squid学习笔记-1

squid安裝：

　　可以从Squid站点http://www.squid-cache.org获取该�...��版，如Red Hat提供的RPM包。

　　RPM方式安装很简单，命令如下：

　　$ rpm -ivh Squid-2.x.STALBx.i386.rpm


　　不过笔者认为，即便是系统中已经默认安装了Squid，也应当先删掉然后安装最新的源代码包。因为开源软件会不断修正问题、提供更新的功能，使用最新版本可以保证最高的性能及安全，而且源代码方式可以完全定制系统。不过STABLE稳定版、DEVEL版通常是提供给开发人员测试程序的，假定下载了最新的稳定版squid-2.5.STABLE2.tar.gz，用以下命令解开压缩包：

$ tar xvfz squid-2.5.STABLE.tar.gz


　　用bz2方式压缩的包可能体积更小，相应的命令是：

$ tar xvfj squid-2.5.STABLE.tar.bz2


　　然后，进入相应目录对源代码进行配置和编译，命令如下：

$ cd squid-2.5.STABLE2


　　配置命令configure有很多选项，如果不清楚可先用“-help”查看。通常情况下，用到的选项有以下几个：

--prefix=/web/squid
#指定Squid的安装位置，如果只指定这一选项，那么该目录下会有bin、sbin、man、conf等目录，而主要的配置文件此时在conf子目录中。为便于管理，最好用参数--sysconfdir=/etc把这个文件位置配置为/etc。
--enable-storeio=ufs,null
#使用的文件系统通常是默认的ufs，不过如果想要做一个不缓存任何文件的**服
务器，就需要加上null文件系统。
--enable-arp-acl
#这样可以在规则设置中直接通过客户端的MAC地址进行管理，防止客户使用IP欺骗。
--enable-err-languages="Simplify_Chinese"
--enable-default-err-languages="Simplify_Chinese"
#上面两个选项告诉Squid编入并使用简体中文错误信息。
--enable-linux-netfilter
#允许使用Linux的透明**功能。
--enable-underscore
#允许解析的URL中出现下划线，因为默认情况下Squid会认为带下划线的URL是
非法的，并拒绝访问该地址。


　　整个配置编译过程如下：

./configure --prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
--enable-auth="basic"
--enable-baisc-auth-helpers="NCSA"
--enable-underscore


　　其中一些选项有特殊作用，将在下面介绍它们。

　　最后执行make和make install两条命令，将源代码编译为可执行文件，并拷贝到指定位置。

 

squid启动：

squid -z                    #初始化cache
squit start                 #启动squid
squid -k parse            #检查配置是否有错误,没有任何输出,证明配置基本是正确的!!!
squid -zX                   #可以加一个X参数,看看初始化具体的项目.       
squid -D                    #如果因为DNS无法启动squid,可以用该命令，即不初始化DNS；

 

squid配置：

http_port 192.168.0.1:8080       #squid绑定在该IP地址上

 

访问控制：

有两个要素：ACL元素和访问列表

 

ACL元素类型：

     * src : 源地址 （即客户机IP地址）
　　* dst : 目标地址 （即服务器IP地址）
　　* srcdomain : 源名称 （即客户机名称）
　　* dstdomain : 目标名称 （即服务器名称）
　　* time : 一天中的时刻和一周内的一天
　　* url_regex : URL 规则表达式匹配
　　* urlpath_regex: URL-path 规则表达式匹配，略去协议和主机名
　　* proxy_auth : 通过外部程序进行用户验证
　　* maxconn : 单一 IP 的最大连接数

 

ACL声明格式：

      acl  acl_element_name type_of_acl_element values_to_acl

 

     注：
　　1. acl_element_name 可以是任一个在 ACL 中定义的名称。
　　2. 任何两个 ACL 元素不能用相同的名字。
　　3. 每个 ACL 由列表值组成。当进行匹配检测的时候，多个值由逻辑或运算连接；换言之，即任一 ACL
　　   元素的值被匹配，则这个 ACL 元素即被匹配。
　　4. 并不是所有的 ACL 元素都能使用访问列表中的全部类型。
　　5. 不同的 ACL 元素写在不同行中，Squid 将把它们组合在一个列表中。
　　
　　我们可以使用许多不同的访问条目。下面列出我们将要用到的几个：
　　* http_access: 允许 HTTP 访问。这个是主要的访问控制条目。
　　* no_cache: 定义对缓存请求的响应。
　　
　　访问列表的规则由一些类似 'allow' 或 'deny' 的关键字构成，用以允许或拒绝向特定或一组 ACL 元素提供服务。
　　注：　
　　1. 这些规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束。
　　2. 一个访问列表可以又多条规则组成。
　　3. 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则对应。
　　4. 一个访问条目中的所有元素将用逻辑与运算连接：
　　   http_access Action 声明1 AND 声明2 AND 声明 OR.
　　   http_access Action 声明3
　　   多个 http_access 声明间用或运算连接，但每个访问条目的元素间用与运算连接。
　　5. 请记住列表中的规则总是遵循由上而下的顺序。

 

使用访问控制
　　多个访问控制及其规则为客户端访问控制提供了一种灵活的机制。下面给出通常所用到的例子：　

　　1. 允许列表中的机器访问 Internet。　　
　　acl allowed_clients src 192.168.0.10 192.168.0.20 192.168.0.30
　　http_access allow allowed_clients
　　http_access deny !allowed_clients
　　这个规则只允许 IP 地址为 192.168.0.10、192.168.0.20 及 192.168.0.30 的机器
　　访问 Internet，其他 IP 地址的机器则都被拒绝访问。

　　
　　2. 限制访问时段。　　
　　acl allowed_clients src 192.168.0.1/255.255.255.0
　　acl regular_days time MTWHF 10:00-16:00
　　http_access allow allowed_clients regular_days
　　http_access deny !allowed_clients
　　这个规则允许子网192.168.0.1中的所有客户机在周一到周五的上午10:00到下午4:00
　　访问 Internet。

     注意:time中的星期要用如下字符:
            S (Sunday,星期日) M(Monday,星期一) T(Tuesday,星期二) W(Wednesday,星期三)
            H(Thursday,星期四) F(Friday,星期五) A(Saturday,星期六)

 

     3. 为不同的客户机分配不同的访问时段。
　　
　　acl hosts1 src192.168.0.10
　　acl hosts2 src 192.168.0.20
　　acl hosts3 src 192.168.0.30
　　acl morning time 10:00-13:00
　　acl lunch time 13:30-14:30
　　acl evening time 15:00-18:00
　　http_access allow host1 morning
　　http_access allow host1 evening
　　http_access allow host2 lunch
　　http_access allow host3 evening
　　http_access deny all
　　在这个规则中，主机 host1 可以在 morning 和 evening 时段访问 Internet，主机
　　host2 和 host3 分别只能在 lunch 和 evening 时段访问 Internet。
　　
　　注：
　　一个访问条目中所有的元素之间用与运算按下述方式连接 ：
　　
　　http_access Action statement1 AND staement2 AND statement OR.
　　多个 http_access 声明之间用或运算连接而每个访问条目中的元素用与运算连接，见
　　下：
　　
　　http_access allow host1 morning evening
　　无法在时段 morning 和时段 evening 同时进行(morning AND evening )，这个表达
　　式将不会返回真值（TRUE），从而这个条目将不会引发任何动作。
　　
　　4. 站点屏蔽
　　Squid 可以屏蔽某些特定站点或含有某些特定字词的站点。可以用下面的规则实现：
　　
　　acl allowed_clients src 192.168.0.1/255.255.255.0
　　acl banned_sites url_regex abc.com *()(*.com
　　http_access deny banned_sites
　　http_access allow allowed_clients
　　也可以用以屏蔽含有某些特定字词（比如说 dummy、fake）的站点
　　
　　acl allowed_clients src 192.168.0.1/255.255.255.0
　　acl banned_sites url_regex dummy fake
　　http_access deny banned_sites
　　http_access allow allowed_machibes
　　在实际应用中，不需要把需屏蔽的所有站点或字词都列在上面，可以先保存在一个文件
　　中（请查看 /etc 目录中的 banned.list文件）ACL 将从这个文件中读出所需信息用以
　　屏蔽被禁止的站点。
　　
　　acl allowed_clients src 192.168.0.1/255.255.255.0
　　acl banned_sites url_regex "/etc/banned.list"
　　http_access deny banned_sites
　　http_access allow allow