Linux從入門到提高-第11章Proxy服務(wù)器配置

1、第11章 Proxy服務(wù)器配置Proxy 服務(wù)器原理簡介服務(wù)器原理簡介Squid 簡介簡介安裝和啟動安裝和啟動Squid服務(wù)器服務(wù)器在客戶端使用在客戶端使用Squid服務(wù)器服務(wù)器配置配置Squid服務(wù)器服務(wù)器配置基于配置基于Squid的透明代理的透明代理配置多級緩存改善配置多級緩存改善Proxy服務(wù)器的性能服務(wù)器的性能日志管理日志管理使用使用Webalizer對對Squid進行流量分析進行流量分析本章小結(jié)本章小結(jié) 大部分代理服務(wù)器都具有緩存的功能，就好像一個大的cache，有很大的存儲空間，它不斷將新取得數(shù)據(jù)儲存到本機的存儲器上。如果瀏覽器所請求的數(shù)據(jù)在本機的存儲器上已經(jīng)存在而且是最新的，那么

2、就不必重新從Web服務(wù)器獲取數(shù)據(jù)，而是直接將存儲器上的數(shù)據(jù)傳送給用戶的瀏覽器，這樣可以顯著地提高瀏覽速度和效率。11.1 Proxy服務(wù)器原理簡介 代理服務(wù)器的工作原理 11.1 Proxy服務(wù)器原理簡介 代理服務(wù)器的作用： 提高訪問速度 起到防火墻的作用 訪問一些不能直接訪問的網(wǎng)站 提高安全性能 11.1 Proxy服務(wù)器原理簡介 Squid由一個主要的服務(wù)程序Squid，一個DNS查詢程序dnsserver，幾個重寫請求和執(zhí)行認證的程序，以及幾個管理工具組成。當(dāng)Squid服務(wù)啟動之后，它可以派生出指定數(shù)目的dnsserver進程，每一個dnsserver進程都可以執(zhí)行單獨的DNS查詢，這樣

3、一來就大大減少了服務(wù)器等待 DNS查詢的時間。 11.2 Squid簡介 使用Squid服務(wù)器的首要工作是對其進行安裝，然后進行簡單的啟動和關(guān)閉測試。11.3 安裝和啟動Squid服務(wù)器 通常說來，安裝Squid有兩種方法：從安裝光盤中獲取RPM包進行安裝，或者從Squid的官方站點下載軟件的源代碼，編譯后安裝。11.3.1 安裝Squid服務(wù)器 啟動Squid服務(wù)器： # /etc/rc.d/init.d/squid start # service squid start 停止Squid服務(wù)器： # /etc/rc.d/init.d/squid stop # service squid st

4、op 11.3.2 啟動和關(guān)閉Squid服務(wù)器 上面主要介紹如何啟動Squid服務(wù)器，本節(jié)將詳細介紹如何對客戶端的瀏覽器進行配置，從而使得用戶能正常地使用代理服務(wù)。瀏覽器主要包括Microsoft公司的IE瀏覽器以及Linux下自帶的Mozilla瀏覽器。11.4 在客戶端使用Squid服務(wù)器 以Microsoft的IE瀏覽器為例，介紹Squid代理服務(wù)器客戶端的配置方法。11.4.1 在IE瀏覽器設(shè)置11.4.2 在Linux瀏覽器中設(shè)置以以Mozilla瀏覽器為例，介紹瀏覽器為例，介紹Squid代理服務(wù)器客戶端的代理服務(wù)器客戶端的配置方法。配置方法。 Squid服務(wù)器的功能非常強大，對其進

5、行全面、合理的配置能夠提高該服務(wù)器的性能，進而更為有效地對其進行使用，本節(jié)將從配置Squid服務(wù)器的基本參數(shù)、訪問控制、以及配置實例等幾個方面來介紹Squid的詳細配置。11.5 配置Squid服務(wù)器 ACCESS CONTROLS：訪問控制選項 NETWORK OPTIONS：網(wǎng)絡(luò)相關(guān)選項 MEMORY CACHE OPTIONS：內(nèi)存cache選項 DISK CACHE OPTIONS：磁盤cache選項 LOGFILE OPTIONS：日志文件選項 OPTIONS FOR EXTERNAL SUPPORT PROGRAMS：外部支持程序選項 OPTIONS FOR TUNING THE

6、CACHE：調(diào)整cache的選項 HTTP OPTIONS：HTTP選項 TIMEOUTS：超時定義選項 ADMINISTRATIVE PARAMETERS：參數(shù)管理選項 OPTIONS FOR THE CACHE REGISTRATION SERVICE：cache注冊服務(wù)選項 SNMP OPTIONS：SNMP選項 ICP OPTIONS：ICP選項 DNS OPTIONS：DNS選項11.5.1 配置Squid服務(wù)器的基本參數(shù) 常用選項： http_port cache_mem（bytes） In-Transit Objects：傳入的對象。 Hot Objects：用戶經(jīng)常訪問的對象。

7、 Negative-Cached Objects：消極存儲的對象。 cache_dir Directory-Name Mbytes Level1 Level211.5.1 配置Squid服務(wù)器的基本參數(shù) 使用訪問控制特性，可以控制在訪問時根據(jù)特定的時間間隔進行緩存、訪問特定站點或一組站點等。Squid訪問控制有兩個要素：ACL元素和訪問列表。11.5.2 配置Squid服務(wù)器的訪問控制 ACL（Access Control Lists）元素是Squid訪問控制的基礎(chǔ)，定義的語法如下： acl aclname acltype string . acl aclname acltype file .

8、 其中， acltype：src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method 11.5.2 配置Squid服務(wù)器的訪問控制 src：指定源地址，具體形式為： acl aclname src ip-address/netmask . acl aclname src addr1-addr2/netmask . dst：指定目標(biāo)地址，即客戶請求的服務(wù)器的IP地址，具體形式為： acl aclname dst ip-address/netmask . srcdomain：指定客戶所屬的域，Squid將根據(jù)

9、客戶IP反向查詢DNS，具體形式為： acl aclname srcdomain . dstdomain：指定請求服務(wù)器所屬的域，由客戶請求的URL決定，具體形式為： acl aclname dstdomain . time：指定訪問時間，具體形式為： acl aclname time day-abbrevs h1:m1-h2:m2hh:mm-hh:mm11.5.2 配置Squid服務(wù)器的訪問控制 port：指定訪問端口，可以為多個端口，例如： acl aclname port 80 70 21 . acl aclname port 0-1024 . proto：指定使用協(xié)議，可以指定多個協(xié)議

10、，例如： acl aclname proto HTTP FTP . method：指定請求的方法，例如： acl aclname method GET POST . url_regex：URL規(guī)則表達式匹配，具體形式為： acl aclname url_regex-i pattern urlpath_regex：URL-path規(guī)則表達式匹配，略去協(xié)議和主機名，具體形式為： acl aclname urlpath_regex-i pattern11.5.2 配置Squid服務(wù)器的訪問控制 訪問列表可以用來控制（允許或拒絕）某些用戶的訪問。如果某一個訪問沒有相符合的項目，則默認為應(yīng)用最后一個條目

11、的“非”。假設(shè)最后一條為允許，則默認就是禁止。通常應(yīng)該把最后的條目設(shè)為“deny all”或“allow all”。 11.5.2 配置Squid服務(wù)器的訪問控制 acl clients src 24/24 5/24 acl guests src /etc/squid/guest acl all src / http_access allow clients http_access allow guests http_access deny all 其中， /etc/squid/guest： /24 2

12、/16 4/2511.5.2 配置Squid服務(wù)器的訪問控制#squid.conf - a very basic config file for squid #Turn logging to its lowest leveldebug_options ALL,1#defines a group（or Access Control List）that includes all IP addressesacl all src /#define RAM usedcache_mem 64M#defines the cache sizec

13、ache_dir /usr/local/squid/cache 100 16 256#allow all sites to use connect to us via HTTPhttp_access allow all#allow all sites to use us as a siblingicp_access allow all#test the following sites to check that we are connecteddns_testnames #run as the squid usercache_effective_user squid squid11.5.3 配

14、置Squid服務(wù)器的簡單實例 所謂透明代理，是相對傳統(tǒng)代理而言的，指用戶可以在安裝了Squid軟件的路由主機上進行配置，而內(nèi)網(wǎng)主機不需要逐一設(shè)置瀏覽器代理配置就可以上網(wǎng)的一種代理形式。配置了這種透明代理之后，客戶端用戶使用瀏覽器瀏覽網(wǎng)頁時，就像是在直接上網(wǎng)，但實際上是通過路由主機上的代理服務(wù)器獲得網(wǎng)頁內(nèi)容的，這個過程對于客戶來說是透明的。內(nèi)網(wǎng)的客戶機只要將默認網(wǎng)關(guān)設(shè)為代理服務(wù)器的IP地址，并設(shè)置DNS客戶即可。 11.6 配置基于Squid的透明代理 透明代理的實現(xiàn)需要Linux內(nèi)核版本在2.0.29以上，但是2.0.30并不支持該功能，我們目前使用的Linux發(fā)行版的內(nèi)核通常都在2.4.X以

15、上，所以一般情況下不需要考慮這個問題。11.6.1 Linux內(nèi)核的相關(guān)配置 對透明代理進行設(shè)置，還要使用squid.conf文件中的相關(guān)選項，如下所示： http_port 3218httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on11.6.2 Squid的相關(guān)配置選項11.6.3 iptables的相關(guān)配置使用下列語句實現(xiàn)將目標(biāo)端口為使用下列語句實現(xiàn)將目標(biāo)端口為80的的TCP包重定向到包重定向到3128端口：端口：#echo 1 /proc/s

16、ys/net/ipv4/ip_forward#iptables t nat A PREROUTING I eth0 p tcp dport 80 j REDIRECT -to-port 3128 在實際的應(yīng)用過程中，提高和改善服務(wù)器的性能有著非常重要的意義。11.7 配置多級緩存改善Proxy服務(wù)器的性能 所謂多級緩存就是將一組在邏輯上為父子或同級關(guān)系的代理服務(wù)器（也稱為peer）組合在一起，通過特定的緩存協(xié)議通信，從而在邏輯上構(gòu)成一個具有更大緩存，更強處理能力的代理服務(wù)器，這個概念有點類似于并行計算中經(jīng)常使用的機群（cluster）。 充當(dāng)多級緩存的代理服務(wù)器組合具有以下三種結(jié)構(gòu)： 兩個代理

17、服務(wù)器組成同級結(jié)構(gòu)。 多個代理服務(wù)器組成層次結(jié)構(gòu)。 多個代理服務(wù)器組成網(wǎng)狀結(jié)構(gòu)。11.7.1 多級緩存（cache）簡介 用戶通過squid.conf配置文件中的cache_peer選項來配置代理服務(wù)器的多級緩存，通過其它的選項來控制選擇代理伙伴的方法。 cache_peer hostname type http_port icp_port options 選項： hostname：被請求的代理服務(wù)器的主機名或IP地址。 type：用來指定代理服務(wù)器的類型，即同級子代理服務(wù)器（sibling）或父代理服務(wù)器（parent）。 http_port：主機HTTP端口。 icp_port：主機ICP

18、端口，如果不支持ICP協(xié)議，可以設(shè)為7。 options：可以包含一個或多個關(guān)鍵字（proxy-only 、weight 、no-query 、no-digest 、default 、login等）。 11.7.2 配置多級緩存 在配置多級緩存的過程中，可以使用特定的規(guī)則來選擇不同的父代理服務(wù)器，從而達到均衡代理服務(wù)器負載的目的，常用的選擇規(guī)則有： 通過目的域進行選擇 cache_peer_domain cache_peer_domain ! 通過訪問控制列表進行選擇 acl computer src 92/ acl all src 0.0.0.

19、0/ cache_peer parent 3128 3130 cache_peer_access allow computer cache_peer_access deny all11.7.2 配置多級緩存 通過URL進行選擇 acl url url_regex acl all src / cache_peer parent 3128 3130 cache_peer parent 3128 3130 cache_peer_access allow url cache_peer_access allow !url11.7.2 配置多級緩存 Squid日志

20、管理的功能比較強大，通過查看這些文件，用戶可以實時、準(zhǔn)確地了解代理服務(wù)器的訪問記錄、cache的存儲狀況、cache的訪問記錄等信息，從而高效地對代理服務(wù)器進行管理。11.8 Squid日志管理 cache_access_log cache_store_log cache_log cache_swap_log pid_filename debug_options log_fqdn on | off11.8.1 配置文件中有關(guān)日志的選項time eclapsed remotehost code/status bytes method URL rfc931 peerstatus/ peerhost

21、 type# cat access.log.1277791082.543 1634 TCP_MISS/200 31709 GET http:/www.redhat. com/rhel/resource_center/reference_architecture.html - DIRECT/12 text/html1277791082.794 250 TCP_MISS/200 1463 GET http:/www.redhat. com/s/master.css - DIRECT/12 text/css1277791082.976 182 TCP_MISS/200 19051 GET http:/www.redhat. com/s/global.css - DIRECT/12 text/css1277791083.049 211 192.168.8