CentOS7上squid的部署及两种模式（4.1版本）

CentOS7上squid的部署及两种模式（4.1版本）

简介

1. squid是什么？

Squid是一种用来缓冲Internet数据的软件。它接受来自人们需要下载的目标（object）的请求并适当地处理这些请求。也就是说，如果一个人想下载一web页面，他请求Squid为他取得这个页面。Squid随之连接到远程服务器（比如：http://squid.nlanr.net/）并向这个页面发出请求。然后，Squid显式地聚集数据到客户端机器，而且同时复制一份。当下一次有人需要同一页面时，Squid可以简单地从磁盘中读到它，那样数据迅即就会传输到客户机上。当前的Squid可以处理HTTP，FTP，GOPHER，SSL和WAIS等协议。但它不能处理如POP，NNTP，RealAudio以及其它类型的东西。

2. Internet缓冲的一些概念

你可能会想到一些问题：缓冲有多大的用处？什么时候目标（object）应该或者不应该被缓冲？例如，缓冲信用卡号码是完全不适合的，脚本文件的执行结果在远程服务器端，站点经常更新（像www.cnn.com）或者甚至站点不允许缓冲，这些情况也都是不适合缓冲的。Squid处理各种情况是不错的(当然,这需要远程站点按标准形式工作)。可执行的cgi-bin脚本文件不被缓冲，返回正确页眉的页面是在一段限制了的时间内被缓冲，而且你可以规定特殊的规则以确定什么是可以或不可以被缓冲的，还有缓冲的时间为多长。谈到缓冲的用处有多大，这要看Internet的容量大小，各有不同。对于小型的缓冲区（几转磁盘空间）来说，返回值非常高（达到25%）。这个空间缓冲经常访问的站点，如netscape，cnn和其它一些类似情况的站点。如果你增加一倍缓冲的磁盘空间，但你不会成倍增加你的命中率。这是因为你开始缓冲网络中剩余部分时，这些通常时很大的而且很少被访问。一个非常大的高速缓冲区，有20转左右，可能返回值仍小于50%，除非你对保存数据的时间长短经常改变（一般地你不要分配20转的磁盘空间，因为页面很快就会过时，应该被删除掉）。我们在这里说的目标（object）指的是可保存的web页面或其它类似的可下载页面（ftp文件或目录内容也称为目标（object））。

3．Squid的下载和获取

squid在诸多unix like系统上都有软件库的提供，比如在ubuntu可以使用apt install squid进行安装，也可以到squid的官网直接下载二进制的编译好的软件包， 下载地址

代理的基本类型

• 传统代理

也就是普通的代理服务，，必须在客户端的浏览器、QQ聊天工具、下载软件等程序中手动设置代理服务器的地址和端口，然后才能使用代理服务来访问网络。对于网页浏览器，访问网站时的域名解析请求也会发送给指定的代理服务器。

• 透明代理

提供与传统代理相同的功能和服务，其区别在于客户机不需要指定代理服务器的地址和端口，而是通过默认路由、防火墙策略将web访问重定向，实际上仍然交给代理服务器来处理。重定向的过程对于客户机来说是“透明”的，用户甚至并不知道自己在使用代理服务，所以称为“透明代理”。

安装部署（基于CentOS7部署squid4.1版本）

• 实验准备

CentOS7虚拟机、squid-4.1.tar.gz软件包

• 实验部署

1. 解压源码包

tar zxvf squid-4.1.tar.gz -C /opt

2. 进行配置

./configure \ 

--prefix=/usr/local/squid \         #安装目录

-- sysconfdir =/etc \          #单独将配置文件修改到其他目录

--enable-arp-acl \             #可以在规则中设置为直接通过客户端MAC进行管理，防止客户端使用IP欺骗

--enable-linux-netfilter \     #使用内核过滤

--enable-linux-tproxy \       #支持透明模式

--enable-async-io=100 \      #异步I/O，提升存储性能，相当于 --enable-pthreads   --enable-storeio=ufs,aufs

--enable-err-language="Simplify_Chinese" \         #错误信息的显示语言

--enable-underscore \     #允许URL中有下划线

--enable-poll \     #使用Poll()模式，提升性能

--enable-gnuregex        #使用GUN正则表达式

3. 编译安装

make && make install

4. 创建链接文件、用户和组

ln -s /usr/local/squid/sbin/* /usr/local/sbin/

useradd -M -s /sbin/nologin squid

chown -R squid.squid /usr/local/squid/var/

5. 修改squid配置文件

   vim /etc/squid.conf

。。。省略
http_port 3128
cache_effective_user squid        #添加   指定程序用户
cache_effective_group squid       #添加   指定账号基本组

6. 初始化缓存目录、启动服务

squid -z #初始化缓存目录

squid #启动服务

7. 创建服务启动脚本

vim /etc/init.d/squid

#!/bin/bash
#chkconfig: 2345 90 25
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"

case "$1" in
   start)
     netstat -natp | grep squid &> /dev/null
     if [ $? -eq 0 ]
     then
       echo "squid is running"
       else
       echo "正在启动 squid..."
       $CMD
     fi
   ;;
   stop)
     $CMD -k shutdown &> /dev/null     #这里可以仔细看下
     rm -rf $PID &> /dev/null
   ;;
   status)
     [ -f $PID ] &> /dev/null
        if [ $? -eq 0 ]
          then
            netstat -natp | grep squid
          else
            echo "squid is not running"
        fi
   ;;
   restart)
      $0 stop &> /dev/null
      echo "正在关闭 squid..."
         $0 start &> /dev/null
      echo "正在启动 squid..."
   ;;
   reload)
      $CMD -k reconfigure
   ;;
   check)
      $CMD -k parse
   ;;
   *)
      echo "用法：$0{start|stop|status|reload|check|restart}"
   ;;
esac

chmod +x /etc/init.d/squid       #给与执行权限
chkconfig --add squid         
chkconfig --level 35 squid on     #加入开机自启动并且在3、5模式下开机自启动

测试下服务启动脚本

• 构建传统代理服务

主机	IP地址	主要服务
CentOS7-1	172.16.10.129	http服务
CentOS7-2	172.16.10.128	squid服务
windows7	172.16.10.131	客户机

vim /etc/squid.conf

# And finally deny all other access to this proxy
http_access allow all     #添加 允许任意客户机使用代理服务
http_access deny all

# Squid normally listens to port 3128
http_port 3128
cache_mem 64 MB   #指定缓存功能所使用的内存空间大小，便于保持访问较频繁的WEB对象，容量最好为4的倍数，单位为MB，建议设为物理内存的1/4
reply_body_max_size 10 MB   #允许用户下载的最大文件大小，以字节为单位。默认设置0表示不进行限制
maximum_object_size 4096 KB    #允许保存到缓存空间的最大对象大小，以KB为单位，超过大小限制的文件将不被缓存，而是直接转发给用户
cache_effective_user squid        #添加   指定程序用户
cache_effective_group squid       #添加   指定账号基本组
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /usr/local/squid/var/cache/squid 100 16 256

• 清空防火墙以前的策略及SELinux，添加防火墙策略并且重启服务

iptables -F #清空防火墙策略

setenforce 0 #关闭SELinux

iptables -I INPUT -p tcp --dport 3128 -j ACCEPT #允许访问3218端口的tcp数据包通过

• 重启服务器

service squid restart

• web服务器关闭防火墙并且开启服务

systemctl stop firewalld.service

setenforce 0

systemctl start httpd #开启web服务

• client端浏览器设置代理

• 查看web服务器的访问日志

• 构建透明模式

首先代理服务器要配置双网卡，

其中ens33为内网网关192.168.100.1；

ens36为外网网关12.0.0.1；

web服务器 12.0.0.12

client客户端 192.168.100.50

• 设置路由转发，清空防火墙策略

echo "1" > /proc/sys/net/ipv4/ip_forward     #开启路由转发
iptables -F       #清空防火墙策略
iptables -t nat -F   

• 修改squid配置文件

#这边解释一下，可能有人会问不应该是3128端口么，其实不是，因为我使用squid4.1版本做的，有些东西和3.4版本可能会不同，如果设置3128端口，squid服务会无法开启的，因为3128端口在被占用。

• 重启squid代理服务

  service squid stop

  service squid start

  netstat -ntap | grep squid

  tcp 0 0 192.168.100.1:3129 0.0.0.0: LISTEN 57899/(squid-1)
  tcp6 0 0 :::3128 ::: LISTEN 57899/(squid-1)

  这里可以看到我们设置的3129端口已经启动了

• 访问验证

• 查看web服务器的访问日志

这样透明代理就完成了

#注：squid4.1和squid3.4版本配置还是有些不同的，希望能帮助到各位