Squid代理服务器应用案例 多出口多用户认证上网7.docVIP

【51CTO独家特稿】最近帮朋友接了个小项目，客户在他们的美国机房租了几台服务器，然后想在上面做上网用的代理服务器，供客户在国内使用。具体需求如下： 1、客户的这台服务器具有多个出口ip地址 2、客户希望使用认证的方式使用代理服务器上网 3、客户希望通过不同的认证用户实现从不同的出口ip访问网络 4、隐藏代理信息，隐藏真实上网ip 此客户需求相当明确，根据上面罗列，条理也很清晰。本文的目的就是向大家介绍笔者实现这个需求的思路和步骤。 这里先看下我设计的逻辑图： 根据图中所示，红色的用户1会通过红色的出口ip1访问internet，绿色的用户2会通过绿色的出口ip2访问internet，用户3和用户4同样对应相应颜色的出口访问internet。 接下来根据上面的需求进行逐一的分解。 一、需求分析 1、服务器具有多个出口ip地址 这个没什么可说的，客户的出口ip为： 2、使用认证的方式使用代理服务器上网 这里要用到squid的认证功能。squid的认证功能大类包括basic_auth，digest_auth，external_acl，negotiate_auth，ntlm_auth这5种（注：squid-2.7.STABLE9版本），每个大类下面还有具体的认证方式，如NCSA，LDAP，DB等等，具体支持哪些可以去这些目录下面看。 笔者在这里主要介绍的是NCSA的方式，此种认证方式类似apache的auth认证方式，通过用户名密码来验证，密码文件也是通过htpasswd程序来创建。后面会给出具体配置。 3、通过不同的认证用户实现从不同的出口ip访问网络 先说实现不同出口ip访问网络，这个主要是依靠squid的tcp_outgoing_address配置实现的，此参数可以根据source ip或者用户名的不同，分配不同的出口ip出去。 如此一来，搭配第二个需求中的用户验证，正好就可以实现第三个需求了。后面会给出具体的配置。 4、隐藏代理信息，隐藏真实上网ip 这个需求很多人应该都想到使用什么配置文件了，对，就是squid的header_access这个参数。主要就是隐藏掉HTTP_VIA，VIA和X-forwarded-for。后面会给出具体配置。 二、安装配置 首先要做的就是下载一个squid安装包（下载地址）。笔者这里使用的是2.7 STABLE9，操作的当前目录是/tmp，下面所有涉及到目录的都是基于此目录。squid源文件路径是/tmp/squid-2.7.STABLE9.tar.gz 安装步骤如下： tar zxvf squid-2.7.STABLE9.tar.gz cd squid-2.7.STABLE9 ./configure --prefix=/usr/local/squid --enable-async-io=320 --enable-icmp --enable-delay-pools --enable-kill-parent-hack --enable-snmp --enable-arp-acl --enable-htcp --enable-cache-digests --enable-removal-policies=heap,lru --enable-default-err-language=Simplify_Chinese --enable-x-accelerator-vary --enable-follow-x-forwarded-for --with-aufs-threads=320 --with-pthreads --with-dl --with-maxfd=65536 --enable-basic-auth-helpers=DB,NCSA --enable-digest-auth-helpers=password --enable-large-cache-files --with-large-files make make install 如果以上步骤中无报错，squid就被正确安装完毕了。 接下来执行： cd /usr/local/squid/ #（之后的所有操作均在此目录下完成） grep -v ^# etc/squid.conf.default|uniq etc/squid.conf 将创建一份未注释的配置文件。 接下来编辑此文件 vi etc/squid.conf 修改编辑的内容如下： 在 20 acl CONNECT method CONNECT 21 22 http_access allow manager localhost 这两行中间加入：include /usr/local/squid/etc/auth.conf。auth.conf文件的内容后面会有详细