多台，而客户机需要通过访问这些主机的域名来实现对它

41、们的访问。另外，外网客户机是无法直接访问这3台www主机的，所以必须将访问这3台www主机的请求都指向squid代理服务器。69.解决方案如下：（1）编辑squid.conf文件其中有关加速器的指令配置如下：http_port 80#squid监听的端口visible_hostname localhosthttpd_accel_host virtual#由于被加速的主机有多台，所以必须把httpd_accel_host的值设置为“virtual”，即虚拟的主机，可以是内网中任意要开放的www主机httpd_accel_port 80#被加速主机的端口httpd_accel_single_hos

42、t off#由于被加速的主机有多台，所以把httpd_accel_single_host的值设置为“off”httpd_accel_uses_host_header on#针对被加速主机使用主机头，在进行虚拟主机加速时必须采用70.保存配置文件后，重新启动squid服务。#service squid restart（2）配置内网域名解析v在squid服务器上可以配置DNS服务器或修改/etc/hosts文件来实现对内网主机的域名解析。#vi/var/named/chroot/var/named/.hosts IN SOA .(2006091501 3600 1800 36000 3600)IN

43、 NS .IN A .IN CNAME .IN A .IN A .IN A 192.168.2.4 71.v重新启动DNS服务。#service named restartv需要将Squid服务器上DNS客户端配置文件（/etc/resolv.conf）中首选DNS指向自己，具体内容如下：rootredhat1#cat /etc/resolv.confsearch nameserver 192.168.2.1v注意此处用的是squid代理服务器的内网网卡的IP地址。72.（3）配置客户端进行域名解析的方法v在外网客户机中的/etc/hosts文件中增加如下内容：202.204.235.1 202.204.235.1 202.204.235.1 v说明：让上述3个域名都对应到squid代理服务器的外网网卡，这样其余的工作由squid去完成。73.（4）测试图10-11 反向代理多台主机客户访问效果74.103本章小结v代理服务器的功能v配置文件及其相关指令v单台正向代理v透明代理v父子代理v反向代理等原理及功能 75.