Squid代理 服务器应用

一、squid代理服务器

squid主要提供缓存加速、应用层过滤控制的功能。

1.1代理的工作机制

代替客户机向网站请求数据，从而可以隐藏用户的真实IP地址。
将获得的网页数据（静态 web元素）保存到缓存中并发送给客户机，以便下次请求相同的数据时快速响应。

1.2代理的类型

①传统代理:适用于Internet，需在客户机指定代理服务器的地址和端口

②透明代理:客户机不需指定代理服务器的地址和端口，而是通过默认路由、防火墙策略将web访问重定向给代理服务器处理。

③反向代理:
反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的 WEB服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存（静态）在本地，供下一个请求者使用。

1.3日志管理工具

sarg

二.部署Squid服务器

web代理的工作机制，缓存网页对象，减少重复请求
squid是一个缓存Internet数据的一个软件，它接收用户的下载申请，
并自动处理所下载的数据。也就是说，当一个用户想要下载一个主页时，它向Squid发出一个申请，要squid替它下载，然后squid连接所申请网站
并请求该主页，接着把该主页传给用户同时保留一个备份，当别的用户申请同样的页面时，Squid把保存的备份立即传给用户，减少了向Internet提交重复的web请求的过程，
提高了用户下载网页的速度，隐藏了客户机的真实IP，如下图所示

2.1安装依赖环境

yum -y install gcc gcc-c++ make 

上传squid-3.5.27.tar.gz包至/opt目录下，解压

cd /opt 
tar xf  squid-3.5.27.tar.gz

2.2编译安装

./configure --prefix=/usr/local/squid --sysconfdir=/etc --enable-arp-acl --enable-linux-netfilter--enable-linux-tproxy --enable-async-io=100 --enable-err-language="Simplify_Chinese"--enable-underscore --enable-poll --enable-gnuregex

上述命令解释

./ configure --prefix=/usr/ local/ squid       ##安装目录
--sysconfdir=/etc/                             ##单独将配置文件修改到/etc目录下
--enable-arp-acl                               ##可在ACL中设置通过MAC地址进行管理，防止IP欺骗
--enable-linux-netfilter                       ##使用内核过滤
--enable-linux-tproxy                          ##支持透明模式
--enable-async-io=100                          ##异步工/o，提升储存性能，值可修改
--enable-err-language="Simplify Chinese"       ##错误信息的显示语言
--enable-underscore                            ##允许URL中有下划线
--enable-poll                                  ##使用Poll()模式,提升性能
--enable-gnuregex                              ##使用GNU正则表达式

2.4创建连接文件，优化路径

ln -s /usr/local/squid/sbin/*  /usr/local/sbin/

2.5创建程序用户，组

useradd -M -s /sbin/nologin squid 

2.6更改用户和组

chown -R squid:squid /usr/local/squid/var 

2.7修改Squid的配置文件

[root@localhost ~] vi /etc/squid.conf 

-----56行--插入------
http_access allow all
#放在http_access deny all #放在之前，允许任意客户机使用代理服务，控制规则自上而下匹配
http_access deny all
http_port 3128
#用来指定代理服务监听的地址和端口(默认的端口号为3128)
-----61行--插入------
cache_effective_user squid
#添加，指定程序用户，用来设置初始化、运行时缓存的账号，否则启动不成功
cache effective group squid
#添加，指定账号基本组
coredump_dir /usr/local/squid/var/cache/squid  #指定缓存文件目录

[root@localhost ~] squid -k parse              ##检查配置文件
[ root@localhost~]squid -k rec                 ##重新加载配置文件
[ root@localhost ~]squid -zX                   ##初始化缓存目录
[ root@localhost ~]#squid                      ##启动squid服务
[ root@localhost ~]#netstat -anpt l grep squid ##确认squid服务处于正常监听状态

2.8编写Squid服务脚本

vim /etc/init.d/squid 

#!/bin/bash
#chkconfig: 35 90 25
#config: /etc/squid.conf
#pidfile: /usr/local/squid/var/run/squid.pid
#Description: Squid - Internet Object Cache
PID="/usr/local/squid/var/run/squid.pid"
CONF="/etc/squid.conf"
CMD="/usr/local/squid/sbin/squid"
case "$1" in
         start)
              netstat -utpln  | grep squid &> /dev/null
              if [ $? -eq 0 ]
                   then
                        echo "squid is running"
                   else
                        $CMD
               fi
          ;;
          stop)
              $CMD -k kill &> /dev/null
              rm-rf $PID    &> /dev/null
          ;;
          status)
              [ -f $PID ] &> / dev/null
              if [$? -eq 0 ]
                   then
                      netstat -utpln | grep squid
                   else
                      echo "squid is not running"
              fi
          ;;
          restart)
               $0 stop &> /dev/null
               echo "正在关闭Squid. . ."
               $0 start &> /dev/null
               echo "正在启动squid. .."
          ;;
          reload)
               $CMD -k reconfigure
          ;;
          check)
               $CMD -k parse
          ;;
          *)
               echo "用法: {start | stop |restart | reload  | check  | status }"
esac

[ root@localhost ~]# chmod +x letc/init.dl squid
[ root@localhost ~]#chkconfig --add squid
[ root@localhost ~] #chkconfig squid on
[root@localhost squid-3.5.27]# service squid restart    ##测试正常

三.部署Squid+Apache服务

3.1服务器需求

Squid服务器：192.168.80.1
web1服务器： 192.168.80.2
web2服务器： 192.168.80.3
win10    :  192.168.80.132

3.2搭建传统代理

在服务器上构建Squid代理服务器，允许客户机指定Squid代理服务器作为web代理，访问网站服务器，但禁止通过代理下载超过10MB的文件，超过4MB的文件不进行缓存。

①Squid服务器

#63行插入
cache_mem 64 MB
#指定缓存功能所使用的内存空间大小，便于保存访问较频繁的WEB对象，容量最好为4的倍数，单位为MB，建议设为物理内存的1/4
reply_body_max_size 10 MB
允许用户下载的最大文件大小，以字节为单位，当下载超过指定大小的web对象时，浏览器的报错页面中会出现"请求或访问太大"的提示默认设置0表示不进行限制
maximum_object_size 4096 KB
#允许保存到缓存空间的最大对象大小，以KB为单位，超过大小限制的文件将不被缓存，而是直接转发给用户

②重启

service squid restart 

③修改防火墙规则

[root@squid ~]# systemctl start firewalld 
[root@squid ~]# iptables -F 
[root@squid ~]# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT 

④web1配置，web2配置

 yum install -y httpd 
 systemctl start httpd 

⑤客户端配置(添加代理>谷歌浏览器:
设置–》高级–》系统–》打开代理设置–》设置代理

⑥使用win10访问web2 IP
web2服务器查看访问日志信息
动态查看访问日志,观察来访IP

tail -f lvar/ log/ httpd/ access_log

可以看出来源地址为Squid服务器地址

3.2 搭建透明代理

服务器需求：

Squid 服务器    ens33:192.168.80.1 ens36 192.168.10.1(win10的网关)
web1 服务器	   192.168.80.2
web2 服务器     192.168.80.3
win10          192.168.10.120      网关为192.168.10.1

①squid服务器添加网卡ens36

②修改squid配置文件

vim /etc/squid.conf

③重启服务

service squid restart 

④添加路由规则

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf 
sysctl -p   #加载

⑤添加防火墙规则

[root@squid ~]# iptables -F 
[root@squid ~]# iptables -t nat -F 
[root@squid ~]# iptables -t nat -I PREROUTING -i ens36 -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
[root@squid ~]# iptables -t nat -I PREROUTING -i ens36 -s 192.168.10.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
[root@squid ~]# iptables -t nat -L           #查看

将来源为192.168.10.0网段:80/443端口的流量重定向到3128端口

⑥放通3128端口（若进行重启，则需要配置以下规则）

 iptables -I INPUT -p tcp --dport 3128 -j ACCEPT

⑦web1和wb2服务器添加一条静态路由

route add -net 192.168.10.0/24 gw 192.168.80.1  #此gw指的是下一跳的地址

注意：不要把网关指向squid服务器的网卡

⑧web1开启httpd服务

systemctl start httpd 

⑨客户端访问

tail -f /var/log/httpd/access_log 

3.3ACL访问控制

在配置文件/etc/squid.conf 中，ACL访问控制通过以下两个步骤来实现:
(1) 使用acl 配置项定义需要控制的条件;
(2) 通过http_access配置项对已定义的列表做“允许”或“拒绝”访问的控制。
①定义访问控制列表
格式:

拒绝访问

acl 列表名称  列表类型  列表内容 
列表名称：名称自定义，相当于给acl起个名字(也会被http_access 调用)
列表类型：必须使用squid预定义的值，对应不同类别的控制条件
列表内容：是要控制的具体对象，不同类型的列表所对应的内容也不一样，可以有多个值（以空格为分隔，为“或”的关系）

vim /etc/squid.conf 

②重启

service squid  restart  

③访问

3.4 Squid 日志分析

sarg（Squid Analysis Report Generator），是一款squid日志分析工具，采用HTML格式，详细列出每一位用户访问Internet的站点信息、时间占用信息、排名、连接次数、访问量等

①安装图像处理软件包

yum install -y gd gd-devel pcre-devel 

mkdir /usr/local/sarg

②将zxvf sarg-2.3.7.tar.gz压缩包上传到/opt目录下解压

tar zxvf sarg-2.3.7.tar.gz -C /opt/

③编译安装

cd /opt/sarg-2.3.7
./configure --prefix=/usr/local/sarg \
--sysconfdir=/etc/sarg \       #配置文件目录，默认是/usr/loca/etc
--eenable-xtraprotection       #额外安全防护

./configure --prefix=/usr/local/sarg --sysconfdir=/etc/sarg --enable-extraprotection

make && make install

④修改配置文件

vim /etc/sarg/sarg.conf

--7行--取消注释
access_log /usr/local/squid/var/logs/access.log  #指定访问日志文件
--25行--取消注释
title "Squid User Access Reports"     	#网页标题
--120行--取消注释，修改
output_dir /var/www/html/sarg      		#报告输出目录
--178行--取消注释
user_ip no           					#使用用户名显示
--184行--取消注释，修改
topuser_sort_field connect reverse     	#top排序中，指定连接次数采用降序排列，升序是normal
--190行--取消注释，修改
user_sort_field connect reverse      	#对于用户访问记录，连接次数按降序排序
--206行--取消注释，修改
exclude_hosts /usr/local/sarg/noreport  #指定不计入排序的站点列表的文件
--257行--取消注释
overwrite_report no         #同名同日期的日志是否覆盖
--289行--取消注释，修改
mail_utility mailq.postfix       #发送邮件报告命令
--434行--取消注释，修改
charset UTF-8          #指定字符集UTF-8
--518行--取消注释
weekdays 0-6          #top排行的星期周期
--525行--取消注释
hours 0-23           #top排行的时间周期
--633行--取消注释
www_document_root /var/www/html      #指定网页根目录

⑤添加不计入站点文件，添加的域名将不被显示在排序中

touch /usr/local/sarg/noreport

⑥创建软链接

ln -s /usr/local/sarg/bin/sarg /usr/local/bin/

⑦运行

sarg     #启动一次记录

⑧验证

yum install httpd -y
systemctl start httpd

在squid服务器上使用浏览器访问 http://192.168.226.128/sarg，查看sarg报告网页。

⑨添加计划任务，执行每天生成报告

vim /usr/local/sarg/report.sh

#!/bin/bash
#Get current date
TODAY=$(date +%d/%m/%Y)
#Get one week ago today
YESTERDAY=$(date -d "1 day ago" +%d/%m/%Y)
/usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/sarg -z -d $YESTERDAY-$TODAY &> /dev/null
exit 0

chmod +x /usr/local/sarg/report.sh 

crontab -e
0 0 * * * /usr/local/sarg/report.sh

3.5 反向代理

如果Squid反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的Web服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存在本地，供下一个请求者使用。

工作机制:

● 缓存网页对象，减少重复请求
● 将互联网请求轮询或按权重分配到内网web服务器
● 代理用户请求，避免用户直接访问Web服务器，提高安全

vim /etc/squid.conf
------ 60行–修改，插入-------
http_port 192.168.80.1:80 accel vhost vport
cache_peer 192.168.80.2 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
cache_peer 192.168.80.3 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
cache_peer_domain web1 web2 www.test.com
#表示对www.test.com的请求，squid向192.168.80.1和192.168.80.2的80端口发出请求

定义了地址池，定义了squid 服务上接收和响应请求的虚拟IP:端口，指定了访问后端服务器使用的域名www.test.com

http_port 80 accel vhost vport
#squid从一个缓存变成了一个Web服务器反向代理加速模式，这个时候squid在80端口监听请求，同时和webserver的请求端口(vhost vport)绑定，这个时候请求到了squid，squid是不用转发请求的，而是直接要么从缓存中拿数据要么向绑定的端口直接请求数据。
accel :反向代理加速模式
vhost:支持域名或主机名来表示代理节点
vport :支持IP和端口来表示代理节点

parent :代表为父节点，上下关系，非平级关系
80:代理内部web服务器的80端口
0 :没有使用icp，表示就一台squid服务器
no-query :不做查询操作，直接获取数据
originserver :指定是源服务器
round-robin :指定squid 通过轮询方式将请求分发到其中一台父节点
max_conn :指定最大连接数
weight :指定 权重
name :设置别名

同步阿里云始三台机时间同步

ntpdate ntp.aliyun.com

systemctl stop httpd
service squid reload

客户机的域名映射配置
修改C:\Windows\System32\drivers\etc\hosts 文件
192.168.80.1 www.test.com

客户机的代理配置
打开浏览器，工具–>Internet选项–>连接–>局域网设置–>开启代理服务器(地址: Squid服 务器IP地址，端口: 80)

配置映射关系（win10）
C:\Windows\System32\drivers\etc

浏览器访问 http://www.test.com

总结：
squid（代理服务器）
定位是缓存加速
缓存从后端的web服务器获取到的的web网页对象
加速是为了客户端访问的

squid 会有三种模式：
1、传统代理（需要指向squid）
需要客户端指向squid 代理服务器，客户端能感知到squid 代理服务器的存在
2、透明代理(常用，不需要指向squid)
客户端不需要配置，只要直接访问即可，服务端，借助了防火墙规则及静态路由的方式，完成透明代理
3、反向代理（需要指向squid）
做为类似与Nginx服务器的反向代理功能，但自身不需要一个首页，基于虚拟的IP:端口、以及虚拟的域名进行反向代理给后端真实服务器的IP:端口，并且以权重的方式完成反向代理（负载均衡）

对于Squid 自身的管理/功能
ACL：主要做的是http_access（基于http协议，access访问）的允许和拒绝管理
sarg：日志分析功能，可以以天的方式指定将access_log中的内容输出到一个web页面中（借助了httpd）展示出来。