kavin

linux下用squid和squidGuard配置代理服务器

kavin 安全防护 2023-01-10 441浏览 0

网上有不少在linux中使用squid和squidGuard配置代理服务器的文章,这几天一直在搞这么个东东网上的资料也看了不少总是觉的和自己设置的不一样。就把我自己写的发上来。大家可以参考也给自己留个备份。

1.设置网络参数什么IP。

主机名什么的这个就不废话了。

2.建立squid的用户和组

groupadd squid 编辑\etc\passwd suuid:x:500:501::/usr/local/squid:/bin/bash 用户目录设为/usr/local/squid

3.下载和安装squid;Berkeley DB 2.x;squidGuard

www.squid-cache.org ;下载squid-2.4.STABLE2-src.tar.gz存在本地/usr/local/squid/src。

$cd /usr/local/squid/src $tar xvzf squid-2.4.STABLE2-src.tar.gz $ cd squid-2.4.STABLE2 $./configure $make $make install

http://www.sleepycat.com 下载db-2.7.7.tar.gz并存在/usr/local/squidGuard/src/目录下

$su #cd /usr/local/squidGuard/src/ #tar xvzf db-2.7.7.tar.gz #cd db-2.7.7 #cd build_unix #../dist/configure #make #make install

从http://ftp.ost.eltele.no/pub/www/proxy/squidGuard/squidGuard-1.1.4.tar.gz下载软件包并存于本地/usr/local/squidGuard/src/

#cd /usr/local/squidGuard/src/ #tar xvzf squidGuard-1.1.4.tar.gz #cd squidGuard-1.1.4 #./configure –with-sg-config=/usr/local/squidGuard/squidGuard.conf –with-sg-logdir=/usr/local/squidGuard/logs –with-sg-dbhome=/usr/local/squidGuard/db –prefix=/usr/local/squidGuard –之间都是空格不能用回车

这个命令结束后会在你的/usr/local/squidGuard将出现文件夹db;logs;bin的目录要是没有出现可以用mkdir建立一个,还应该有squidGuard.conf但是我一直没有弄出来。

#make #make test

测试ok,即可进行下一步安装 测试的时候可能也会报一个错误好像是什么什么权限问题。可以到squidGuard-1.1.4目录下的test下在执行一下#make test 要是这里没有问题就可以继续。

#make install

#p#

4.配置squid:

修改squid的配置文件/usr/local/squid/etc/squid.conf: http_port 8080

#squid的代理端口,使用1024以下的端口,squid必须以root身份运行 http_access allow all

#允许所有的用户通过代理进行http访问 redirect_program /usr/local/squid/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf

#squid启用squidGuard进行过滤和转发

其它参数:

cache_mem:设置代理服务使用的内存大小,一般推荐为物理内存的三分之一 cache_dir:指定cache目录的路径,默认为/usr/local/squid/cache。

maximum_object_size: 指定Squid可以接收的***对象的大小。Squid缺省值为4M,可以根据自己的需要进行设定。 cache_dir:设定缓存的位置、大小。

一般格式如下:

cache_dir /usr/local/squid/cache 100 16 256 /usr/local/squid/cache代表缓存的位置;100代表缓存***为100M;16和256代表一级和二级目录数。

cache_effective_user:设定使用缓存的有效用户。缺省为用户nobody,如果系统中没有用户nobody,***建一个或以非root用户运行Squid。这里是以squid身份运行的

cache_effective_group:设定使用缓存的有效用户组。缺省组为nogroup,如果系统中没有组nogroup,***建一个组。这里是squid组

5.配置squidGuard:

修改squidGuard的配置文件/usr/local/squidGuard/squidGuard.conf文件:

logdir /usr/local/squidGuard/logs

#日志目录定义

dbhome /usr/local/squidGuard/db

#db目录定义

time testtime {

#时间规则定义

weekly mtwhf 05:00 – 10:30 weekly as 08:00 – 19:00 date *-*-01 08:00 – 16:30 date 2001.10.01 – 2001.10.09 }

src admin {

#源组定义

ip 192.168.100.18 }

src client{ ip 192.168.100.20 192.168.100.21 192.168.100.22 ip 192.168.200.0/24 }

dest porn {

#目标组定义

domainlist porn/domains urllist porn/urls expressionlist porn/expressions }

acl {

#访问规则定义

admin within testtime { pass !porn all } else { pass all } client { pass !in-addr !porn all } default { pass none redirect http://admin.foo.com

(#也可以重定向到一个含有一些信息的cgi页面,如下: 
http://admin.foo.com/cgi/blocked?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u)

} }

#p#

# vi db/porn/domains

(域列表文件:主要是阻塞一些定义的站点)

co.za sex.com

(如上,可以阻塞如hack.co.za、sex.com、www.sex.com、whatever.sex.com,但是不同于.*[^.]sex.com,不匹配ssex.com)

# vi db/porn/urls

(url列表文件,主要是阻塞一些站点及其一些栏目)

qihui.com/sex valen.sohu.com/album

(如上可阻塞http://qihui.com/sex、http://qihui.com/sex/whatever、ftp://qihui.com/sex、http://www.qihui.com/sex等)

# vi db/porn/expressions

(表达式列表文件,主要是阻塞一些与表达式匹配的URL访问)

(^|[?+=/])(.*)(girl)(.*)([?+=/]|$)

(上面的正则表达式可以阻塞URL中包括girl站点的访问,如:www.girlzine.com、girl.huabao.net、www.huayu.net/girl、www.universiti.com/girl等 )

注意:squidGuard对配置文件的语法要求很严,如果配置文件语法有误,squidGuard仍能运行,但是squidGuard已进入应急模式,此时代理服务不具有任何阻塞作用,所有通过该代理的访问都可通过,可以查看logs/squidGuard的日志文件,即可发现错误,例如:

2001-12-20 17:08:44 [2430] parse error in configfile /usr/local/squidGuard/squidGuard.conf line 8 2001-12-20 17:08:44 [2430] going into emergency mode …….

其中配置文件第8行有误,squidGuard进入应急模式。 配置的具体说明详见http://www.squidguard.org/

6. 运行:

$ chmod 777 /var/log/squid $ chmod 777 /var/spool/squid $ chmod 777 /usr/local/squid/var $ chmod 777 /usr/local/squid/var/logs $ chmod 777 /usr/local/squidGuard/log $ chmod 777 /var/log/squid

(设置logs对所有用户为可写。这样,不特定的squid代理客户才能正常访问代理服务器,并能在logs目录、产生access.log、cache.log等文件。)

记得的好像就是这几个文件开777权限。要是疏漏了可以看日志修改

$ /usr/local/squid/bin/squid -z

(手工建立squid的缓存目录/usr/local/squid/cache。)

#/usr/local/squid/bin/squid

后台执行squid。如果想前台执行squid:如果你想前台执行Squid执行命令:
$/usr/local/squid/bin/squid -D
该命令正式启动Squid。如果一切正常,你会看到一行输出: 
Ready to serve requests  
# ps ax|grep squid 20198 ? S 0:00 /usr/local/squid/bin/squid 20200 ? S 0:27 (squid) 20310 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20311 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20312 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20313 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf 20314 ? S 0:00 (squidGuard) -c /usr/local/squidGuard/squidGuard.conf

此时squidGuard也已启用,每次修改配置后squid -k reconfigure重新起用即可,要杀掉squid执行squid -k kill。

查看squidGuard日志文件:

init domainlist /usr/local/squidGuard/db/porn/domains 2001-12-20 16:14:43 [2270] init domainlist /usr/local/squidGuard/db/porn/domains 2001-12-20 16:14:43 [2270] init urllist /usr/local/squidGuard/db/porn/urls 2001-12-20 16:14:43 [2270] init expressionlist /usr/local/squidGuard/db/porn/expressions 2001-12-20 16:14:43 [2270] squidGuard 1.1.4 started (1008836083.022) 2001-12-20 16:14:43 [2270] recalculating alarm in 917 seconds 2001-12-20 16:14:43 [2270] squidGuard ready for requests (1008836083.044)

表示squidGuard已正常启动。

7.开机自动启动

最容易的机制之一是/etc/rc.local脚本。这是个简单的shell脚本,在每次系统启动时以root运行。使用该脚本来启动squid非常容易,增加一行如下:

/usr/local/squid/sbin/squid -D touch /var/lock/subsys/local

这个不知道什么意思别人让加就加上了。

8.一些小经验和大家分享一下

在开启squid之前,你应该谨慎的验证配置文件。这点容易做到,运行如下命令即可:%squid -k parse假如你看不到输出,配置文件有效,你能继续后面的步骤。

然而,如果配置文件包含错误,squid会告诉你:squid.conf line 62: http_access allow okay2 aclParseAccessLine: ACL name ‘okay2’ not found.这里你可以看到,62行的http_access指令指向的ACL不存在。有时候错误信息很少:FATAL: Bungled squid.conf line 76: memory_pools在这个情形里,我们忘记了在76行的memory_pools指令后放置on或off.

建议你养成习惯:在每次修改配置文件后,使用squid -k parse。假如你不愿麻烦,并且你的配置文件有错误,squid会告诉你关于它们而且拒绝启动。假如你管理着大量的cache,也许你会编辑脚本来自动启动,停止和重配置squid。你能在脚本里使用该功能,来确认配置文件是有效的。

保存日志vi /etc/logrotate.d/squid/var/log/squid/access.log

{ weekly rotate 52 . copytruncate compress notifempty missingok } /var/log/squid/cache.log { weekly rotate 52 copytruncate compress notifempty missingok } /var/log/squid/store.log { weekly rotate 52 copytruncate compress notifempty missingok postrotate /usr/local/squid/sbin/squid -k rotate endscript

}

***需要注意的是DNS设置。还有就是权限。这个很重要。squid起不来的原因我觉的80%都是权限的问题。这样可以保存你的日志文件啦。

原文来自:http://netdl.blog.51cto.com/184762/33118

继续浏览有关 安全 的文章
发表评论