歡迎您光臨本站 註冊首頁

Linux架設代理伺服器(1)

←手機掃碼閱讀     火星人 @ 2014-03-12 , reply:0
  一、代理伺服器概述

1.1什麼是代理伺服器

在TCP/IP網路中,傳統的通信過程是這樣的:客戶端向伺服器請求數據,伺服器響應該請求,將數據傳送給客戶端。在引入了代理伺服器以後,這一過程變成了這樣:客戶端向伺服器發起請求,該請求被送到代理伺服器;代理伺服器分析該請求,先查看自己緩存中是否有請求數據,如果有就直接傳送給客戶端,如果沒有就代替客戶端向該伺服器發出請求。伺服器響應以後,代理伺服器將響應的數據傳送給客戶端,同時在自己的緩存中保留一份該數據的拷貝。這樣,再有客戶端請求相同的數據時,代理伺服器就可以直接將數據傳送給客戶端,而不需要再向該伺服器發起請求。

1.2 代理伺服器的功能

一般說來,代理伺服器具有以下的功能:

1.通過緩存增加訪問速度

隨著Internet的迅猛發展,網路帶寬變得越來越珍貴。所以為了提高訪問速度,好多ISP都提供代理伺服器,通過代理伺服器的緩存功能來加快網路的訪問速度。一般說來,大多數的代理伺服器都支持HTTP緩存,但是,有的代理伺服器也支持FTP緩存。在選擇代理伺服器時,對於大多數的組織,只需要HTTP緩存功能就足夠了。
通常,緩存有主動緩存被動緩存之分。所謂被動緩存,指的是代理伺服器只在客戶端請求數據時才將伺服器返回的數據進行緩存,如果數據過期了,又有客戶端請求相同數據時,代理伺服器又必須重新發起新的數據請求,在將響應數據傳送給客戶端時又進行新的緩存。所謂主動緩存,就是代理伺服器不斷地檢查緩存中的數據,一旦有數據過期,則代理伺服器主動發起新的數據請求來更新數據。這樣,當有客戶端請求該數據時就會大大縮短響應時間。還需要說明的是,對於數據中的認證信息,大多數的代理伺服器都不會進行緩存的。

2.提供用私有IP訪問Internet的方法

IP地址是不可再生的寶貴資源,假如你只有有限的IP地址,但是需要提供整個組織的Internet訪問能力,那麼,你可以通過使用代理伺服器來實現這一點。

3.提高網路的安全性

這一點是很明顯的,如果內部用戶訪問Internet都是通過代理伺服器,那麼,代理伺服器就成為進入Internet的唯一通道;反過來說,代理伺服器也是Internet訪問內部網的唯一通道,如果你沒有做反向代理,則對於Internet上的主機來說,你的整個內部網只有代理伺服器是可見的,從而大大增強了網路的安全性。

1.3 代理伺服器的分類及特點

通常的代理伺服器分類方法,是從實現的機理分為線路層代理、應用層代理、智能線路層代理等等。在這裡,我想從另外一個角度出發,把代理伺服器分為傳統代理伺服器和透明代理伺服器。
我認為有必要好好搞清楚兩者的區別,只有真正明白了內在地機理,才能在遇到問題時,有章可循,才不會一頭霧水,不知從何解決問題。因此,下面我們就通過具體的實例來說明。本章的寫作思路來源於Paul Russell所寫的IPCHAINS-HOWTO。下面所舉的例子也來源於該文章,我覺得我讀該文的最大收穫在於對內部網訪問外部網以及外部網訪問內部網的實現手段有了一個清晰的認識。當然,這裡所謂的內部網是指使用私有IP的內部網路。
我們的例子都基於以下假設:
你的域名為sample.com,你的內部網(192.168.1.*)用戶通過proxy.sample.com(外部介面 eth0:1.2.3.4;內部介面 eth1:192.168.1.1)的代理伺服器訪問Internet,換句話說,該代理伺服器是唯一一台直接與Internet和內部網相連的機器。並假該設代理伺服器上運行著某種代理伺服器軟體(如squid)。假設內部網中某一客戶機為client.sample.com(192.168.1.100)。

+-------------------+
|內部網(192.168.1.*)| eth1+--------+eth0 DDN
| +------------| proxy |<===============>Internet
|client198.168.1.100| +--------+
+-------------------+

eth0: 1.2.3.4
eth1: 198.168.1.1


1.3.1傳統代理

在以上基礎上我們做以下工作:
1.代理服務軟體被綁定到代理伺服器的8080埠。
2.客戶端瀏覽器被配置使用代理伺服器的8080埠。
3.客戶端不需要配置DNS。
4.代理伺服器上需要配置代理伺服器。
5.客戶端不需要配置預設路由。

當我們在客戶端瀏覽器中打開一個web請求,比如「http://www.linuxaid.com.cn」,這時將陸續發生以下事件:
1.客戶端使用某一埠(比如1025)連接代理伺服器8080埠,請求web頁面「http://www.linuxaid.com.cn」
2.代理伺服器向DNS請求「www.linuxaid.com.cn」,得到相應的IP地址202.99.11.120。然後,代理伺服器使用某一埠(比如1037)向該IP地址的80埠發起web連接請求,請求web頁面。
3.收到響應的web頁面后,代理伺服器把該數據傳送給客戶端。
4.客戶端瀏覽器顯示該頁面。

從www.linuxaid.com.cn的角度看來,連接是在1.2.3.4地1037埠和202.99.11.120的80埠之間建立的。從client的角度看來,連接是在192.168.1.100的1025埠和1.2.3.4的8080埠之間建立的。

1.3.2 透明代理

透明代理的意思是客戶端根本不需要知道有代理伺服器的存在。
在以上基礎上我們做以下工作:
1.配置透明代理伺服器軟體運行在代理伺服器的8080埠。
2.配置代理伺服器將所有對80埠的連接重定向到8080埠。
3.配置客戶端瀏覽器直接連解到Internet。
4.在客戶端配置好DNS.
5.配置客戶端的預設網關為192.168.1.1.

當我們在客戶端瀏覽器中打開一個web請求,比如「http://www.linuxaid.com.cn」,這時將陸續發生以下事件:
1.客戶端向DNS請求「www.linuxaid.com.cn」,得到相應的IP地址202.99.11.120。然後,客戶端使用某一埠(比如1066)向該IP地址的80埠發起web連接請求,請求web頁面。
2.當該請求包通過透明代理伺服器時,被重定向到代理伺服器的綁定埠8080。於是,透明代理伺服器用某一埠(比如1088)向202.99.11.120的80埠發起web連接請求,請求web頁面。
3.收到響應的web頁面后,代理伺服器把該數據傳送給客戶端。
4.客戶端瀏覽器顯示該頁面。

從www.linuxaid.com.cn的角度看來,連接是在1.2.3.4地1088埠和202.99.11.120的80埠之間建立的。從client的角度看來,連接是在192.168.1.100的1066埠和202.99.11.120的80埠之間建立的。

以上就是傳統代理伺服器和透明代理伺服器的區別所在。

二、各種代理伺服器的比較

linux下的代理伺服器軟體很多,我從www.freshmeat.com(一個著名的linux軟體站點)查看了一下,足有六十多個。但是被廣泛應用的只有Apache、socks、squid等幾個實踐證明是高性能的代理軟體。下面我們分別來比較一下這幾個軟體:

2.1 Apache

Apache是世界上用的最廣泛的HTTP伺服器,之所以用的最廣泛,是因為它強大的功能、高效率、安全性和速度。從1.1.x版本開始,Apache開始包含了一個代理模塊。用Apache作代理伺服器的性能優勢並不明顯,不建議使用。


2.2 Socks

Socks是一種網路代理協議,該協議可以讓客戶機通過Socks伺服器獲得對Internet的完全訪問能力。Scoks在伺服器和客戶端之間建立一個安全的代理數據通道,從客戶的角度看來,Scoks是透明的;從伺服器的角度看來,Socks就是客戶端。客戶端不需要具有對Internet的直接訪問能力(也就是說,可以使用私有IP地址),因為Socks伺服器能夠把來自於客戶端的連接請求重定向到Internet。此外,Socks伺服器可以對用戶連接請求進行認證,允許合法用戶建立代理連接。同理,Socks也能防止非授權的Internet用戶訪問及的內部網路。所以常常把Socks當作防火牆來使用。
常見的瀏覽器如netscape、IE等可以直接使用Socks, 並且我們也可以使用socsk5的所帶的client來使那些不直接支持socks的internet軟體使用Socks。
更多的資料可以參考Socks官方站點http://www.socks.nec.com。

2.3 Squid

對於web用戶來說,Squid是一個高性能的代理緩存伺服器,Squid支持FTP、gopher和HTTP協議。和一般的代理緩存軟體不同,Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。
Squid將數據元緩存在內存中,同時也緩存DNS查詢的結果,除此之外,它還支持非模塊化的DNS查詢,對失敗的請求進行消極緩存。Squid支持SSL,支持訪問控制。由於使用了ICP(輕量Internet緩存協議),Squid能夠實現層疊的代理陣列,從而最大限度地節約帶寬。
Squid由一個主要的服務程序squid,一個DNS查詢程序dnsserver,幾個重寫請求和執行認證的程序,以及幾個管理工具組成。當Squid啟動以後,它可以派生出預先指定數目的dnsserver進程,而每一個dnsserver進程都可以執行單獨的DNS查詢,這樣一來就大大減少了伺服器等待DNS查詢的時間。

2.4 選擇

從上面的比較可以看出,Apache主要功能是web伺服器,代理功能只不過是其一個模塊而已,Socks雖然強大,但有欠靈活,因此我們著重推薦你使用Squid。下面的章節我們就一起來學習Squid激動人心的特性及相關的安裝與配置。

三、安裝Squid Proxy Server

3.1獲取軟體

你可以通過以下途徑獲取該軟體:
1.從Squid的官方站點http://www.squid-cache.org下載該軟體;
2.從你的linux發行版本中獲取該軟體;
通常,Squid軟體包有兩種:一種是源代碼,下載后需要自己重新編譯;可執行文件,下載后只需解壓就可以使用;另一種是就是RedHat所使用的rpm包。下面我們分別講講這兩種軟體包的安裝方法。

3.2安裝軟體

我們以目前最新的穩定版本squid-2.3.STABLEX為例。

3.2.1rpm包的安裝

1.進入/mnt/cdrom/RedHat/RPMS
2.執行rpm -ivh squid-2.2.STABLE4-8.i386.rpm。
當然,我們也可以在開始安裝系統的過程中安裝該軟體。

3.2.2 源代碼包的安裝

1.從http://www.squid-cache.org下載squid-2.3.STABLE2-src.tar.gz。
2.將該文件拷貝到/usr/local目錄。
3.解開該文件 tar xvzf squid-2.3.STABLE2-src.tar.gz。
4.解開后,在/usr/local生成一個新的目錄squid-2.3.STABLE2,為了方便用mv命令將 該目錄重命名為squid mv squid-2.3.STABLE2 squid;
5.進入squid cd squid
6.執行./configure 可以用./confgure --prefix=/directory/you/want指定安裝目錄
系統預設安裝目錄為/usr/local/squid。
7.執行 make all
8.執行 make install
9.安裝結束后,squid的可執行文件在安裝目錄的bin子目錄下,配置文件在etc子目錄下。

四、配置squid基礎篇——讓代理伺服器跑起來

由於RedHat各方面的優勢(包括易用性,穩定性等等),全世界範圍內使用該發行版的用戶比較多,所以,我們下面的說明都是以RedHat6.1環境下squid-2.2.STABLE4-8版本為主。從我的使用經驗看來,該版本的squid要比其他版本穩定的多,以前的1.1.22版本也比較穩定,但是在功能及靈活性方面有所欠缺。
squid有一個主要的配置文件squid.conf,在RedHat環境下所有squid的配置文件位於/etc/squid子目錄下。

4.1常用的配置選項

因為預設的配置文件有問題,所以我們必須首先修改該配置文件的有關內容,以便讓squid跑起來。
下面我們來看一看squid.conf文件的結構以及一些常用的選項:
squid.conf配置文件的可以分為十三個部分,這十三個部分分別是:
1.NETWORK OPTIONS (有關的網路選項)
2.OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM (作用於鄰居選擇算 法的有關選項)
3.OPTIONS WHICH AFFECT THE CACHE SIZE (定義cache大小的有關選項)
4.LOGFILE PATHNAMES AND CACHE DIRECTORIES (定義日誌文件的路徑及cache的目錄)
5.OPTIONS FOR EXTERNAL SUPPORT PROGRAMS (外部支持程序選項)
6.OPTIONS FOR TUNING THE CACHE (調整cache的選項)
7.TIMEOUTS (超時)
8.ACCESS CONTROLS (訪問控制)
9.ADMINISTRATIVE PARAMETERS (管理參數)
10.OPTIONS FOR THE CACHE REGISTRATION SERVICE (cache註冊服務選項)
11.HTTPD-ACCELERATOR OPTIONS (HTTPD加速選項)
12.MISCELLANEOUS (雜項)
13.DELAY POOL PARAMETERS (延時池參數)
雖然squid的配置文件很龐大,但是如果你只是為一個中小型網路提供代理服務,並且只準備使用一台伺服器,那麼,你只需要修改配置文件中的幾個選項。這些幾個常用選項分別是:

1.http_port
說明:定義squid監聽HTTP客戶連接請求的埠。預設是3128,如果使用HTTPD加速模式 則為80。你可以指定多個埠,但是所有指定的埠都必須在一條命令行上。

2.cache_mem (bytes)
說明:該選項用於指定squid可以使用的內存的理想值。這部分內存被用來存儲以下對象 :
In-Transit objects (傳入的對象)
Hot Objects (熱對象,即用戶常訪問的對象)
Negative-Cached objects (消極存儲的對象)
需要注意的是,這並沒有指明squid所使用的內存一定不能超過該值,其實,該選項只 定義了squid所使用的內存的一個方面,squid還在其他方面使用內存。所以squid實際 使用的內存可能超過該值。預設值為8MB。

3.cache_dir Directory-Name Mbytes Level-1 Level2
說明:指定squid用來存儲對象的交換空間的大小及其目錄結構。可以用多個cache_dir命令來定義多個這樣的交換空間,並且這些交換空間可以分佈不同的磁碟分區。"directory "指明了該交換空間的頂級目錄。如果你想用整個磁碟來作為交換空間,那麼你可以將該目錄作為裝載點將整個磁碟mount上去。預設值為/var/spool/squid。「Mbytes」定義了可用的空間總量。需要注意的是,squid進程必須擁有對該目錄的讀寫權力。「Level-1」是可以在該頂級目錄下建立的第一級子目錄的數目,預設值為16。同理,「Level-2」是可以建立的第二級子目錄的數目,預設值為256。為什麼要定義這麼多子目錄呢?這是因為如果子目錄太少,則存儲在一個子目錄下的文件數目將大大增加,這也會導致系統尋找某一個文件的時間大大增加,從而使系統的整體性能急劇降低。所以,為了減少每個目錄下的文件數量,我們必須增加所使用的目錄的數量。如果僅僅使用一級子目錄則頂級目錄下的子目錄數目太大了,所以我們使用兩級子目錄結構。
那麼,怎麼來確定你的系統所需要的子目錄數目呢?我們可以用下面的公式來估算。
已知量:
DS = 可用交換空間總量(單位KB)/ 交換空間數目
OS = 平均每個對象的大小= 20k
NO = 平均每個二級子目錄所存儲的對象數目 = 256

未知量:
L1 = 一級子目錄的數量
L2 = 二級子目錄的數量

計算公式:
L1 x L2 = DS / OS / NO
注意這是個不定方程,可以有多個解。

4.acl
說明:定義訪問控制列表。
定義語法為:
acl aclname acltype string1 ...
acl aclname acltype "file" ...
當使用文件時,該文件的格式為每行包含一個條目。
acltype 可以是 src dst srcdomain dstdomain url_pattern urlpath_pattern time port proto method browser user 中的一種。
分別說明如下:
src 指明源地址。可以用以下的方法指定:
acl aclname src ip-address/netmask ... (客戶ip地址)
acl aclname src addr1-addr2/netmask ... (地址範圍)
dst 指明目標地址。語法為:
acl aclname dst ip-address/netmask ... (即客戶請求的伺服器的ip地址)
srcdomain 指明客戶所屬的域。語法為:
acl aclname srcdomain foo.com ... squid將根據客戶ip反向查詢DNS。
dstdomain 指明請求伺服器所屬的域。語法為:
acl aclname dstdomain foo.com ... 由客戶請求的URL決定。
注意,如果用戶使用伺服器ip而非完整的域名時,squid將進行反向的DNS解析來確 定其完整域名,如果失敗就記錄為「none」。
time 指明訪問時間。語法如下:
acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]
day-abbrevs:
S - Sunday
M - Monday
T - Tuesday
W - Wednesday
H - Thursday
F - Friday
A - Saturday
h1:m1 必須小於 h2:m2,表達示為[hh:mm-hh:mm]。
port 指定訪問埠。可以指定多個埠,比如:
acl aclname port 80 70 21 ...
acl aclname port 0-1024 ... (指定一個埠範圍)
proto 指定使用協議。可以指定多個協議:
acl aclname proto HTTP FTP ...
method 指定請求方法。比如:
acl aclname method GET POST ...

5.http_access
說明:根據訪問控制列表允許或禁止某一類用戶訪問。
如果某個訪問沒有相符合的項目,則預設為應用最後一條項目的「非」。比如最後一條為允許,則預設就是禁止。所以,通常應該把最後的條目設為"deny all" 或 "allow all" 來避免安全性隱患。

4.2 應用實例
假想情景:某公司用squid作代理伺服器,該代理伺服器配置為PII450/256M/8.4G,公司所用ip段為1.2.3.0/24,並且想用8080作為代理埠。
則相應的squid配置選項為:
1.http_port
http_port 8080

2.cache_mem
思路:由於該伺服器只提供代理服務,所以該值可以盡量設得大一些。
cache_mem 194M

3.cache_dir Directory-Name Mbytes Level-1 Level2
思路:硬碟為8.4G的,在安裝系統時應該做好規劃,為不同的文件系統劃分可用空間。在本例中,我們可以這樣來劃分:
/cache1 3.5G
/cache2 3.5G
/var 400M
swap 127M
/ 剩餘部分
並且,在安裝時,我們盡量不安裝不必要的包。這樣在節約空間的同時可以提高系統的安全性和穩定性。下面我們來計算所需的第一級和第二級子目錄數。
已知量:
DS = 可用交換空間總量(單位KB)/ 交換空間數目=7G/2=3500000KB
OS = 平均每個對象的大小= 20k
NO = 平均每個二級子目錄所存儲的對象數目 = 256

未知量:
L1 = 一級子目錄的數量
L2 = 二級子目錄的數量

計算公式:
L1 x L2 = DS / OS / NO=3500000/20/256=684
我們取
L1=16
L2=43
所以,我們的cache_dir語句為:
cache_dir /cache1 3500M 16 43
cache_dir /cache2 3500M 16 43

4.acl
思路:通過src來定義acl.
acl allow_ip src 1.2.3.4/255.255.255.0

5.http_access
http_access allow allow_ip

4.3啟動、停止squid。
配置並保存好squid.conf后,可以用以下命令啟動squid。
squid
或者,使用RedHat的啟動腳本來啟動squid.
/etc/rc.d/init.d/squid start
同樣地,你也可以用下列腳本停止運行squid或重啟動squid.
/etc/rc.d/init.d/squid stop
/etc/rc.d/init.d/squid restart

五、根據需求配置你的squid——進階篇

5.1其它配置選項

在進行squid的一些高級應用之前,我們有必要對其他有用的配置選項作一個全面的了解。下面我們分類來講一講這些選項,用於某些特殊應用的選項我們將放在講該種應用時來講。

5.1.1網路選項

1.tcp_incoming_address
tcp_outgoing_address
udp_incoming_address
udp_outgoing_address
說明:
tcp_incoming_address指定監聽來自客戶或其他squid代理伺服器的綁定ip地址;
tcp_outgoing_address指定向遠程伺服器或其他squid代理伺服器發起連接的ip地址
udp_incoming_address為ICP套接字指定接收來自其他squid代理伺服器的包的ip地址 udp_outgoing_address為ICP套接字指定向其他squid代理伺服器發送包的ip地址;
預設為沒有綁定任何ip地址。該綁定地址可以用ip指定,也可以用完整的域名指定。

5.1.2交換空間設定選項

1.cache_swap_low (percent, 0-100)
cache_swap_high (percent, 0-100)
說明:squid使用大量的交換空間來存儲對象。那麼,過了一定的時間以後,該交換空間就會用完,所以還必須定期的按照某種指標來將低於某個水平線的對象清除。squid使用所謂的「最近最少使用演算法」(LRU)來做這一工作。當已使用的交換空間達到cache_swap_high時,squid就根據LRU所計算的得到每個對象的值將低於某個水平線的對象清除。這種清除工作一直進行直到已用空間達到cache_swap_low。這兩個值用百分比表示,如果你所使用的交換空間很大的話,建議你減少這兩個值得差距,因為這時一個百分點就可能是幾百兆空間,這勢必影響squid的性能。預設為:
cache_swap_low 90
cache_swap_high 95

2.maximum_object_size
說明:大於該值得對象將不被存儲。如果你想要提高訪問速度,就請降低該值;如果你想最大限度地節約帶寬,降低成本,請增加該值。單位為K,預設值為:
maximum_object_size 4096 KB

5.1.3有關日誌的選項

1.cache_access_log
說明:指定客戶請求記錄日誌的完整路徑(包括文件的名稱及所在的目錄),該請求可以是來自一般用戶的HTTP請求或來自鄰居的ICP請求。預設值為:
cache_access_log /var/log/squid/access.log
如果你不需要該日誌,可以用以下語句取消:cache_access_log none

2.cache_store_log
說明:指定對象存儲記錄日誌的完整路徑(包括文件的名稱及所在的目錄)。該記錄表明哪些對象被寫到交換空間,哪些對象被從交換空間清除。預設路徑為:
cache_log /var/log/squid/cache.log
如果你不需要該日誌,可以用以下語句取消:cache_store_log none

3.cache_log
說明:指定squid一般信息日誌的完整路徑(包括文件的名稱及所在的目錄)。
預設路徑為:cache_log /var/log/squid/cache.log

4.cache_swap_log
說明:該選項指明每個交換空間的「swap.log」日誌的完整路徑(包括文件的名稱及所在的目錄)。該日誌文件包含了存儲在交換空間里的對象的元數據(metadata)。通常,系統將該文件自動保存在第一個「cache_dir」說定義的頂級目錄里,但是你也可以指定其他的路徑。如果你定義了多個「cache_dir」,則相應的日誌文件可能是這樣的:
cache_swap_log.00
cache_swap_log.01
cache_swap_log.02
後面的數字擴展名與指定的多個「cache_dir」一一對應。
需要注意的是,最好不要刪除這類日誌文件,否則squid將不能正常工作。

5.pid_filename
說明:指定記錄squid進程號的日誌的完整路徑(包括文件的名稱及所在的目錄)。預設路徑為
pid_filename /var/run/squid.pid
如果你不需要該文件,可以用以下語句取消:pid_filename none

6.debug_options
說明:控制作日誌時記錄信息的多寡。可以從兩個方面控制:section控制從幾個方面作記錄;level控制每個方面的記錄的詳細程度。推薦的方式(也是預設方式)是:debug_options ALL,1
即,對每個方面都作記錄,但詳細程度為1(最低)。

7.log_fqdn on|off
說明:控制在 access.log 中對用戶地址的記錄方式。打開該選項時,squid記錄客戶的完整域名,取消該選項時,squid記錄客戶的ip地址。注意,如果打開該選項會增加系統的負擔,因為squid還得進行客戶ip的DNS查詢。預設值為:log_fqdn off

5.1.4有關外部支持程序的選項

1.ftp_user
說明:設置登錄匿名ftp伺服器時的提供的電子郵件地址,登錄匿名ftp伺服器時要求用你的電子郵件地址作為登錄口令(更多的信息請參看本書的相關章節)。需要注意的是,有的匿名ftp伺服器對這一點要求很苛刻,有的甚至會檢查你的電子郵件的有效性。預設值為:ftp_user Squid@

2.ftp_list_width
說明:設置ftp列表的寬度,如果設得太小將不能的瀏覽到長文件名。預設值為: ftp_list_width 32

3.cache_dns_program
說明:指定DNS查詢程序的完整路徑(包括文件的名稱及所在的目錄)。預設路徑為:
cache_dns_program /usr/lib/squid/dnsserver

4.dns_children
說明:設置DNS查詢程序的進程數。對於大型的登錄伺服器系統,建議該值至少為10。最大值可以是32,預設設置為5個。注意,如果你任意的降低該值,可能會使系統性能急劇降低,因為squid主進程要等待域名查詢的結果。沒有必要減少該值,因為DNS查詢進程並不會消耗太多的系統的資源。

5.dns_nameservers
說明:指定一個DNS伺服器列表,強制squid使用該列表中的DNS伺服器而非使用/etc/resolv.conf文件中定義的DNS伺服器。你可以這樣指定多個DNS伺服器:dns_nameservers 10.0.0.1 192.172.0.4
預設設置為:dns_nameservers none

6.unlinkd_program
說明:指定文件刪除進程的完整路徑。
預設設置為:
unlinkd_program /usr/lib/squid/unlinkd

7.pinger_program
說明:指定ping進程的完整路徑。該進程被squid利用來測量與其他鄰居的路由距離。該選項只在你啟用了該功能時有用。預設為:
pinger_program /usr/lib/squid/pinger

8.authenticate_program
說明:指定用來進行用戶認證的外部程序的完整路徑。squid的用戶認證功能我們將在後面的章節講述。預設設置為不認證。

5.1.5用戶訪問控制選項

1.request_size (KB)
說明:設置用戶請求通訊量的最大允許值(單位為KB)。如果用戶用POST方法請求時,應該設一個較大的值。預設設置為:
request_size 100 KB

2.reference_age
說明:squid根據對象的LRU(最近最少使用演算法)來清除對象,squid依據使用磁碟空間的總量動態地計算對象的LRU年齡。我們用reference_age定義對象的最大LRU年齡。如果一個對象在指定的reference_age內沒有被訪問,squid將刪除該對象。預設值為一個月。你可以使用如下所示的時間表示方法。
1 week
3.5 days
4 months
2.2 hours

3.quick_abort_min (KB)
quick_abort_max (KB)
quick_abort_pct (percent)
說明:控制squid是否繼續傳輸被用戶中斷的請求。當用戶中斷請求時,squid將檢測
quick_abort 的值。如果剩餘部分小於「quick_abort_min」指定的值,squid 將繼續完成剩餘部分的傳輸;如果剩餘部分大於「quick_abort_max」指定的值,squid 將終止剩餘部分的傳輸;如果已完成「quick_abort_pct」指定的百分比,squid將繼續完成剩餘部分的傳輸。預設的設置為:
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

5.1.6各類超時設置選項

1.negative_ttl time-units
說明:設置消極存儲對象的生存時間。所謂的消極存儲對象,就是諸如「連接失敗」及"404 Not Found"等一類錯誤信息。預設設置為:negative_ttl 5 minutes

2.positive_dns_ttl time-units
說明:設置緩存成功的DNS查詢結果的生存時間。預設為6小時。
positive_dns_ttl 6 hours

3.negative_dns_ttl time-units
說明:設置緩存失敗的DNS查詢結果的生存時間。預設為5分鐘。
negative_dns_ttl 5 minutes

4.connect_timeout time-units
說明:設置squid等待連接完成的超時值。預設值為2分鐘。
connect_timeout 120 seconds

5.read_timeout time-units
說明:如果在指定的時間內squid尚未從被請求的伺服器讀入任何數據,則squid將終止該客戶請求。預設值為15分鐘。
read_timeout 15 minutes

6.request_timeout
說明:設置在建立與客戶的連接后,squid將花多長時間等待客戶發出HTTP請求。預設值為30秒。
request_timeout 30 seconds

7.client_lifetime time-units
說明:設置客戶在與squid建立連接后,可以將該連接保持多長時間。
注意,因為客戶建立的每個連接都會消耗一定的系統資源,所以如果你是為一個大型網路提供代理服務的話,一定要正確地修改該值。因為如果同一時間的連接數量太大的話,可能會消耗大量的系統資源,從而導致伺服器宕機。預設值為1天,該值太大了,建議根據你自己的情況適當減小該值。
client_lifetime 1 day

8.half_closed_clients on/off
說明:有時候由於用戶的不正常操作,可能會使與squid的TCP連接處於半關閉狀態,
這時候,該TCP連接的發送端已經關閉,而接收端正常工作。預設地,squid將一直保持這種處於半關閉狀態的TCP連接,直到返回套接字的讀寫錯誤才將其關閉。如果將該值設為off,則一旦從客戶端返回「no more data to read」的信息,squid就立即關閉該連接。half_closed_clients on

9.pconn_timeout
說明:設置squid在與其他伺服器和代理建立連接后,該連接閑置多長時間后被關閉。預設值為120秒。
pconn_timeout 120 seconds

10.ident_timeout
說明:設置squid等待用戶認證請求的時間。預設值為10秒。
ident_timeout 10 seconds

11.shutdown_lifetime time-units
說明:當收到SIGTERM 或者 SIGHUP 信號后, squid將進入一種shutdown pending的模式,等待所有活動的套接字關閉。在過了shutdown_lifetime所定義的時間后,所有活動的用戶都將收到一個超時信息。預設值為30秒。
shutdown_lifetime 30 seconds

5.1.7管理參數選項

1.cache_mgr
說明:設置管理員郵件地址。預設為:
cache_mgr root

2. cache_effective_user
cache_effective_group
說明:如果用root啟動squid,squid將變成這兩條語句指定的用戶和用戶組。預設變為squid用戶和squid用戶組。注意這裡指定的用戶和用戶組必須真是存在於/etc/passwd中。如果用非root帳號啟動squid,則squid將保持改用戶及用戶組運行,這時候,你不能指定小於1024地http_port。
cache_effective_user squid
cache_effective_group squid

3.visible_hostname
說明:定義在返回給用戶的出錯信息中的主機名。
如: visible_hostname www-cache.foo.org

4.unique_hostname
說明:如果你有一個代理伺服器陣列,並且你為每個代理伺服器指定了同樣的「visible_hostname」,同時你必須為它們指定不同的「unique_hostname」來避免「forwarding loops 」(傳輸循環)發生。

5.1.8其它雜項

1. dns_testnames
說明:設置進行DNS查詢測試,如果第一個站點解析成功則立即結束DNS查詢測試。如果你不願意進行DNS查詢測試,就不要去掉預設的設置。
#dns_testnames netscape.com internic.net nlanr.net microsoft.com

2.logfile_rotate
說明:通常,squid會定期的將日誌文件更名並打包。比如正在使用的日誌文件為access.log,squid會將其更名並打包為access.log.1.gz;過了一定時間后,squid又會將
access.log.1.gz更名為access.log.2.gz並將當前的日誌文件更名並打包為access.log.1.gz,以此循環。logfile_rotate所指定的數字即為打包並備份的文件的數量,當達到這一數目時,squid將刪除最老的備份文件。預設值為10。如果你想手動來進行這些操作,你可以用logfile_rotate 0來取消自動操作。

3.err_html_text
說明:用該語句定義一個字元串變數,可以用%L在返回給用戶的錯誤信息文件中引用。錯誤信息文件通常在/etc/squid/errors目錄中,這是一些用HTML寫成的腳本文件,你可以自己修改它。

4.deny_info
說明:你可以定製自定義的拒絕訪問信息文件,並且可以和不同的用戶列表相關聯。當用戶被http_access相關規則拒絕時,squid可以向用戶顯示你自定義的相應的拒絕訪問信息文件。語法為:
Usage: deny_info err_page_name acl
比如:
deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys

5.memory_pools on|off
說明:如果你將該項設為on,則squid將保留所有已經分配(但是未使用)的內存池以便在將來使用。預設為on.
memory_pools on

6.log_icp_queries on|off
說明:設置是否對ICP請求作日誌。如果你的系統負載很大,你可以用off來取消該功能。預設為:
log_icp_queries on

7.always_direct
說明:該選項允許你指定某些用戶類,squid將這些用戶類的請求直接轉發給被請求的伺服器。語法為:
always_direct allow|deny [!]aclname ...
如:直接轉發FTP請求可以這樣設置:
acl FTP proto FTP
always_direct allow FTP

8.never_direct
說明:與always_direct相反。語法為:
Usage: never_direct allow|deny [!]aclname ...
比如,為了強制除了本地域的其他用戶使用代理伺服器,你可以這樣設置:
acl local-servers dstdomain foo.net
acl all src 0.0.0.0/0.0.0.0
never_direct deny local-servers
never_direct allow all

9.icon_directory
說明:指明向用戶傳送錯誤信息時所用到的圖標文件的目錄。預設路徑為: icon_directory /usr/lib/squid/icons

10.error_directory
說明:指明向用戶傳送錯誤信息所用到的錯誤描述文件的目錄。預設路徑為:
error_directory /etc/squid/errors

摘自:http://www.yn.cninfo.net


[火星人 ] Linux架設代理伺服器(1)已經有769次圍觀

http://coctec.com/docs/net/show-post-68502.html