Linux下Squid代理服务器的配置(转)

Linux下Squid代理服务器的配置(转)

启动squid时如果不在squid.conf中设置主机名将无法启动，必须要设置visible_hostname这个参数值，本文中，设置的主机名是服务器的真实机器名powersite，在squid.conf中找到该项并修改：
visible_hostname linuxserver

你想让所有员工仅在上班时可上网，而且不允许192.168.1.23这台主机上网，可以加入这样的配置：
# 将以下ACL添加到squid.conf的ACL配置部分
acl home_network src 192.168.1.0/24
acl business_hours time M T W H F 9:00-17:00
acl RestrictedHost src 192.168.1.23
# 将这些内容添加到squid.conf的http_access配置部分
http_access deny RestrictedHost
http_access allow home_network business_hours

你只想在早晨这段时间允许员工访问Internet：
# 将以下ACL添加到squid.conf的ACL配置部分
acl mornings time 08:00-12:00
# 将这些内容添加到squid.conf的http_access配置部分
http_access allow mornings

Squid支持从外部读取包含有web站点或域名的文件进行ACL限制。在下面的例子中创建了两个文件，/etc/squid/allowed-sites.squid和/etc/squid/restricted-sites.squid，很明显，一个是允许访问的站点文件，另一个是限制访问站点文件。
# vi /etc/squid/allowed-sites.squid
www.163.com
www.yahoo.cn

# vi /etc/squid/restricted-sites.squid
www.sex.com
sex.com
然后配置在工作时间允许或限制访问的目标站点，以下的ACL配置和前面的略微不同：
#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl home_network src 192.168.1.0/24
acl business_hours time M T W H F 9:00-17:00
acl GoodSites dstdomain "/etc/squid/allowed-sites.squid"
acl BadSites dstdomain "/etc/squid/restricted-sites.squid"

#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access deny BadSites
http_access allow home_network business_hours GoodSites

根据IP地址限制Web访问
这个ACL访问控制列表可以限制整个一个网段，功能还是很强的。
#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl home_network src 192.168.1.0/255.255.255.0
然后添加http_access允许这个ACL：
#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access allow home_network

设置Squid为透明代理
如果客户端连接网络，就需要在浏览器设置Squid代理服务器，这是件比较麻烦的工作，而且代理服务器的地址或端口更换，每台服务器都必须重新设置才能生效，想解决这个问题，可以使用透明代理的方法。透明代理就是使用iptables防火墙将squid的3128端口的请求全部转发到HTTP的80端口，从而实现透明代理。
2.6内核版本之上：新版本的squid只需要修改成如下的内容即可。默认是“http_port 3128”，要将其改为“http_port 3128 transparent”的形式：
另外还要配置iptables防火墙
在下面两个例子中，作为防火墙的服务器有两块网卡，连接Internet的eth0和连接内网的eth1，同时防火墙也是内网的网关。
如果Squid服务器和防火墙在一台服务器上，那么所有的HTTP80端口的请求将转发到Squid服务的配置端口3128上。
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i eth1 -p tcp --dport 3128
iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o eth0 -p tcp --dport 80
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i eth0 -p tcp --sport 80
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o eth1 -p tcp --sport 80
如果Squid服务器和防火墙在不同的服务器上，iptables的规则将有所不同：
iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.100 -p tcp --dport 80 -j DNAT --to 192.168.1.100:3128
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -d 192.168.1.100 -j SNAT --to 192.168.1.1
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.100 -i eth1 -o eth1 -m state
--state NEW,ESTABLISHED,RELATED -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -s 192.168.1.100 -i eth1 -o eth1 -m state --state ESTABLISHED,RELATED -p tcp --sport 3128 -j ACCEPT

Squid的密码验证
1） 创建密码文件。密码和用户名存放在/etc/squid/squid_passwd文件中，并需要将这个文件的权限设置为其它用户只读。
# touch /etc/squid/squid_passwd
# chmod o+r /etc/squid/squid_passwd
（2）使用htpasswd添加用户，并设置密码。添加用户不需要对squid进行重启操作，我创建的用户名是www
# htpasswd /etc/squid/squid_passwd www
New password:
Re-type password for user www
#
（3）找到ncsa_auth命令的具体位置，后面的配置需要用到绝对路径
# which ncsa_auth
/usr/sbin/ncsa_auth
（4） 然后我们就要在squid.conf文件中定义验证程序了，创建名为ncsa_users的ACL并加入关键字REQUIRED来强制让Squid使用NCSA验证方法。
#
# 在squid.conf的auth_param部分添加下列内容
#
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/squid_passwd

#
# 将以下ACL添加到squid.conf的ACL配置部分
#
acl ncsa_users proxy_auth REQUIRED

#
# 将这些内容添加到squid.conf的http_access配置部分
#
http_access allow ncsa_users