Windows下配置Squid反向代理服务器
Squid是一款类Unix系统下非常流行的服务器软件,其最重要的功能就是在客户端和服务端之间建立缓存。因而Squid可以用作反向代理,部署多级缓存或者搭建CDN等,无论名称是什么,本质上都是一样的。目前Windows下也有Squid的移植版本,可以应对使用Windows环境的场景。这里是下载地址和文档,如果需要了解Squid技术细节可以看看《Squid: The Definitive Guide》这本书的翻译版本。
一、安装Squid
如果下载Binaries版本,直接解压到c:\squid。这是软件的默认安装路径,如果需要安装到其他路径下,则需要修改更多配置文件中关于路径的配置项,另外安装路径不能有空格,官方建议配置文件中对于路径的配置采用斜杠“/”代替“\”(由于类Unix系统使用“/”),即配置文件中对于路径c:\squid应该写成c:/squid。
接下来找到c:\squid\etc目录,将cachemgr.conf.default,mime.conf.default,squid.conf.default三个文件复制改为cachemgr.conf,mime.conf,squid.conf。这些是Squid配置文件,其中squid.conf则是基础,后面的工作更多的是修改这个文件。
在cmd中使用命令c:\squid\sbin\squid -i -n ServerName(当然可以将c:\squid\sbin加入系统的环境变量,以免输入那么长的命令路径)。其中“ServerName”可以自定义,如果名称中包含空格,请用使用双引号。例如:c:\squid\sbin\squid -i -n "Server Name"。在cmd中随时可以使用c:\squid\sbin\squid -h 查看关于命令参数的帮助。
对于默认的配置文件,我们先命令net start SquidProxy启动Squid看看(SquidProxy是在安装Squid服务时起的名字,在services.msc中可以查看),但是会出现一些问题,服务无法启动,这是可以通过c:\squid\sbin\squid.exe.log和c:\squid\var\cache.log日志查看出现的问题。
一般情况下是c:\squid\var\cache目录没有建立,可以手工在目录下建立;或者swap directories没有建立,可以使用命令c:\squid\sbin\squid -z建立。这时服务可以正常启动了。
二、配置Squid
接下里主要配置c:\squid\etc\squid.conf这个文件。强烈建议使用Notepad++等文本工具进行编辑(可以轻松高亮相同词汇),以便减轻查找的配置项的难度。
配置之前需要明确需求并搭建满足该需求的网络环境,下面以配置Web反向代理服务器为例讨论Squid的配置:该反向代理服务器将作为Web服务器的代理和缓存层,这里假设外网地址为222.0.0.0/24(客户端访问),内网地址为172.16.0.0/24(用于Squid服务与Web站点之间或者Squid服务之间通信,这里用Squid服务和Web站点的提法,而不是Squid服务器和Web服务器,原因是一台服务器上可能有多个Squid服务或Web站点,我们假设一台服务器上只有一个Squid服务或Web站点)。
考虑有以下几种场景:
场景1:单站点代理,Squid服务A(222.0.0.10, 172.16.0.10)为Web站点A(172.16.0.20)提供反向代理服务,这是最简单的场景,squid.conf配置关键项可以简单如下:
#建立一个名称为(all),客户端地址(src)为任意(all)的访问控制列表(acl)。
acl all src all
#允许(allow)名称为(all)的控制列表访问Squid服务
http_access allow all
#设置80端口为Squid服务监听客户端访问的端口
http_port 80
#建立一个名称为(abc)的缓存点,其上级(parent)为Web站点A(172.16.0.20:80),该Web站点是源服务器(originserver)
cache_peer 172.16.0.20 parent 80 0 no-query originserver name=abc
场景2:多站点代理,Squid服务A(222.0.0.10, 172.16.0.10)为Web站点A(172.16.0.20)和Web站点B(172.16.0.30)同时提供反向代理服务,假设Web站点A域名www.a.com和Web站点B域名www.b.com都指向222.0.0.10,squid.conf配置关键项如下:
#建立一个名称为(aclweba),服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)
acl aclweba dstdomain www.a.com
acl aclwebb dstdomain www.b.com
#允许(allow)名称为(aclweba)的访问控制列表访问
http_access allow aclweba
http_access allow aclwebb
#设置80端口为Squid服务监听客户端访问的端口,加速模式(vhost),将转发主机头至后端服务器
http_port 80 vhost #建立一个名称为(weba)的缓存点,其上级(parent)为Web站点A(172.16.0.20:80),该Web站点是据服务器(originserver)cache_peer 172.16.0.20 parent 80 0 no-query originserver name=weba cache_peer 172.16.0.30 parent 80 0 no-query originserver name=
webb
#将缓存点(weba)限制为域名(www.a.com)访问,即使用www.a.com才能访问Web站点A,有点IIS中主机头名的意思
cache_peer_domain weba www.a.com
cache_peer_domain webb www.b.com
#允许(allow)名称为(aclweba)的访问控制列表访问缓存点(weba)
cache_peer_access weba allow aclweba cache_peer_access webb allow aclwebb #设置缓存使用内存大小 cache_mem 1024
MB
#设置存储路径,存储格式(ufs),总缓存大小(10240MB),一级缓存(16MB),二级缓存(253MB)
cache_dir ufs c:/squid/var/cache 10240 16 256场景3:实现Web站点负载均衡,Squid服务A(222.0.0.10, 172.16.0.10)为部署在不同服务器上的多个Web站点A:Web站点A1(172.16.0.20)和Web站点A2(172.16.0.30)提供反向代理服务,实现负载均衡,假设Web站点A域名www.a.com指向222.0.0.10,squid.conf配置关键项如下:
#建立一个名称为(aclweba),服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)
acl aclweba dstdomain www.a.com
#也可以建立允许所有人访问的访问控制列表(acl),可以建立针对诸如来源IP(src)、目的IP(dst)、目的域名(dstdomain)等的访问控制列表。
#acl aclweba src all
#允许(allow)名称为(aclweba)的访问控制列表访问 http_access allow aclweba
#设置80端口为Squid服务监听客户端访问的端口,加速模式(vhost),将转发主机头至后端服务器 http_port 80 vhost #建立名称分别为(weba1、weba2)的缓存点,通过轮询(round-robin)访问其上级(parent)Web站点A1(172.16.0.20:80)或Web站点A2(172.16.0.20:80),这些Web站点是源服务器(originserver)
cache_peer 172.16.0.20 parent 80 0 no-query originserver round-robin name=weba1 cache_peer 172.16.0.30 parent 80 0 no-query originserver round-robin name=weba2 #设置缓存使用内存大小 cache_mem 1024 MB #设置存储路径,存储格式(ufs),总缓存大小(10240MB),一级缓存(16MB),二级缓存(253MB)
cache_dir ufs c:/squid/var/cache 10240 16 256
场景4:在场景3的基础上增加Squid服务A2(222.0.0.11, 172.16.0.11),与Squid服务A实现负载均衡(简单的可以通过DNS轮询机制),两个Squid服务配置基本一致,还需在配置中各增加Squid服务A和Squid服务A2互为邻居,并开放相关端口。
#建立一个名称为(aclweba),服务端域名(dstdomain)为(www.a.com)的访问控制列表(acl)
acl aclweba dstdomain www.a.com
#也可以建立允许所有人访问的访问控制列表(acl),可以建立针对诸如来源IP(src)、目的IP(dst)、目的域名(dstdomain)等的访问控制列表。
#acl aclweba src all
#建立一个名称为(localnet),来源IP为(172.16.0.0/24)的访问控制列表(acl),供内部通信
acl localnet src 172.16.0.0/24
#允许(allow)名称为(aclweba)的访问控制列表http访问
http_access allow aclweba
#允许(allow)名称为(localnet)的访问控制列表icp访问
icp_access allow localnet
#设置80端口为Squid服务监听客户端访问的端口,加速模式(vhost),将转发主机头至后端服务器 http_port 80 vhost
#设置3130为Squid服务器将的通讯端口
icp_port 3130
#Squid服务互为邻居,通过ICP查询其他Squid服务中自己没有的缓存cache_peer 172.16.0.10 sibling 80 3130
cache_peer 172.16.0.11 sibling 80 3130
#建立名称分别为(weba1、weba2)的缓存点,通过轮询(round-robin)访问其上级(parent)Web站点A1(172.16.0.20:80)或Web站点A2(172.16.0.20:80),这些Web站点是源服务器(originserver)
cache_peer 172.16.0.20 parent 80 0 no-query originserver round-robin name=weba1
cache_peer 172.16.0.30 parent 80 0 no-query originserver round-robin name=weba2
#设置缓存使用内存大小
cache_mem 1024 MB
#设置存储路径,存储格式(ufs),总缓存大小(10240MB),一级缓存(16MB),二级缓存(253MB)
cache_dir ufs c:/squid/var/cache 10240 16 256
每次修改完配置无需重启服务,使用命令 c:\squid\sbin\squid -k reconfigure -n SquidProxy使服务生效。
要强行卸载服务可以net stop SquidProxy停止服务后sc delete SquidProxy卸载。