Squid 代理服务器

一、Squid 代理服务器

Squid 主要提供缓存加速、应用层过滤控制的功能。

1、代理的工作机制

• 代替客户机向网站请求数据，从而可以隐藏用户的真实 IP 地址。
• 将获得的网页数据（静态 Web 元素）保存到缓存中并发送给客户机，以便下次请求相同的数据时快速响应。
   

2、 代理服务器的概念

代理服务器是一个位于客户端和原始（资源）服务器之间的服务器，为了从原始服务器取得内容，客户端向代理服务器发送一个请求并指定目标原始服务器，然后代理服务器向原始服务器转交请求并将获得的内容返回给客户端。

缓存代理对于 Web 至关重要，尤其对于大型高负载 Web 站点。缓存可作为性能优化的一个重要手段，可以极大减轻后端服务器的负载。通常对于静态资源，即较少经常更新的资源，如图片，css 或 js 等进行缓存，从而在每次刷新浏览器的时候，不用重新请求，而是从缓存里面读取，这样就可以减轻服务器的压力。

3、代理服务器的作用

• 资源获取：代替客户端实现从原始服务器的资源获取；
• 加速访问：代理服务器可能离原始服务器更近，从而起到一定的加速作用；
• 缓存作用：代理服务器保存从原始服务器所获取的资源，从而实现客户端快速的获取；
• 隐藏真实地址：代理服务器代替客户端去获取原始服务器资源，从而隐藏客户端真实信息。

 4、Squid 代理的类型

传统代理：适用于 Internet 正向代理，需在客户机指定代理服务器的地址和端口。

透明代理：客户机不需指定代理服务器的地址和端口，而是通过默认路由、防火墙策略将 Web 访问重定向给代理服务器处理。

反向代理：如果 Squid 反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端；否则反向代理服务器将向后台的 WEB 服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存在本地，供下一个请求者使用。

二：安装 Squid 服务

完事第一步，先关防火墙

1. systemctl stop firewalld
2. systemctl disable firewalld
3. setenforce 0

1、 编译安装 Squid

1. yum -y install gcc gcc-c++ make
2. tar zxvf squid-3.5.28.tar.gz -C /opt/
3. cd /opt/squid-3.5.28
4.  
5. ./configure --prefix=/usr/local/squid \ #指定安装目录路径
6. --sysconfdir=/etc \ #指定配置文件路径
7. --enable-arp-acl \ #MAC地址管控，防止客户端使用IP欺骗
8. --enable-linux-netfilter \ #使用内核过滤
9. --enable-linux-tproxy \ #支持透明模式
10. --enable-async-io=100 \ #异步IO，提升存储性能
11. --enable-err-language="Simplify_Chinese" \ #错误信息的显示语言
12. --enable-underscore \ #允许URL中有下划线
13. --disable-poll \ #关闭默认使用 poll 模式
14. --enable-epoll \ #开启epoll模式提升性能
15. --enable-gnuregex #使用GNU正则表达式
16. ----------------------------------------------------------------------------------------------------------
17.  
18. ./configure --prefix=/usr/local/squid \
19. --sysconfdir=/etc \
20. --enable-arp-acl \
21. --enable-linux-netfilter \
22. --enable-linux-tproxy \
23. --enable-async-io=100 \
24. --enable-err-language="Simplify_Chinese" \
25. --enable-underscore \
26. --disable-poll \
27. --enable-epoll \
28. --enable-gnuregex
29.  
30. make && make install
31.  
32. ln -s /usr/local/squid/sbin/* /usr/local/sbin/
33.  
34. useradd -M -s /sbin/nologin squid
35.  
36. chown -R squid:squid /usr/local/squid/var/ #此目录用于存放缓存文件

 

 2、修改 Squid 的配置文件

1. vim /etc/squid.conf
2. ......
3. --56行--插入
4. http_access allow all #放在 http_access deny all 之前，允许任意客户机使用代理服务，控制规则自上而下匹配
5. http_access deny all
6. http_port 3128 #用来指定代理服务监听的地址和端口(默认的端口号为 3128)
7. --61行--插入
8. cache_effective_user squid #添加，指定程序用户，用来设置初始化、运行时缓存的账号,否则启动不成功
9. cache_effective_group squid #添加，指定账号基本组
10.  
11. coredump_dir /usr/local/squid/var/cache/squid #指定缓存文件目录

 

 3、Squid 的运行控制

1. #检查配置文件语法是否正确
2. squid -k parse
3.  
4. #启动 Squid，第一次启动 Squid 服务时，会自动初始化缓存目录
5. squid -z #-z 选项用来初始化缓存目录
6. squid #启动 squid 服务
7.  
8. netstat -anpt | grep "squid"

启动 Squid，第一次启动 squid 服务时，会自动初始化缓存目录 

 4、创建 Squid 服务脚本

1. vim /etc/init.d/squid
2. #!/bin/bash
3. #chkconfig: 2345 90 25
4. PID="/usr/local/squid/var/run/squid.pid"
5. CONF="/etc/squid.conf"
6. CMD="/usr/local/squid/sbin/squid"
7.  
8. case "$1" in
9. start)
10. netstat -natp | grep squid &> /dev/null
11. if [ $? -eq 0 ]
12. then
13. echo "squid is running"
14. else
15. echo "正在启动 squid..."
16. $CMD
17. fi
18. ;;
19. stop)
20. $CMD -k kill &> /dev/null
21. rm -rf $PID &> /dev/null
22. ;;
23. status)
24. [ -f $PID ] &> /dev/null
25. if [ $? -eq 0 ]
26. then
27. netstat -natp | grep squid
28. else
29. echo "squid is not running"
30. fi
31. ;;
32. restart)
33. $0 stop &> /dev/null
34. echo "正在关闭 squid..."
35. $0 start &> /dev/null
36. echo "正在启动 squid..."
37. ;;
38. reload)
39. $CMD -k reconfigure
40. ;;
41. check)
42. $CMD -k parse
43. ;;
44. *)
45. echo "用法：$0{start|stop|status|reload|check|restart}"
46. ;;
47. esac
48.  
49. #2345是默认自启动级别，如是-代表任何级别都不自启动；90是启动优先级，25是停止优先级，优先级范围是0－100，数字越大，优先级越低。
50. chmod +x /etc/init.d/squid
51. chkconfig --add squid
52. chkconfig --level 35 squid on

 

 三：构建传统代理服务器

环境搭建

主机	操作系统	IP 地址	软件、安装包、工具
Squid-Server	CentOS7	192.168.2.4	squid-3.5.28.tar.gz
Web-Server	CentOS7	192.168.2.6	httpd
客户机	Windows 10	192.168.2.20

1、首先先编译安装 squid，然后修改配置文件

Squid-Server：192.168.2.4

1. vim /etc/squid.conf
2. ......
3. http_access allow all
4. http_access deny all
5. http_port 3128
6. cache_effective_user squid
7. cache_effective_group squid
8. --63行--插入
9. cache_mem 64 MB #指定缓存功能所使用的内存空间大小，便于保持访问较频繁的WEB对象，容量最好为4的倍数，单位为MB，一般设为物理内存的1/3
10. cache_swap_high 95 #cache目录使用量大于95%时，开始清理旧的cache
11. cache_swap_low 90 #cache目录清理到90%时停止
12.  
13. reply_body_max_size 100 MB #允许用户下载的最大文件大小，以字节为单位，当下载超过指定大小的Web对象时，浏览器的报错页面中会出现“请求或访问太大”的提示默认设置0表示不进行限制
14. maximum_object_size 512000 KB #设置squid磁盘缓存最大文件，以KB为单位，超过的文件不保存到硬盘，而是直接转发给用户
15. maximum_object_size_in_memory 512 KB #设置squid内存缓存最大文件，超过的文件不保存到内存
16. minimum_object_size 0 KB 设置squid磁盘缓存最小文件
17.  
18.  
19. service squid restart
20. systemctl restart squid

 2、生产环境中还需要修改防火墙规则

1. iptables -F
2. iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
3. iptables -L INPUT

  Web-Server：192.168.2.6

1. systemctl stop firewalld.service
2. systemctl disable firewalld.service
3. setenforce 0
4. yum -y install httpd
5. systemctl start httpd
6. netstat -natp | grep 80

 3、客户机的代理配置

（1）首先配置客户端 IP 地址

 （2）打开浏览器，配置代理功能

流程：打开 IE 浏览器，工具–>Internet 选项–> 连接–> 局域网设置–> 开启代理服务器（地址：Squid 服务器 IP 地址，端口：3128)

 

 4、验证结果

Squid-Server：192.168.2.4

（1）查看 squid 访问日志的新增记录

1. tail -f /usr/local/squid/var/logs/access.log
2. TCP_MEM_HIT/200

（2） 查看 Web 访问日志的新增记录

1. tail -f /var/log/httpd/access_log
2. 在浏览器输入Web服务器IP地址访问，查看Web服务器访问日志，显示的是由代理服务器替客户机在访问。

（3）客户机验证

客户机；192.168.2.20

 

四：构建透明代理服务器

环境搭建

 

主机	操作系统	IP 地址	软件、安装包、工具
Squid-Server	CentOS7	ens33：192.168.2.4 ens37：12.0.0.1	squid-3.5.28.tar.gz
Web-Server	CentOS7	12.0.0.12	httpd
客户机	Windows 10	192.168.2.20

Squid-Server（ens33：192.168.2.4、ens37：12.0.0.1）

 1、关机，添加网卡

 

 2、然后将双网卡配置好对应的 IP 地址和子网掩码

1. cd /etc/sysconfig/network-scripts/
2. vim ifcfg-ens33
3. IPADDR=192.168.2.4
4. NETMASK=255.255.255.0
5.  
6. cp ifcfg-ens33 ifcfg-ens37
7. vim ifcfg-ens37
8. IPADDR=12.0.0.1
9. NETMASK=255.255.255.0
10.  
11. systemctl restart network
12. ifconfig

 

3、 squid 服务已安装好了（安装 squid 服务前要设置好 yum 源），安装操作按照上面的安装，我在此直接对配置文件修改

1. vim /etc/squid.conf
2. ......
3. http_access allow all
4. http_access deny all
5. #------60行修改添加提供内网服务的IP地址，和支持透明代理选项 transparent
6. http_port 192.168.2.4:3128 transparent
7.  
8. systemctl restart squid
9. netstat -natp | grep 3128

 4、开启路由转发，实现本机中不同网段的地址转发

1. echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
2. sysctl -p

5、 修改防火墙规则

1. iptables -F
2. iptables -t nat -F
3. iptables -t nat -I PREROUTING -i ens33 -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
4. iptables -t nat -I PREROUTING -i ens33 -s 192.168.2.0/24 -p tcp --dport 443 -j REDIRECT --to 3128
5. iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
6. iptables -L
7. iptables -L -t nat

 Web-Server：12.0.0.12

1. systemctl stop firewalld.service
2. systemctl disable firewalld.service
3. setenforce 0
4. vim /etc/sysconfig/network-scripts/ifcfg-ens33
5. systemctl restart network
6. ifconfig

 

 

 6、测试验证

客户机；192.168.2.20

 关闭代理

 访问 http://12.0.0.12

 7、查看 Squid 访问日志的新增记录

1. tail -f /usr/local/squid/var/logs/access.log
2. #Squid代理服务器上的日志可以检测到客户机ip以及访问的目标网站ip

 8、查看 Web 访问日志的新增记录

显示的是由代理服务器的外网口代替客户机在访问

1. tail -f /var/log/httpd/access_log
2. #从日志内容可以看出是代理服务器外网口12.0.0.1访问web服务器12.0.0.12

 五：ACL 访问控制

1、ACL 访问控制概述

• Squid 通过了强大的代理控制机制，通过合理的设置 ACL 并行限制，可以针对源地址、目标地址、访问 URL 的路径、访问的时间等各种条件进行过滤

2、ACL 访问控制步骤

• 在配置文件 Squid.conf 中，ACL 访问控制通过两个步骤来实现

① 使用 ACL 配置项定义需要控制的条件

② 通过 http_accesss 配置像对以定义的列表 “允许” 或 “拒绝” 访问的控制

• 每行 ACL 配置可以定义一条访问控制列表，格式如下：

acl 列表名称 列表类型 列表内容

列表名称：名称是自定义的，相当于给 ACL 起了个名字

列表类型：必须使用 Squid 预定义的值，对应不同类别的控制条件

列表内容：是要控制的具体对象，不同类型的列表所对应的内容也不一样，可以有多个值（以空格分隔，为 “或” 的关系）

3、常用的访问控制列表类型

 

4、定义访问控制列表

1. 格式:
2. acl 列表名称 列表类型 列表内容 ...
3.  
4. 方法一：
5. vim /etc/squid.conf
6. .......
7. acl localhost src 192.168.80.10/32 #源地址为192.168.80.10
8. acl MYLAN src 192.168.80.0/24 192.168.1.0/24 #客户机网段
9. acl destinationhost dst 192. 168.80.13/32 #目标地址为192.168.80.13
10. acl MC20 maxconn 20 #最大并发连接20
11. acl PORT port 21 #目标端口21
12. acl DMBLOCK dstdomain .qq.com #目标域，匹配域内所有站点
13. acl BURL url_regex -i ^rtsp:// ^emule:// #以rtsp://. emule://开头的URL，-i表示忽略大小写
14. acl PURL urlpath_regex -i \.mp3$ \.mp4$ \.rmvb$ #以 .mp3、.mp4、.rmvb结尾的URL路径
15. acl WORKTIME time MTWHF 08:30-17:30 #时间为周一-至周五8:30~17:30， "MTWHF"为每个星期的英文首字母
16.  
17. --------------------------------------------------------------------------------------
18. 方法二：
19. #启动对象列表管理
20. mkdir /etc/squid
21. vim /etc/squid/dest.list
22. 192.168.200.60 #Squid服务器IP
23. 192.168.100.0/24 #任意需要的网段
24.  
25. vim /etc/squid.conf
26. ......
27. acl destinationhost dst "/etc/squid/dest.list" #调用指定文件中的列表内容
28. http_access deny (或allow) destinationhost #注意，如果是拒绝列表，需要放在http_ access allow all 前面
29.  
30. systemctl restart squid
31.  
32. 将之前改成12。0.0.12的web服务器的网关改成原来的192.168.200.70，并重启网卡
33.  
34. 开启代理服务，浏览器访问Web服务器 http://192.168.200.70，显示被访问被拒绝。
35.  

六：Squid 日志分析

1. #安装图像处理软件包
2. #需要使用在线源，出现报错，将网卡配置文件中的dns和网关修改回原样即可
3. yum install -y pcre-devel gd gd-devel
4.  
5. mkdir /usr/local/sarg
6. tar zxvf sarg-2.3.7.tar.gz -C /opt/
7.  
8. cd /opt/sarg-2.3.7
9. ./configure --prefix=/usr/local/sarg \
10. --sysconfdir=/etc/sarg \ #配置文件目录，默认是/usr/local/etc
11. --enable-extraprotection #额外安全防护
12.  
13. ----------------------------------------------------------------------------------------------------------
14. ./configure --prefix=/usr/local/sarg --sysconfdir=/etc/sarg --enable-extraprotection
15. make && make install
16.  
17. vim /etc/sarg/sarg.conf
18. --7行--取消注释
19. access_log /usr/local/squid/var/logs/access.log #指定访问日志文件
20. --25行--取消注释
21. title "Squid User Access Reports" #网页标题
22. --120行--取消注释，修改
23. output_dir /var/www/html/sarg #报告输出目录
24. --178行--取消注释
25. user_ip no #使用用户名显示
26. --184行--取消注释，修改
27. topuser_sort_field connect reverse #top排序中，指定连接次数采用降序排列，升序是normal
28. --190行--取消注释，修改
29. user_sort_field connect reverse #对于用户访问记录，连接次数按降序排序
30. --206行--取消注释，修改
31. exclude_hosts /usr/local/sarg/noreport #指定不计入排序的站点列表的文件
32. --257行--取消注释
33. overwrite_report no #同名同日期的日志是否覆盖
34. --289行--取消注释，修改
35. mail_utility mailq.postfix #发送邮件报告命令
36. --434行--取消注释，修改
37. charset UTF-8 #指定字符集UTF-8
38. --518行--取消注释
39. weekdays 0-6 #top排行的星期周期
40. --525行--取消注释
41. hours 0-23 #top排行的时间周期
42. --633行--取消注释
43. www_document_root /var/www/html #指定网页根目录
44.  
45.  
46. #添加不计入站点文件，添加的域名将不被显示在排序中
47. touch /usr/local/sarg/noreport
48.  
49. ln -s /usr/local/sarg/bin/sarg /usr/local/bin/
50. sarg --help
51.  
52. #验证
53. yum install httpd -y
54. systemctl start httpd
55.  
56. #运行
57. sarg #启动一次记录
58.  
59.  
60. 浏览器访问 http://192.168.80.10/sarg ，查看sarg报告网页。
61.  
62. #添加计划任务，执行每天生成报告
63. vim /usr/local/sarg/report.sh
64. #/bin/bash
65. #Get current date
66. TODAY=$(date +%d/%m/%Y)
67. #Get one week ago today
68. YESTERDAY=$(date -d "1 day ago" +%d/%m/%Y)
69. /usr/local/sarg/bin/sarg -l /usr/local/squid/var/logs/access.log -o /var/www/html/sarg -z -d $YESTERDAY-$TODAY &> /dev/null
70. find ./ -type d -a -name "$(env LANG=en_US.UTF-8 date -d "30 day ago" +%Y%b%d)-$(env LANG=en_US.UTF-8 date -d "29 day ago" +%Y%b%d)" | xargs rm -rf
71. exit 0
72.  
73.  
74. chmod +x /usr/local/sarg/report.sh
75.  
76. crontab -e
77. 0 0 * * * /usr/local/sarg/report.sh

 

 

 

 

 

七： Squid 反向代理

1. 如果Squid反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端;否则反向代理服务器将向后台的Web服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存在本地，供下一个请求者使用。
2.  
3. 工作机制:
4. ● 缓存网页对象，减少重复请求
5. ● 将互联网请求轮询或按权重分配到内网web服务器
6. ● 代理用户请求，避免用户直接访问Web服务器，提高安全
7.  
8. vim /etc/squid.conf
9. ------ 60行--修改，插入-------
10. http_port 192.168.200.60:80 accel vhost vport
11. cache_peer 192.168.200.70 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web1
12. cache_peer 192.168.200.80 parent 80 0 no-query originserver round-robin max_conn=30 weight=1 name=web2
13. cache_peer_domain web1 web2 www.gcc.com
14. #表示对www.kgc.com的请求，squid向192. 168.200.70和192.168.200.80的80端口发出请求
15.  
16. -------------------------------------------------------------------------------------
17. http_port 80 accel vhost vport
18. #squid从--个缓存变成了一-个Web服务器反向代理加速模式，这个时候squid在80端口监听请求，同时和webserver的请求端口(vhost vport)绑定，这个时候请求到了squid，squid是不用转发请求的，而是直接要么从缓存中拿数据要么向绑定的端口直接请求数据。
19. accel :反向代理加速模式
20. vhost:支持域名或主机名来表示代理节点
21. vport :支持IP和端口来表示代理节点
22.  
23. parent :代表为父节点，上下关系，非平级关系
24. 80:代理内部web服务器的80端口
25. 0 :没有使用icp，表示就一台squid服务器
26. no-query :不做查询操作，直接获取数据
27. originserver :指定是源服务器
28. round-robin :指定squid 通过轮询方式将请求分发到其中一台父节点
29. max_ conn :指定最大连接数
30. weight :指定 权重
31. name :设置别名
32. ----------------------------------------------------------------------------------------
33.  
34. systemctl stop httpd
35. service squid reload
36.  
37. #后端节点服务器设置
38. yum install -y httpd
39. systemctl start httpd
40.  
41. #节点1(web1):
42. echo "this is test01" >> /var/www/html/index.html
43. #节点2(web2):
44. echo "this is test02" >> /var/www/html/index.html
45.  
46. #客户机的域名映射配置
47. 修改C: \Windows\System32\drivers\etc\hosts 文件
48. 192.168.200.60 www.gcc.com
49.  
50. #客户机的代理配置
51. 打开浏览器，工具-->Internet选项-->连接-->局域网设置-->开启代理服务器(地址: Squid服 务器IP地址，端口: 80)
52.  
53. 浏览器访问 http://www.gcc.com

 

 补充

squid 日志中关键字的含义

TCP_HIT
Squid 发现请求资源的貌似新鲜的拷贝，并将其立即发送到客户端。
TCP_MISS
Squid 没有请求资源的 cache 拷贝。
TCP_REFERSH_HIT（squid3.0 改为 TCP_REFRESH_UNMODIFIED）
Squid 发现请求资源的貌似陈旧的拷贝，并发送确认请求到原始服务器。原始服务器返回 304（未修改）响应，指示 squid 的拷贝仍旧是新鲜的。
TCP_REF_FAIL_HIT
Squid 发现请求资源的貌似陈旧的拷贝，并发送确认请求到原始服务器。然而，原始服务器响应失败，或者返回的响应 Squid 不能理解。在此情形下，squid 发送现有 cache 拷贝（很可能是陈旧的）到客户端。
TCP_REFRESH_MISS（squid3.0 改为 TCP_REFRESH_MODIFIED）
Squid 发现请求资源的貌似陈旧的拷贝，并发送确认请求到原始服务器。原始服务器响应新的内容，指示这个 cache 拷贝确实是陈旧的。
TCP_CLIENT_REFRESH_MISS
Squid 发现了请求资源的拷贝，但客户端的请求包含了 Cache-Control: no-cache 指令。Squid 转发客户端的请求到原始服务器，强迫 cache 确认。
TCP_IMS_HIT
客户端发送确认请求，Squid 发现更近来的、貌似新鲜的请求资源的拷贝。Squid 发送更新的内容到客户端，而不联系原始服务器。
TCP_SWAPFAIL_MISS
Squid 发现请求资源的有效拷贝，但从磁盘装载它失败。这时 squid 发送请求到原始服务器，就如同这是个 cache 丢失一样。
TCP_NEGATIVE_HIT
在对原始服务器的请求导致 HTTP 错误时，Squid 也会 cache 这个响应。在短时间内对这些资源的重复请求，导致了否命中。negative_ttl 指令控制这些错误被 cache 的时间数量。请注意这些错误只在内存 cache，不会写往磁盘。下列 HTTP 状态码可能导致否定 cache（也遵循于其他约束）： 204, 305, 400, 403, 404, 405, 414, 500, 501, 502, 503, 504。
TCP_MEM_HIT
Squid 在内存 cache 里发现请求资源的有效拷贝，并将其立即发送到客户端。注意这点并非精确的呈现了所有从内存服务的响应。例如，某些 cache 在内存里，但要求确认的响应，会以 TCP_REFRESH_HIT, TCP_REFRESH_MISS 等形式记录。
TCP_DENIED
因为 http_access 或 http_reply_access 规则，客户端的请求被拒绝了。注意被 http_access 拒绝的请求在第 9 域的值是 NONE/-，然而被 http_reply_access 拒绝的请求，在相应地方有一个有效值。
TCP_OFFLINE_HIT
当 offline_mode 激活时，Squid 对任何 cache 响应返回 cache 命中，而不用考虑它的新鲜程度。
TCP_REDIRECT
重定向程序告诉 Squid 产生一个 HTTP 重定向到新的 URI（见 11.1 节）。正常的，Squid 不会记录这些重定向。假如要这样做，必须在编译 squid 前，手工定义 LOG_TCP_REDIRECTS 预处理指令。
NONE
无分类的结果用于特定错误，例如无效主机名。
相应于 ICP 查询，下列标签可能出现在 access.log 文件的第四域。
UDP_HIT
Squid 在 cache 里发现请求资源的貌似新鲜的拷贝。
UDP_MISS
Squid 没有在 cache 里发现请求资源的貌似新鲜的拷贝。假如同一目标通过 HTTP 请求，就可能是个 cache 丢失。请对比 UDP_MISS_NOFETCH。
UDP_MISS_NOFETCH
跟 UDP_MISS 类似，不同的是这里也指示了 Squid 不愿去处理相应的 HTTP 请求。假如使用了 - Y 命令行选项，Squid 在启动并编译其内存索引时，会返回这个标签而不是 UDP_MISS。
UDP_DENIED
因为 icp_access 规则，ICP 查询被拒绝。假如超过 95% 的到某客户端的 ICP 响应是 UDP_DENIED，并且客户端数据库激活了（见附录 A），Squid 在 1 小时内，停止发送任何 ICP 响应到该客户端。若这点发生，你也可在 cache.log 里见到一个警告。
UDP_INVALID
Squid 接受到无效查询（例如截断的消息、无效协议版本、URI 里的空格等）。Squid 发送 UDP_INVALID 响应到客户端。

 

什么是代理服务器：
代理服务器能代替用户去访问公网，并且能把访问到的数据缓存到服务器本地，等用户下次再访问相同的资源的时候，代理服务器直接从本地回应给用户。当本地没有的时候，我代替你去访问公网，我接收你的请求，我先在我自己的本地缓存找，如果我本地缓存有，我直接从我本地的缓存里回复你；如果我在我本地没有找到你要访问的缓存的数据，那么代理服务器就会代替你去访问公网。

 

Squid、Varinsh 和 Nginx 的区别

1. Nginx 本来是反向代理 web 服务器，用了插件可以做做这个副业但是本身不支持特性挺多，只能缓存静态文件
2. 从这些功能上。varnish 和 squid 是专业的 cache 服务，而 nginx 这些是第三方模块完成；
3. varnish 本身的技术上优势要高于 squid，它采用了可视化页面缓存技术；在内存的利用上，Varnish 比 Squid 具有优势，性能要比 Squid 高。还有强大的通过 Varnish 管理端口，可以使用正则表达式快速、批量地清除部分缓存它是内存缓存，速度一流，但是内存缓存也限制了其容量，缓存页面和图片一般是挺好的；
4. squid 的优势在于完整的庞大的 cache 技术资料，和很多的应用生产环境；

工作中选择：要做 cache 服务的话，我们肯定是要选择专业的 cache 服务，优先选择 squid 或者 varnish。

 

Squid  Nginx  Varnish  CDN

 

什么是 CDN

CDN 的全称是 (Content Delivery Network), 即内容分发网络。其目的是通过在现有的 Internet 中增加一层新的 CACHE (缓存) 层，将网站的内容发布到最接近用户的网络” 边缘 " 的节点，使用户可以就近取得所需的内容，提高用户访问网站的响应速度。从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等原因，提高用户访问网站的响应速度。

简单的说，CDN 的工作原理就是将您源站的资源缓存到位于全球各地的 CDN 节点上，用户请求资源时，就近返回节点上缓存的资源，而不需要每个用户的请求都回您的源站获取，避免网络拥塞、缓解源站压力，保证用户访问资源的速度和体验