linux 代理服务squid 用法

常用命令

1. 在开启squid之前，你应该验证其配置文件是否正确。运行如下命令即可：

# squid -k parse   #假如你看不到输出，配置文件有效，你能继续后面的步骤。然而，如果配置文件包含错误，squid会告诉你

2. 初始化cache目录.即建立缓存目录的存储格式

# squid -z　　 #只需在第一次启动squid服务之前执行(在初次运行squid之前，或者无论何时你增加了新的cache_dir，你必须初始化cache目录。)

# squid -zX 　　　#cache目录初始化可能花费一些时间，依赖于cache目录的大小和数量，以及磁盘驱动器的速度。假如你想观察这个过程，请使用-X选项

3. 启动squid服务

# service squid start   #最安全做法

# /usr/sbin/squid -s  #后台启动,有可能不生效

4. 停止squid

# squid -k shutdown 　　#最安全的停止squid的方法是使用squid -k shutdown命令

5. 不中断服务，重配置运行中的squid进程

# squid -k reconfigure   #运行中的重新引导配置squid最好的方法。squid.conf文件做了改动。为了让新设置生效，你可以关闭和重启squid。或者在squid运行时，重配置它。

6. 滚动日志文件处理

除非你在squid.conf里禁止，squid会写大量的日志文件。你必须周期性的滚动日志文件，以阻止它们变得太大。squid将大量的重要信息写入日志，假如写不进去了，squid会发生错误并退出。为了合理控制磁盘空间消耗，在cron里使用如下命令：

squid -k rotate

例如，如下任务接口在每天的早上4点滚动日志：

0 4 * * * /usr/local/squid/sbin/squid -k rotate

该命令做两件事。首先，它关闭当前打开的日志文件。然后，通过在文件名后加数字扩展名，它重命名cache.log,store.log,和 access.log。例如，cache.log变成cache.log.0,cache.log.0变成cache.log.1,如此继续，滚动到 logfile_rotate选项指定的值。

7.添加启动项

# echo 'systemctl start squid.service' >> /etc/rc.local

8.默认正向代理（3128）支持https,无需设置加密文件 ，反向代理时需要（一般不用squid做反向代理）

squid配置文件解析（/etd/squid/squid.conf）

#
acl all src 0.0.0.0/0.0.0.0          #允许所有IP访问
acl manager proto http              #manager url协议为http
acl localhost src 127.0.0.1/255.255.255.255  #允午本机IP
acl to_localhost dst 127.0.0.1                 #允午目的地址为本机IP
acl CONNECT method CONNECT        #请求方法以CONNECT
#http_access allow all                #允许所有人使用该代理.
#http_reply_access allow all                #允许所有客户端使用该代理

acl Safe_ports port 80          # 允许安全更新的端口为80
acl Safe_ports port 443        #允许安全更新的端口为443

acl localnet src 10.195.249.225     #
acl localnet src 10.195.236.141     #

http_access allow localnet           #
http_access deny !Safe_ports           #


acl OverConnLimit maxconn 16        #限制每个IP最大允许16个连接，防止攻击
http_access deny OverConnLimit

icp_access deny all                        #禁止从邻居服务器缓冲内发送和接收ICP请求.
miss_access allow all                #允许直接更新请求
ident_lookup_access deny all                                #禁止lookup检查DNS
http_port 8080 transparent                                #指定Squid监听浏览器客户请求的端口号。

hierarchy_stoplist cgi-bin ?                #用来强制某些特定的对象不被缓存，主要是处于安全的目的。
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_mem 1 GB        #这是一个优化选项，增加该内存值有利于缓存。应该注意的是：
                     #一般来说如果系统有内存，设置该值为(n/)3M。现在是3G 所以这里1G
fqdncache_size 1024        #FQDN 高速缓存大小
maximum_object_size_in_memory 2 MB        #允许最大的文件载入内存

memory_replacement_policy heap LFUDA  #动态使用最小的，移出内存cache
cache_replacement_policy heap LFUDA         #动态使用最小的，移出硬盘cache

cache_dir ufs /home/cache 5000 32 512  #高速缓存目录 ufs 类型 使用的缓冲值最大允午1000MB空间，
#32个一级目录，512个二级目录

max_open_disk_fds 0                                 #允许最大打开文件数量,0 无限制
minimum_object_size 1 KB                         #允午最小文件请求体大小
maximum_object_size 20 MB                 #允午最大文件请求体大小

cache_swap_low 90                            #最小允许使用swap 90%
cache_swap_high 95                            #最多允许使用swap 95%

ipcache_size 2048                                # IP 地址高速缓存大小 2M
ipcache_low 90                                #最小允许ipcache使用swap 90%
ipcache_high 95                                  #最大允许ipcache使用swap 90%


access_log /var/log/squid/access.log squid        #定义日志存放记录
cache_log /var/log/squid/cache.log squid
cache_store_log none                        #禁止store日志

emulate_httpd_log on        #将使Squid仿照Web服务器的格式创建访问记录。如果希望使用
                                #Web访问记录分析程序，就需要设置这个参数。

refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload   #更新cache规则

acl buggy_server url_regex ^http://.... http://          #只允许http的请求
broken_posts allow buggy_server

acl apache rep_header Server ^Apache                 #允许apache的编码
broken_vary_encoding allow apache

request_entities off                                        #禁止非http的标分准请求，防止攻击
header_access header allow all                        #允许所有的http报头
relaxed_header_parser on                                #不严格分析http报头.
client_lifetime 120 minute                                #最大客户连接时间 120分钟

cache_mgr sky@test.com                        #指定当缓冲出现问题时向缓冲管理者发送告警信息的地址信息。

cache_effective_user squid                        #这里以用户squid的身份Squid服务器
cache_effective_group squid

icp_port 0                       #指定Squid从邻居服务器缓冲内发送和接收ICP请求的端口号。
                     #这里设置为0是因为这里配置Squid为内部Web服务器的加速器，
                     #所以不需要使用邻居服务器的缓冲。0是禁用

# cache_peer 设置允许更新缓存的主机，因是本机所以127.0.0.1
cache_peer 127.0.0.1 parent 80 0 no-query default multicast-responder no-netdb-exchange
cache_peer_domain 127.0.0.1                                 
hostname_aliases 127.0.0.1

error_directory /usr/share/squid/errors/Simplify_Chinese        #定义错误路径

always_direct allow all                # cache丢失或不存在是允许所有请求直接转发到原始服务器
ignore_unknown_nameservers on        #开反DNS查询，当域名地址不相同时候，禁止访问
coredump_dir  /var/log/squid                 #定义dump的目录

max_filedesc 2048                #最大打开的文件描述

half_closed_clients off        #使Squid在当read不再返回数据时立即关闭客户端的连接。
                                #有时read不再返回数据是由于某些客户关闭TCP的发送数据
                                #而仍然保持接收数据。而Squid分辨不出TCP半关闭和完全关闭。

buffered_logs on #若打开选项“buffered_logs”可以稍稍提高加速某些对日志文件的写入，该选项主要是实现优化特性。#    

Squid命中率分析

/usr/local/squid/bin/squidclient -p 80 mgr:info
/usr/local/squid/bin/squidclient -p 80 mgr:5min

可以看到详细的性能情况,其中PORT是你的proxy的端口，5min可以是60min

取得squid运行状态信息：

    squidclient -p 80 mgr:info

取得squid内存使用情况：

    squidclient -p 80 mgr:mem

取得squid已经缓存的列表：

squidclient -p 80 mgr:bjects. use it carefully,it may crash

取得squid的磁盘使用情况：

squidclient -p 80 mgr:diskd

强制更新某个url：

squidclient -p 80 -m PURGE http://www.xxx.com/xxx.php

更多的请查看：squidclient-h 或者 squidclient -p 80 mgr:
查命中率：

    squidclient -h IP(具体侦听IP) -p 80(具体侦听端口) mgr:info

正向代理访问控制案例

实现如下要求：
1，允许周一到周五12：00-14：00和17:30-21：00和双休能上网，别的时间不能上网
2，禁止下载.exe .rar .mp3 .avi .rmvb .mp4后缀的文件
3，禁止访问qq.com,mop.com,sina.com,163.com,youku.com
4，禁止访问网址中包含某些关键字的网站：比如 sex news movie sport game stock
5, vip没有任何限制
--把上面五点情况做成两种需求：
1，上课时间不能上任何网站，休息时间可以上网，但受限, vip没有任何限制
理论分析:
http_access 　　 允许　　vip
http_access 　　拒绝　　限制
http_access 　　 允许　　休息时间
http_access deny all

实验需求一:
# vim /etc/squid/squid.conf
acl lunchtime time MTWHF 12:00-14:00
acl dinnertime time MTWHF 17:30-21:00
acl weekend time SA 00:00-24:00
acl badfile urlpath_regex -i \.mp3$ \.rmvb$ \.exe$ \.zip$ \.mp4$ \.avi$ \.rar$
acl badweb dstdom_regex "/etc/squid/denywebsite"
acl badword url_regex -i sex news movie sport game stock
acl vip arp 00:0C:29:79:0C:1A
http_access allow vip
http_access deny badfile
http_access deny badweb
http_access deny badword
http_access allow lunchtime
http_access allow dinnertime
http_access allow weekend
http_access deny all
# vim /etc/squid/denywebsite
qq
sina
mop
163
youkud
# systemctl restart squid
2，上课时间可以上网，但受限，休息时间可以无限制上网, vip没有任何限制
理论分析：
http_access 　　允许　　vip
http_access 　　允许　　休息时间
http_access 拒绝　　限制
http_access allow all
实验需求二:
# vim /etc/squid/squid.conf
acl lunchtime time MTWHF 12:00-14:00
acl dinnertime time MTWHF 17:30-21:00
acl weekend time SA 00:00-24:00
acl badfile urlpath_regex -i \.mp3$ \.rmvb$ \.exe$ \.zip$ \.mp4$ \.avi$ \.rar$
acl badweb dstdom_regex "/etc/squid/denywebsite"
acl badword url_regex -i sex news movie sport game stock
acl vip arp 00:0C:29:79:0C:1A
http_access allow vip
http_access allow lunchtime
http_access allow dinnertime
http_access allow weekend
http_access deny badfile
http_access deny badweb
http_access deny badword
http_access allow all