(如何在CentOS或RHEL上搭建Squid透明Web代理系统.docxVIP

如何在CentOS或RHEL上搭建Squid透明Web代理系统【51CTO精选译文】我们在前一篇教程中介绍了使用用户空间实现的应用程序iptables搭建网关的方法，。本教程将重点介绍将网关变成透明代理服务器。如果客户端没有意识到其请求是通过代理处理的，该代理就被称为“透明”代理。使用透明代理有几个好处。首先，对最终用户来说，透明代理可以改善上网浏览体验，因为缓存了经常访问的网站内容，同时给他们带来的配置开销最小。对管理员来说，透明代理可用于执行各种管理政策，比如内容/URL/IP过滤和速率限制等。代理服务器充当客户端和目的地服务器之间的中介。客户端将请求发送到代理服务器，随后代理服务器评估请求，并采取必要的动作。在本教程中，我们将使用Squid搭建一个Web代理服务器，而Squid是一种健壮的、可定制的、稳定的代理服务器。就个人而言，大概一年来我管理着一台拖有400多个客户端工作站的Squid服务器。虽然平均而言我大概一个月就要重启一次服务，但处理器和存储使用率、吞吐量以及客户端响应时间都表现不错。我们将配置Squid以获得下列拓扑结构。CentOS/RHEL设备有一块网卡（eth0）连接到专有局域网，另一块网卡（eth1）则连接到互联网。Squid的安装想使用Squid搭建透明代理系统，我们首先要添加必要的iptables规则。这些规则应该会帮助你开始上手，不过务必要确保它们与任何的现有配置没有冲突。#?iptables?-t?nat?-A?POSTROUTING?-o?eth1?-j?MASQUERADE ?#?iptables?-t?nat?-A?PREROUTING?-i?eth0?-p?tcp?--dport?80?-j?REDIRECT?--to-port?3128?第一条规则将引起来自eth1（广域网接口）的所有出站数据包都有eth1的源IP地址（也就是启用NAT）。第二条规则将把来自eth0（局域网接口）的所有入站HTTP数据包（发往TCP 80）重定向至Squid侦听端口（TCP 3128），而不是直接将其转发到广域网接口。我们使用yum，开始安装Squid。#?yum?install?squid?现在，我们将改动Squid配置，将其变成透明代理系统。我们将局域网子网（比如/24）定义为有效的客户端网络。不是来自该局域网子网的任何流量将被拒绝访问。#?vim?/etc/squid/squid.conf?visible_hostname?proxy.example.tst?http_port?3128?transparent ?##?定义我们的网络##?acl?our_network?src?/24 ?##?确保我们的网络允许访问##?http_access?allow?our_network?##?最后拒绝其他的所有流量##?http_access?deny?all?现在我们开启Squid服务，确保它已被添加到启动项。#?service?squid?start ?#?chkconfig?squid?on?鉴于Squid已搭建并运行起来，我们可以测试其功能了，为此只需监测Squid日志。从连接至该局域网的计算机访问任何URL，你应该会在日志中看到类似以下的内容。#?tailf?/var/log/squid/access.log ?1402987348.816?1048?0?TCP_MISS/302?752 ?GET?/?-?DIRECT/78 ?text/html ?1402987349.416?445?0?TCP_MISS/302?762 ?GET?.bd/??-?DIRECT/173.194.78. ?94?text/html?据日志文件显示，IP地址为0的机器试图访问，Squid处理了这个请求。一种最基本的Squid代理服务器现已准备就绪。在本教程的余下部分，我们将调整Squid的一些参数，以控制出站流量。请注意：这仅仅为了演示。实际的政策应加以定制，以满足你的具体要求。准备工作在开始配置之前，我们先明确几个要点。Squid配置解析在阅读配置文件时，Squid以一种自上而下的方式来解析文件。自上而下地解析规则，直到发现匹配为止。一旦发现匹配，该规则就被执行；其下面的其他任何规则将被忽视。所以，添加过滤规则的最佳实践就是，按下列顺序指定规则。explicit allowexplicit denyallow entire LANdeny allSquid重启与Squid重新配置一旦Squid配置经过改动，Squid服务就需要重启。重启服务可能需要一段时间，有时要几分钟，长短取决于活动连接的数量。在这个期间，局域网用户无法访问互联网。想避免这种服务中断，我们可以使用下面这个命令，而不是使用“service s