2. Squid的编译和运行

　　其实现在的Linux发行套件中基本都有已经编译好的Squid，你所作的就是安装它既可。如果你手头

没有现成的编译好的Squid或想使用最新的版本，去ftp:squid.nlanr.net下载一份，自己编译。

　　Squid的编译是非常简单的，因为它基本上是自己配置自己。最容易出现的问题是你的系统上没有

合适的编译器，这可以通过安装相应的编译器解决。如果出现其他问题，你可以问一下有经验的用户或

到相应的邮件列表寻找帮助。

　　编译Squid之前，最好建一个专门运行Squid的用户和组。我就在自己的服务器上建了一个名为

squid的用户和组，用户目录设为/usr/local/squid。然后su为用户squid并从squid.nlanr.net下载

Squid的源文件到目录 /usr/local/squid/src中，用如下命令进行解压：

　　％tar xzf squid-2.0.RELEASE-src.tar.gz

　　％cd /usr/local/squid/src/ squid-*.*.RELEASE /

　　％./configure

　　%make

　　％make install

　　第一个命令在目录/usr/local/squid/src中产生一个新的子目录/squid-*.*.RELEASE/。命令

./configure会自动查询你的系统配置情况以及你系统中使用的头文件。不加参数的./configure会

把Squid安装在目录/usr/local/squid中，如果你想使用其他目录，用如下命令

./configure --prefix=/some/other/directory，这会把Squid安装在目录/some/other/directory中。

make命令编译Squid，make install命令安装Squid。

　　不出意外的话，目录/usr/local/squid中会出现如下目录：

　　/bin

　　/cache

　　/etc

　　/logs/

　　/src （自己创建的）

　　目录/bin中含有Squid可执行程序，包括Squid本身，ftpget等。

　　目录/cache包含Squid缓存的数据，其中包含象/00/ /01/ /02/ 以及/03/这样的目录，这些目录

中还有子目录，因为目录多了比在一个目录成千上万的文件中寻找一个文件更容易，速度更快。

　　目录/etc中包含Squid的唯一的配置文件squid.conf。

　　目录/logs中包含Squid的日志。

3.  代理服务器的作用

通过缓存的方式为用户提供Web访问加速
对用户的Web访问进行过滤控制

4.squid下代理类型

普通代理服务
即标准的、传统的代理服务
需要客户机在浏览器中指定代理服务器的地址、端口

透明代理服务
适用于企业的网关主机（共享接入Internet）中
客户机不需要指定代理服务器地址、端口等信息
需要设置防火墙策略将客户机的Web访问数据转交给代理服务程序处理

反向代理服务
为Internet用户访问企业Web站点提供缓存加速

5.squid软件包
软件包名：squid-2.6.STABLE6
服务名：squid
主程序：/usr/sbin/squid
配置目录：/etc/squid/
主配置文件：/etc/squid/squid.conf
默认监听端口：TCP 3128
默认访问日志文件：/var/log/squid/access.log

6.常用配置项
http_port 3128
cache_mem 64 MB
maximum_object_size 4096 KB
reply_body_max_size 10240000 allow all
access_log /var/log/squid/access.log squid
visible_hostname proxy.test.com

cache_dir ufs /var/spool/squid 100 16 256

cache_swap_low

cache_swap_high

dns_nameservers

7.普通代理服务的典型应用环境

设置squid服务器端（192.168.1.1）
修改squid.conf主配置文件

http_port 3128
visible_hostname proxy.benet.com
reply_body_max_size 10240000 allow all
http_access allow all

初始化squid缓存目录（squid -z）
启动squid服务（squid -D）

export http_proxy=

验证代理服务器功能
当外网测试机（218.29.30.29）中启用Web服务程序后，在局域网客户机（192.168.1.100）的IE浏览器中应能够访问该站点：
网页访问成功后，检查代理服务器的日志文件，应发现客户机的HTTP访问记录

[root@localhost ~]# tail -1 /var/log/squid/access.log
1244386040.208     62 192.168.1.100 TCP_MISS/200 2828 GET - DIRECT/218.29.30.29 image/gif

验证代理服务器功能
检查外网测试机的Web访问日志，应发现进行访问的是代理服务器主机（218.29.30.31），而不是客户机

[root@gw1 ~]# tail -1 /var/log/httpd/access_log
218.29.30.31 - - [16/May/2009:12:39:39 +0800] "GET /icons/apache_pb2.gif HTTP/1.0" 200 2414 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 1.0.3705; aff-kingsoft-ciba)"

例子：

1.透明代理

http_port 3128 transparent

iptables  -t  nat  -I  PREROUTING  -s  192.168.10.0/24  -i  eth0  -p  tcp  --dport 80  -j REDIRECT  --to-ports  3128

此时客户端进行验证，然而客户端的IP为私有地址如访问话，客户端从DNS那里获得的IP，然而外网是不能访问内网的，如果要让请求返回给客户端，就要进行地址转换。

iptables  -t  nat  -A  POSTROUTING  -s 192.168.10.0/24  -o  eth1   -j  SNAT  --to  192.168.0.87(192.168.0.87这里假设为外网地址)

2.反向代理

http_port  218.29.30.31:80 vhost
cache_peer 192.168.10.7 parent 80 0 originserver weight=5 max-conn=30
cache_peer 192.168.10.8 parent 80 0 originserver weight=5 max-conn=30
cache_peer 192.168.10.9 parent 80 0 originserver weight=5 max-conn=30
cache_peer 192.168.10.6 parent 80 0 originserver weight=1 max-conn=8

cache_peer Web服务器地址 服务器类型 http端口 icp端口 [可选项]

8.ACL（Access Control List，访问控制列表）
可以从客户机的IP地址、请求访问的URL/域名/文件类型、访问时间、并发请求数等各方面进行控制