代理服务器手册(中网).doc

第1章 简介1.1 什么是代理服务器代理服务器（Proxy Server）是一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和INTRANET（局域网）。 1.2 硬件需求代理服务器对于硬件的要求相当的高！因为我们架设代理服务器的目的就是希望能够加快网络的传输速度因此，虽然代理服务器几乎在任何的 Unix 系统上面都能跑，但是代理服务器最好还是有较高的硬件配置：CPU 足够好； RAM 足够大，这也是很重要的一个硬件参数 ；网络卡与网络周边最好使用 GBytes 的网络卡。1.3 使用代理服务器的好处中网代理服务器具有快速响应，减少网络阻塞,它将远程Internet对象保存为本地拷贝。当本地用户再次访问这些对象时，代理服务器可以直接快速地提供对这些对象的访问，而不必再次占用带宽访问远程服务器上的对象。同时还可以增强访问控制，提高安全性。可以针对特定的的网站、用户、网络、数据类型实施访问控制。第2章 配置2.1 文件的配置在进入中网代理服务器系统后，在目录usrnetchinaetc中会产生一个样本squid.conf文件，文件中的对每一个选项都有详细的说明，用户可以通个ee来修改该文件以满足不同的需要。例如，ee usrnetchinaetcsquid.conf.修改完毕后，按Esc退出。总的来说，有如下几个重要选项：http_port：设定监听端口，你最好设一个比较好记的端口，以便在客户机配置时容易记住。cache_mem：设定服务器占用的物理内存，一般cache_mem的大小不应超过你的服务器物理内存的三分之一，否则将会影响机器的总体性能。cache_dir：设定缓存的位置、大小。语法为: cache_dir ufs /usr/netchina/var/cache 64 8 32； 64代表缓存最大为64M；8和32代表一级和二级目录数。2.2 日志文件#下面是关于日志文件的放置目录与文件名cache_access_log /usr/netchina/var/access.logcache_log /usr/netchina/var/cache.logcache_store_log /usr/netchina/var/store.log#关闭日志文件access.log nonestore.log nonecache.log none2.3 访问控制定义acl(访问控制列表), 语法为:acl #acl all src /定义all代表所有的源IP。#acl postfix urlpath_regex /usr/netchina/etc/acl/postfix.acl定义postfix，其内容在/usr/netchina/etc/acl/postfix.acl（$*torrent*$）指明BT种子文件。如果要过滤视频网站可加入*flv*$。#acl gooddomain dstdomain /usr/netchina/etc/acl/gooddomain.acl定义gooddomain，这个目的范围在/usr/netchina/etc/acl/gooddomain.acl指明。#acl limit_pc src /usr/netchina/etc/acl/limit.acl定义limit_pc，这个范围在/usr/netchina/etc/acl/limit.acl指明。利用前面定义的acl,定义访问控制规则#http_access allow limit_pc gooddomain#http_access deny limit_pc只允许limit_pc访问gooddomain中指明的网站，其它全部拒绝。#http_access deny postfix拒绝所有含有postfix中指明文件类型的连接。#http_access allow all允许其它所有的访问。2.4 流量控制关于设定代理服务器带宽限制和流量整形，可利用squid.conf中的delay_pools字段来完成。delay pools里的bucket就像是一个容器，而这个容器就是代理服务器要控制带宽用的，当容器到达所设定的容量时，这个容器的所有者就无法超过我们所设定的带宽限制，所有的bucket则称之为unified bucket。acl all src /acl lan src / # 定义 ACLdelay_pools n # 总共有几个 delay_poolsdelay_class n1 1 # 第 n1 个 delay_pool 的种类是 Class 1delay_class n2 3 # 第 n2 个 delay_pool 的种类是 Class 3delay_class n3 2 # 第 n3 个 delay_pool 的种类是 Class 2delay_access n1 allow landelay_access n1 deny all # 定义 delay_pool n1 的 access ruledelay_parameters n1 64000/64000 # 定义 delay_pool n1 的速度限制，依 class 的不同有不同的定义方式 (请参照下面的说明)范例说明1.除了00外，限制带宽为 512 Kbpsacl all src / # might already be definedacl test2 src 00 55delay_pools 1delay_class 1 1delay_access 1 deny test2delay_access 1 allow alldelay_parameters 1 65535/65535 # 512 kbits = 64 kbytes per second（带宽的计算方法：按4M为例，先把4M除以8将字节换算成位，然后乘以1024变成千位，再乘以1024变成兆位即可。4/8=0.5;0.5*1024*1024=524288）2. 限制限制单一的带宽为 128 Kbpsacl only128kusers src /acl all src /delay_pools 1delay_class 1 3delay_access 1 allow only128kusersdelay_access 1 deny alldelay_parameters 1 64000/64000 -1/-1 16000/640003. 对某些特定的网站设置不通的带宽限制 acl lan_use src / # 设置 LAN 使用者的 ACLacl kkbox dstdomain ..tw # 设置特定域名的 ACLdelay_pools 2 # 设置两个 delay_poolsdelay_class 1 1 # 第一个是 Class 1 的，用來限制总带宽delay_class 2 2 # 第二个是 Class 2 的，用来限制单一的带宽delay_access 1 allow kkbox (这里的1指的是pool 1）delay_access 1 deny alldelay_access 2 allow lan_usedelay_access 2 deny alldelay_parameters 1 64000/64000 delay_parameters 2 64000/64000 10000/50000说明：delay_parameters 1 64000/64000 #不限制指定域名的单一带宽，但对总带宽速作限制（这里1指pool 1）delay_parameters 2 64000/64000 10000/50000 # 限制 LAN 的所有使用者单一带宽，并对总的带宽作以限制（可以简单理解为：当pool N定义是第几个class后，之后的数字都指pool的数字，也就是这个N）class类型1为单个IP地址流量class类型2为C类网段中的每个IP地址流量class类型3为B类网段中的每个C类网段中的每个IP地址流量所以类型1只有一个总带宽流量实际也就是这个IP地址的流量delay_parameters 1 64000/64000类型2有两个带宽流量参数，第一个为整个C类型网段流量，第二个为每个IP流量delay_parameters 1 -1/-1 64000/64000类型3有三个带宽流量参数,第一个为整个B类网总流量，第二个为每个B类网段中的C类网段总流量,第三个为了B类网段中每个C类网段中的每个IP流量delay_parameters 1 -1/-1 -1/-1 64000/64000注: -1/-1表示流量无限制。斜杆前后两个参数为最小流量与最大流量.所以看你的情况需要，你只有一个IP地址就用类型1,有一个C类网段就用类型2,有一个B类网段就用类型3第3章 常见问题1. 怎么样重启代理服务程序？答：首先输入killall squid结束进程，然后输入/usr/netchina/proxy/sbin/squid z对目录进行初始化，最后输入/usr/netchina/proxy/sbin/