代理服務(wù)器配置和管理 第二十一章

代理服務(wù)器配置和管理第二十一章第21章代理服務(wù)器配置和管理代理服務(wù)器是介于Internet和內(nèi)網(wǎng)計(jì)算機(jī)之間的聯(lián)系橋梁，它的功能就是代替內(nèi)網(wǎng)計(jì)算機(jī)去訪問互聯(lián)網(wǎng)信息。使用代理服務(wù)，可以有效地節(jié)省IP資源，多臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)可以通過同一個(gè)外網(wǎng)IP訪問Internet。目前大部分企業(yè)都是通過代理服務(wù)器為企業(yè)內(nèi)部員工提供上網(wǎng)服務(wù)。本章將介紹如何在RedHatEnterpriseLinux5.2上基于Squid搭建一個(gè)穩(wěn)定高效的代理服務(wù)器。21.1代理服務(wù)器簡介21.1代理服務(wù)器簡介21.2代理服務(wù)器的安裝Squid是一款非常優(yōu)秀的代理服務(wù)器軟件，由美國國家網(wǎng)絡(luò)應(yīng)用研究室開發(fā)，能支持包括AIX、Digital、UNIX、FreeBSD、HP-UX、Irix、Linux、SCO、Solaris和OS/2在內(nèi)的多種操作系統(tǒng)平臺(tái)。Squid提供了強(qiáng)大的代理緩存功能，可以加快內(nèi)網(wǎng)用戶瀏覽Internet的速度。除了HTTP協(xié)議外，Squid還支持多種其他的協(xié)議，包括FTP、gopher、SSL和WAIS等。21.2.1如何獲得Squid安裝包RedhatLinuxAS5.2自帶了2.6.STABLE6-5版本的Squid。用戶只要在安裝操作系統(tǒng)的時(shí)候把該軟件選上，Linux安裝程序?qū)?huì)自動(dòng)完成Squid的安裝工作。如果在安裝操作系統(tǒng)時(shí)沒有安裝Squid，也可以通過安裝光盤中的RPM軟件包進(jìn)行安裝。RPM安裝包的文件名如下：21.2.1如何獲得Squid安裝包21.2.2安裝Squid下載完成后，接下來將以3.0.STABLE9版本的Squid源代碼安裝包為例，講解Squid在RedHatEnterpriseLinux5.2上的安裝步驟。21.2.3啟動(dòng)和關(guān)閉Squid經(jīng)過上面的安裝和配置后，就可以運(yùn)行Squid了。Squid的啟動(dòng)和關(guān)閉主要通過/usr/local/squid/sbin/squid命令來完成，該命令的格式如下所示。squid[-cdhvzCDFNRVYX][-s|-lfacility][-fconfig-file][-[au]port][-ksignal]下面是Squid命令的一些常見用法。1．啟動(dòng)Squid2．查看Squid進(jìn)程的狀態(tài)3．查看Squid的版本和編譯選項(xiàng)4．關(guān)閉Squid21.2.4Squid服務(wù)開機(jī)自動(dòng)運(yùn)行RedHatEnterpriseLinux5.2支持程序服務(wù)的開機(jī)自動(dòng)運(yùn)行，通過編寫Squid服務(wù)的啟動(dòng)關(guān)閉腳本，并在系統(tǒng)中進(jìn)行必要的配置，可以實(shí)現(xiàn)Squid服務(wù)的開機(jī)自動(dòng)啟動(dòng)。21.3Squid的配置Squid的配置修改主要通過更改/usr/local/squid/etc/squid.conf文件來完成，本節(jié)對(duì)squid.conf文件中的各選項(xiàng)進(jìn)行說明，并介紹如何通過Squid提供的命令檢查該文件的配置是否正確，以及在無需重啟服務(wù)的情況下使更改后的配置生效。21.3.1squid.conf配置文件Squid安裝完成后會(huì)自動(dòng)在/usr/local/squid/etc目錄下創(chuàng)建一個(gè)名為squid.conf的配置文件，在該配置文件中保存了Squid的所有配置信息，用戶可以通過修改該文件來滿足不同的需求。默認(rèn)創(chuàng)建的squid.conf文件的內(nèi)容有4000多行，其中絕大部分都是各種注釋。為了方便閱讀和編輯，一般會(huì)把該文件的內(nèi)容清空再進(jìn)行編輯。21.3.2與配置文件相關(guān)的命令Squid命令除了用于管理Squid的啟動(dòng)和關(guān)閉以外，還可以檢查squid.conf文件的格式是否正確，以及使配置更改后無需重啟進(jìn)程而立刻生效。1．檢查文件格式2．使更改生效21.3.3設(shè)置Squid使用中文錯(cuò)誤提示信息Squid安裝后默認(rèn)的錯(cuò)誤提示信息是英文，英文頁面對(duì)于中國的用戶來說可能比較容易造成困惑，而且也不太友好。21.3.4配置透明代理一般情況下，用戶要使用代理上網(wǎng)，需要在瀏覽器中配置相應(yīng)的代理服務(wù)器。如果使用透明代理，用戶只要把自己計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置為代理服務(wù)器的IP地址即可，用戶的感覺跟直接上網(wǎng)一樣，但實(shí)際上它是通過代理服務(wù)器來瀏覽Internet的網(wǎng)頁。要在Squid中配置透明代理，需要經(jīng)過以下配置步驟。1．修改squid.conf配置文件2．配置iptables21.4Squid安全作為一款成熟的代理服務(wù)器軟件，Squid提供了強(qiáng)大的訪問控制功能，通過acl和_access選項(xiàng)可以定義各種的訪問控制列表和規(guī)則，有效地控制用戶對(duì)服務(wù)器的訪問。Squid還可以啟用身份認(rèn)證功能，用戶只有在輸入正確的用戶名和口令后才能使用代理進(jìn)行上網(wǎng)。21.4.1訪問控制列表訪問控制列表是滿足一定條件的主機(jī)、端口、協(xié)議等對(duì)象的集合，通過acl選項(xiàng)進(jìn)行定義，是Squid訪問控制的基礎(chǔ)，在其他選項(xiàng)中被引用來授予或拒絕相關(guān)對(duì)象的訪問。acl選項(xiàng)的格式如下所示。acl列表名稱列表類型-i列表值21.4.2使用_access選項(xiàng)控制HTTP請(qǐng)求_access選項(xiàng)用于允許或拒絕某個(gè)訪問控制列表的HTTP請(qǐng)求。對(duì)于客戶端發(fā)來的HTTP請(qǐng)求，Squid服務(wù)器首選會(huì)檢查squid.conf文件中所定義的_access選項(xiàng)，根據(jù)_access所定義的規(guī)則決定是允許還是拒絕該HTTP請(qǐng)求。該選項(xiàng)的格式如下所示。_accessallow|deny[!]aclname...1．禁止某個(gè)IP地址通過代理上網(wǎng)2．允許某個(gè)網(wǎng)段通過代理上網(wǎng)3．禁止對(duì)某個(gè)服務(wù)器的訪問4．為不同客戶端分配不同的訪問時(shí)段5．網(wǎng)站屏蔽6．限制客戶端的連接數(shù)21.4.3身份認(rèn)證為了限制非法用戶通過代理服務(wù)器訪問Internet，可以在Squid中啟用身份認(rèn)證功能，在用戶通過代理瀏覽網(wǎng)頁時(shí)要求輸入用戶名和口令進(jìn)行驗(yàn)證。具體配置步驟如下所示。1．修改squid.conf文件2．創(chuàng)建賬戶文件3．使配置生效并測試21.4.3身份認(rèn)證21.5Squid日志管理Squid擁有完善的日志系統(tǒng)，其中主要的日志包括access_log、cache.log以及store.log這3個(gè)，它們的默認(rèn)保存位置均為/usr/local/squid/var/logs/。接下來將分別對(duì)這3個(gè)日志文件的使用方法并對(duì)日志內(nèi)容進(jìn)行分析。1．a(chǎn)ccess_log日志2．cache.log日志3．store.log日志21.6使用Web方式管理Squid要Squid本身提供一個(gè)名為cachemgr.cgi的cgi程序，它默認(rèn)存放于/usr/local/squid/libexec/目錄下。使用該文件，用戶可以通過Web方式對(duì)Squid進(jìn)行管理。21.7客戶端配置代理服務(wù)器的客戶端配置比較簡單，用戶在瀏覽器中設(shè)置好代理服務(wù)器的地址和端口即可。本節(jié)分別以Linux下的MozillaFirefox和Windows下的InternetExplore為例，介紹Squid客戶端配置的相關(guān)步驟。21.7.1Linux客戶端的配置Linux客戶端需要在瀏覽器中設(shè)置使用的代理服務(wù)器地址。21.7.2Windows客戶端配置Windows客戶端同樣需要在瀏覽器中配置代理服務(wù)器地址，接下來以InternetExplorer（IE）瀏覽器為例，介紹Windows上的代理客戶端配置步驟。21.8Squid常見問題處理本節(jié)介紹在RedHatEnterpriseLinux5.2上安裝及配置Squid時(shí)常見的一些問題以及解決方法，包括如何解決創(chuàng)建cache目錄時(shí)出現(xiàn)的“Permissiondenied”錯(cuò)誤，啟動(dòng)Squid時(shí)出現(xiàn)“Addressalreadyinuse”以及“DNSnamelookuptestsfailed”錯(cuò)誤等。21.8.1創(chuàng)建cache目錄時(shí)出現(xiàn)權(quán)限不足的錯(cuò)誤由于目錄或文件權(quán)限設(shè)置不恰當(dāng)，會(huì)導(dǎo)致Squid出現(xiàn)各種各樣的錯(cuò)誤。例如在安裝Squid后執(zhí)行squid-z命令創(chuàng)建cache目錄，出現(xiàn)如下錯(cuò)誤。#./squid-z2008/12/0116:35:01|CreatingSwapDirectories2008/12/0116:35:01|/usr/local/squid/var/cacheexistsFATAL:Failedtomakeswapdirectory/usr/local/squid/var/cache/00:(13)Permissiondenied21.8.2啟動(dòng)Squid時(shí)提示地址已被占用的錯(cuò)誤如果已經(jīng)有其他進(jìn)程占用Squid的監(jiān)聽端口（默認(rèn)為3128），或者Squid已經(jīng)啟動(dòng)，那么啟動(dòng)Squid時(shí)將會(huì)出現(xiàn)如下錯(cuò)誤提示。#./squid-CNDd12008/12/0117:11:47|StartingSquidCacheversion3.0.STABLE9fori686-pc-linux-gnu...2008/12/0117:11:47|ProcessID52892008/12/0117:11:47|With1024filedescriptorsavailable2008/12/0117:11:47|DNSSocketcreatedat,port1038,FD4省略部分輸出2008/12/0117:11:48|commBind:CannotbindsocketFD11to*:3128:(98)AddressalreadyinuseFATAL:Cannot