CentOS7安装部署squid服务(透明代理+反向代理)
一、squid服务介绍
Squid是一个高性能的代理缓存服务器,Squid支持FTP、gopher、HTTPS和HTTP协议。和一般的代理缓存软件不同,Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。
squid服务有三种常用代理模式:分别为传统代理、透明代理(正向代理)、反向代理。
特别说明:如果服务器主机时间不同步,可能将会出现一直缓存失败的情况,即TCP_MISS。时间同步配置如下
echo '*/1 * * * * /usr/sbin/ntpdate ntp1.aliyun.com>/dev/null 2>&1' >>/var/spool/cron/root crontab -l
二、安装squid服务
1、主机环境
操作系统:CentOS7.5
主机名:squid01
eth0:10.0.0.17
2、安装squid服务之前系统优化
#增加文件描述符并检查 echo '* - nofile 65535' >>/etc/security/limits.conf tail -1 /etc/security/limits.conf #调整端口范围并检查 cat /proc/sys/net/ipv4/ip_local_port_range echo "net.ipv4.ip_local_port_range = 4000 65000">>/etc/sysctl.conf sysctl -p|grep port_range cat /proc/sys/net/ipv4/ip_local_port_range
3、创建squid用户运行squid服务
useradd -s /sbin/nologin -M squid
4、下载并安装squid(这里采用编译安装squid)
#下载安装包 cd /usr/local/src/ wget http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.20.tar.gz #解压tar包并进入解压之后的目录 tar -xvf squid-3.5.20.tar.gz cd squid-3.5.20 #编译参数并make和make install ./configure --prefix=/usr/local/squid3.5.20 \ --enable-async-io=100 \ --with-pthreads \ --enable-storeio="aufs,diskd,ufs" \ --enable-removal-policies="heap,lru" \ --enable-icmp \ --enable-delay-pools \ --enable-useragent-log \ --enable-referer-log \ --enable-kill-parent-hack \ --enable-cachemgr-hostname=localhost \ --enable-arp-acl \ --enable-default-err-language=English \ --disable-poll \ --disable-wccp \ --disable-wccpv2 \ --disable-ident-lookups \ --disable-internal-dns \ --enable-basic-auth-helpers="NCSA" \ --enable-stacktrace \ --with-large-file \ --disable-mempools \ --with-filedescriptors=64000 \ --enable-ssl \ --enable-x-accelerator-vary \ --disable-snmp \ --with-aio \ --enable-linux-netfilter \ --enable-linux-tproxy make && make install echo $?
5、创建squid软链接
ln -s /usr/local/squid3.5.20 /usr/local/squid
6、配置squid环境变量
export PATH="$PATH:/usr/local/squid/sbin/:/usr/local/squid/bin/" echo "PATH="$PATH:/usr/local/squid/sbin/:/usr/local/squid/bin/"">>/etc/profile source /etc/profile echo $PATH
7、编辑squid配置文件(vim /usr/local/squid/etc/squid.conf)
*设置运行squid服务的用户和组 #run user cache_effective_user squid cache_effective_group squid *设置可见主机名 #hostname visible_hostname squid01 *设置管理员联系邮件 #admin email cache_mgr wutaokl@163.com *打开cache_dir注释 cache_dir ufs /usr/local/squid3.5.20/var/cache/squid 100 16 256
8、squid服务管理脚本
#!/bin/bash #squid Manage case "$1" in start) /usr/local/squid/sbin/squid -s ;; stop) /usr/local/squid/sbin/squid -k shutdown ;; restart) /usr/local/squid/sbin/squid -k reconfigure ;; parse) #检查语法 /usr/local/squid/sbin/squid -k parse ;; check) /usr/local/squid/sbin/squid -k check ;; *) echo "Usage:$0 start|stop|restart|check|parse" esac
9、授权目录
chown -R squid /usr/local/squid/var
10、初始化缓存目录
squid -z /usr/local/squid/var/cache
11、检查squid配置文件无误之后启动squid服务并检查服务是否运行(这里使用命令行命令启动)
squid -k parse squid -s lsof -i:3128
三 、配置传统代理
1、浏览器设置
2、跟踪access.log日志文件,用浏览器访问网站,访问日志写入access.log
tail -f /usr/local/squid/var/logs/access.log
3、停止squid服务,用浏览器访问网站,出现如下页面
squid -k shutdown
#到此,传统代理配置完成。
四、配置透明代理
1、实验环境
主机01:主机名->squid01 eth0->10.0.0.17 eth1->172.16.2.17 DNS->223.5.5.5
主机02:主机名->squid02 eth0->172.16.2.18 gw->172.16.2.17 DNS->223.5.5.5
2、实验说明
squid01即时squid代理服务器又是防火墙服务器,squid02表示公司内网工作环境,实验环境架构图如下
3、在squid01上配置透明代理,编辑squid.conf文件
http_port 3128 transparent cache_mem 99 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 8192 KB minimum_object_size 0 KB maximum_object_size_in_memory 4096 KB memory_replacement_policy lru
4、检查配置文件并重启squid服务
squid -k parse
squid -k reconfigure
lsof -i:3128
5、在squid01安装iptables防火墙
yum install -y iptables
6、把内网访问的80端口映射到squid01服务器的3128端口上,并让内容可以上网
iptables -F iptables -F -t nat iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o eth0 -s 172.16.2.0/24 -j MASQUERADE
7、启动路由转发功能
echo "net.ipv4.ip_forward = 1">>/etc/sysctl.conf
sysctl -p
8、添加内网上网网关
roude -add default gw 172.16.2.17
9、在squid01上跟踪access.log访问日志
tail -f /usr/local/squid/var/logs/access.log
10、在squid02上访问百度(多curl几次)
curl baidu.com
11、在squid01的访问日志出现TCP_MEM_HIT/200说明透明代理搭建成功,如下所示
五、搭建反向代理
1、实验环境
主机01:主机名->squid01 eth0->10.0.0.17
主机02:主机名->squid01 eth0->10.0.0.18 (充当web服务器)
2、在squid01配置反向代理,编辑squid.conf文件
http_port 80 accel vhost vport cache_peer 10.0.0.18 parent 80 0 no-query no-digest max-conn=32 originserver #代理的机器 hosts_file /etc/hosts request_header_max_size 128 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 offline_mode on #离线模式
3、检查squid.conf配置文件并重启squid服务
squid -k parse
squid -k reconfigure
lsof -i:80
4、增加hosts解析
echo "10.0.0.18 squid02">>/etc/hosts
5、在squid02安装Apache
yum install -y httpd
6、上传或下载一张图片到/var/www/html/下
7、启动httpd服务
systemctl start httpd
lsof -i:80
8、跟踪squid01的access.log访问日志
tail -f /usr/local/squid/var/logs/access.log
9、访问内网的web站点
10、查看access.log日志,出现TCP_IMS_HIT或TCP_MEM_HIT表示squid搭建反向代理并缓存成功
六、squid一些配置参数说明
#提供给squid使用的内存
cache_mem 99 MB
#cache目录使用量大于95%时,开始清理旧的cache
cache_swap_low 90
#cache目录清理到90%时停止
cache_swap_high 95
#设置squid磁盘缓存最大文件,超过8M的文件不保存到硬盘
maximum_object_size 8 MB
#设置squid磁盘缓存最小文件
minimum_object_size 0 KB
#设置squid内存缓存最大文件,超过4M的文件不保存到内存
maximum_object_size_in_memory 4096 KB
#缓存算法
memory_replacement_policy lru
#反向代理的Web源站的域名
cache_peer 10.0.0.18 parent 80 0 no-query no-digest max-conn=32 originserver
#域名映射文件位置
hosts_file /etc/hosts
#请求头部的最大大小
request_header_max_size 128 KB
#ip对应cache的大小为1024
ipcache_size 1024
#缓存IP地址的最低基线
ipcache_low 90
#缓存IP地址的最高基线
ipcache_high 95
#域名全称cache的大小为1024(默认1024)
fqdncache_size 1024
#离线模式
offline_mode on