HPUX做代理服務器

　　 
　　在系統安裝完成后，可根據以下配置Proxy：

1.基本配置 

安裝完成后，接下來要對Squid的運行進行配置。所有項目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明，相當于一篇用戶手冊，對配置有任何疑問都可以參照解決。 

在這個例子中，代理服務器同時也是網關，內部網絡接口eth0的IP地址為192.168.0.1，外部網絡接口eth1的IP地址為202.103.x.x。下面是一個基本的代理所需要配置選項： 

http_port 192.168.0.1:3128 

默認端口是3128，當然也可以是任何其它端口，只要不與其它服務發生沖突即可。為了安全起見，在前面加上IP地址，Squid就不會監聽外部的網絡接口。 

下面的配置選項是服務器管理者的電子郵件，當錯誤發生時，該地址會顯示在錯誤頁面上，便于用戶聯系： 

cache_mgr start@soocol.com 

以下這些參數告訴Squid緩存的文件系統、位置和緩存策略： 

cache_dir ufs /var/squid 

cache_mem 32MB 

cache_swap_low 90 

cache_swap_high 95 

在這里，Squid會將/var/squid目錄作為保存緩存數據的目錄，每次處理的緩存大小是32兆字節，當緩存空間使用達到95%時，新的內容將取代舊的而不直接添加到目錄中，直到空間又下降到90%才停止這一活動。如果不想Squid緩存任何文件，如某些存儲空間有限的專有系統，可以使用null文件系統（這樣不需要那些緩存策略）： 

cache_dir null /tmp 

下面的幾個關于緩存的策略配置中，較主要的是第一行，即用戶的訪問記錄，可以通過分析它來了解所有用戶訪問的詳盡地址： 

cache_aclearcase/" target="_blank" >ccess_log /var/squid/access.log 

cache_log /var/squid/cache.log 

cache_store_log /var/squid/store.log 

下面這行配置是在較新版本中出現的參數，告訴Squid在錯誤頁面中顯示的服務器名稱： 

visible_hostname No1.proxy 

以下配置告訴Squid如何處理用戶，對每個請求的IP地址作為單獨地址處理： 

client_mask 255.255.255.255 

如果是普通代理服務器，以上的配置已經足夠。但是很多Squid都被用來做透明代理。所謂透明代理，就是客戶端不知道有代理服務器的存在，當然也不需要進行任何與代理有關的設置，從而大大方便了系統管理員。相關的選項有以下幾個： 

httpd_accel_host virtual 

httpd_accel_port 80 

httpd_accel_with_proxy on 

httpd_accel_user_host_header on 

在Linux上，可以用iptables/ipchains直接將對Web端口80的請求直接轉發到Squid端口3128，由Squid接手，而用戶瀏覽器仍然認為它訪問的是對方的80端口。例如以下這條命令： 

iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128 

就是將192.168.0.200的所有針對80端口的訪問重定向到3128端口。 

所有設置完成后，關鍵且重要的任務是訪問控制。Squid支持的管理方式很多，使用起來也非常簡單（這也是有人寧愿使用不做任何緩存的Squid，也不愿意單獨使用iptables的原因）。Squid可以通過IP地址、主機名、MAC地址、用戶/密碼認證等識別用戶，也可以通過域名、域后綴、文件類型、IP地址、端口、URL匹配等控制用戶的訪問，還可以使用時間區間對用戶進行管理，所以訪問控制是Squid配置中的重點。Squid用ACL（Access Control List，訪問控制列表）對訪問類型進行劃分，用http_access deny 或allow進行控制。根據需求首先定義兩組用戶advance和normal，還有代表所有未指明的用戶組all及不允許上網的baduser，配置代碼如下： 

acl advance 192.168.0.2-192.168.0.10/32 

acl normal src 192.168.0.11-192.168.0.200/32 

acl baduser src 192.168.0.100/32 

acl baddst dst www.soocol.com 

acl all src 0.0.0.0/0 

http_access deny baduser 

http_access allow advance 

http_access allow normal 

可以看出，ACL的基本格式如下： 

acl 列表名稱 控制方式 控制目標 

比如acl all src 0.0.0.0/0，其名稱是all，控制方式是src源IP地址，控制目標是0.0.0.0/0的IP地址，即所有未定義的用戶。出于安全考慮，總是在最后禁止這個列表。 

下面這個列表代表高級用戶，包括IP地址從192.168.0.2到192.168.0.10的所有計算機： 

acl advance 192.168.0.2-192.168.0.20/32 

下面這個baduser列表只包含一臺計算機，其IP地址是192.168.0.100： 

acl baduser 192.168.0.100/32 

ACL寫完后，接下來要對它們分別進行管理，代碼如下： 

http_access deny baduser 

http_access allow advance 

http_access allow normal 

上面幾行代碼告訴Squid不允許baduser組訪問Inte.net，但advance、normal組允許（此時還沒有指定詳細的權限）。由于Squid是按照順序讀取規則，會首先禁止baduser，然后允許normal。如果將兩條規則順序顛倒，由于baduser在normal范圍中，Squid先允許了所有的normal，那么再禁止baduser就不會起作用。 

特別要注意的是，Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如，當一個用戶訪問代理服務器時，Squid會順序測試Squid中定義的所有規則列表，當所有規則都不匹配時，Squid會使用與最后一條相反的規則。就像上面這個例子，假設有一個用戶的IP地址是192.168.0.201，他試圖通過這臺代理服務器訪問Internet，會發生什么情況呢？我們會發現，他能夠正常訪問，因為Squid找遍所有訪問列表也沒有和192.168.0.201有關的定義，便開始應用規則，而最后一條是deny，那么Squid默認的下一條處理規則是allow，所以192.168.0.201反而能夠訪問Internet了，這顯然不是我們希望的。所以在所有squid.conf中，最后一條規則永遠是http_access deny all，而all就是前面定義的“src 0.0.0.0”。 

2.高級控制 

前面說過，Squid的控制功能非常強大，只要理解Squid的行為方式，基本上就能夠滿足所有的控制要求。下面就一步一步來了解Squid是如何進行控制管理的。 

通過IP地址來識別用戶很不可靠，比IP地址更好的是網卡的MAC物理地址。要在Squid中使用MAC地址識別，必須在編譯時加上“--enable-arp-acl”選項，然后可以通過以下的語句來識別用戶： 

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... 

它直接使用用戶的MAC地址，而MAC地址一般是不易修改的，即使有普通用戶將自己的IP地址改為高級用戶也無法通過，所以這種方式比IP地址可靠得多。 

假如不想讓用戶訪問某個網站應該怎么做呢？可以分為兩種情況：一種是不允許訪問某個站點的某個主機，比如ok的主機是ok.sina.com.cn，而其它的新浪資源卻是允許訪問的，那么ACL可以這樣寫： 

acl sinapage dstdomain ok.sina.com.cn 

... ... 

http_access deny ok 

... ... 

由此可以看到，除了ok，其它如www.sina.com.cn、news.sina.com.cn都可以正常訪問。 

另一種情況是整個網站都不許訪問，那么只需要寫出這個網站共有的域名即可，配置如下： 

acl qq dstdomain .tcccent.com.cn 

注意tcccent前面的“.”，正是它指出以此域名結尾的所有主機都不可訪問，否則就只有tcccent.com.cn這一臺主機不能訪問。 

如果想禁止對某個IP地址的訪問，如202.118.2.182，可以用dst來控制，代碼如下： 

acl badaddr dst 202.118.2.182 

當然，這個dst也可以是域名，由Squid查詢DNS服務器將其轉換為IP。 

還有一種比較廣泛的控制是文件類型。如果不希望普通用戶通過代理服務器下載MP3、AVI等文件，完全可以對他們進行限制，代碼如下： 

acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$ 

http_access deny mmxfile 

看到regex，很多讀者應該心領神會，因為這條語句使用了標準的規則表達式（又叫正則表達式）。它將匹配所有以.mp3、.avi等結尾的URL請求，還可以用-i參數忽略大小寫，例如以下代碼： 

acl mmxfile urlpath_regex -i \.mp3$ 

這樣，無論是.mp3還是.MP3都會被拒絕。當然，-i參數適用于任何可能需要區分大小寫的地方，如前面的域名控制。 

如果想讓普通用戶只在上班時間可以上網，而且是每周的工作日，用Squid應當如何處理呢？看看下面的ACL定義： 

acl worktime time MTWHF 8:30-12:00 14:00-18:00 

http_access deny !worktime 

首先定義允許上網的時間是每周工作日（星期一至星期五）的上午和下午的固定時段，然后用http_access 定義所有不在這個時間段內的請求都是不允許的。 

或者為了保證高級用戶的帶寬，希望每個用戶的并發連接不能太多，以免影響他人，也可以通過Squid控制，代碼如下： 

acl conncount maxconn 3 

http_access deny conncount normal 

http_access allow normal 

這樣，普通用戶在某個固定時刻只能同時發起三個連接，從第四個開始，連接將被拒絕。 

總之，Squid的ACL配置非常靈活、強大，更多的控制方式可以參考squid.conf.default。 

3.總結 

下面把整個squid.conf總結一下： 

# 服務器配置 

http_port 192.168.0.1:3128 

cache_mgr start@soocol.com 

cache_dir null /tmp 

cache_access_log /var/squid/access.log 

cache_log /var/squid/cache.log 

cache_store_log /var/squid/store.log 

visible_hostname No1.proxy 

client_mask 255.255.255.255 

httpd_accel_host virtual 

httpd_accel_port 80 

httpd_accel_with_proxy on 

httpd_accel_user_host_header on 

# 用戶分類 

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... 

acl normal proxy_auth REQUIED 

acl all src 0.0.0.0 

# 行為分類 

acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$ 

acl conncount maxconn 3 

acl worktime time MTWHF 8:30-12:00 14:00-18:00 

acl sinapage dstdomain ok.sina.com.cn 

acl qq dstdomain .tcccent.com.cn 

# 處理 

http_access allow advance 

http_access deny conncount normal 

http_access deny !worktime 

http_access deny mmxfile 

http_access deny sinapage 

http_access deny qq 

http_access allow normal 

配置后的狀況是，advance組可以不受任何限制地訪問Internet，而normal組則只能在工作時間上網，而且不能下載多媒體文件，不能訪問某些特定的站點，而且發送請求不能超過3個。 

通過本文的介紹，它可以了解Squid的基本能力。當然，它的能力遠不止此，可以建立強大的代理服務器陣列，可以幫助本地的Web服務器提高性能，可以提高本地網絡的安全性等。要想發揮它的功效，還需要進一步控制。

原文轉自：http://www.kjueaiud.com