第 6 章 配置 Squid 缓存代理服务器
Squid 是一个代理服务器,可缓存内容以减少带宽并更快地加载 Web 页面。本章论述了如何将 Squid 设置为 HTTP、HTTPS 和 FTP 协议的代理,以及验证和限制访问。
6.1. 将 Squid 设置为没有身份验证的缓存代理
您可以将 Squid 配置为没有身份验证的缓存代理。此流程会根据 IP 范围限制对代理的访问。
先决条件
-
流程假设
/etc/squid/squid.conf
文件是由squid
软件包提供的。如果您在之前编辑了这个文件,请删除该文件并重新安装该软件包。
流程
安装
squid
软件包:# yum install squid
编辑
/etc/squid/squid.conf
文件:调整
localnet
访问控制列表(ACL)以匹配应该允许使用代理的 IP 范围:acl localnet src 192.0.2.0/24 acl localnet 2001:db8:1::/64
默认情况下,
/etc/squid/squid.conf
文件包含http_access allow localnet
规则,该规则允许使用localnet
ACL 中指定的所有 IP 范围的代理。请注意,您必须在http_access allow localnet
规则前指定所有localnet
ACL。重要删除所有与您的环境不匹配的现有
acl localnet
条目。以下 ACL 存在于默认配置中,并将
443
定义为使用 HTTPS 协议的端口:acl SSL_ports port 443
如果用户也可以在其它端口上使用 HTTPS 协议,请为每个端口添加 ACL:
acl SSL_ports port port_number
更新
acl Safe_ports
规则列表,以配置 Squid 可对哪个端口建立连接。例如,若要配置使用代理的客户端只能访问端口 21(FTP)、80(HTTP)和 443(HTTPS)上的资源,请在配置中只保留以下acl Safe_ports
语句:acl Safe_ports port 21 acl Safe_ports port 80 acl Safe_ports port 443
默认情况下,配置包含
http_access deny !Safe_ports
规则,该规则定义禁止对定义在Safe_ports
ACL 中端口的访问。在
cache_dir
参数中配置缓存类型、缓存目录的路径、缓存大小以及特定于其它缓存类型的设置:cache_dir ufs /var/spool/squid 10000 16 256
有了这些设置:
-
squid 使用
ufs
缓存类型。 -
Squid 将其缓存存储在
/var/spool/squid/
目录中。 -
缓存增长到
10000
MB。 -
Squid 在
/var/spool/squid/
目录中创建16
level-1 子目录。 Squid 在每个 level-1 目录中创建
256
个子目录。如果您没有设置
cache_dir
指令,Squid 会在内存中存储缓存。
-
squid 使用
如果您在
cache_dir
参数中设置了与/var/spool/squid/
不同的缓存目录:创建缓存目录:
# mkdir -p path_to_cache_directory
配置缓存目录的权限:
# chown squid:squid path_to_cache_directory
如果您在
enforcing
模式下运行 SELinux,请为缓存目录设置squid_cache_t
上下文:# semanage fcontext -a -t squid_cache_t "path_to_cache_directory(/.*)?" # restorecon -Rv path_to_cache_directory
如果系统上没有
semanage
工具,请安装policycoreutils-python-utils
软件包。
在防火墙中打开
3128
端口:# firewall-cmd --permanent --add-port=3128/tcp # firewall-cmd --reload
启用并启动
squid
服务:# systemctl enable --now squid
验证
要验证代理是否正常工作,请使用 curl
工具下载网页:
# curl -O -L "https://www.redhat.com/index.html" -x "proxy.example.com:3128"
如果 curl
没有显示任何错误,并且 index.html
文件可以下载到当前目录中,那么代理工作正常。