Linux的iptables做代理详细分析

会计考友

用Linux的iptables做代理服务器和防火墙配置详细介绍
代理/防火墙
. u7 R* U/ N6 i1.iptables规则表
* e1 @$ ^! L& X, L) d9 H5 BFilter（针对过滤系统）：INPUT、FORWARD、OUTPUT
, C" a; m! ^$ w  f1 }NAT（针对地址转换系统）：PREROUTING、POSTROUTING、INPUT、OUTPUT
- |2 ]: \9 z. p6 JMangle（针对策略路由和特殊应用）：OUTPUT、POSTROUTING
3 w1 {' e% ]% L7 B* ?/ b; O2.安装包
; h2 D' a# ^5 h9 h: ~- ~iptables-1.2.7a-2
' H1 G: u# G! G% @+ g3.配置防火墙
, N+ G) a$ e7 t7 S' Z  B) c1） 命令语法
' C8 P2 Z) b, I7 n0 F; ~Usge: iptables [-t table] -[ADC] chain rule-specification [options]
iptables [-t table] -I chain [rulenum] rule-specification [options]
, d: W. j0 z1 G/ G; M+ [iptables [-t table] -R chain rulenum rule-specification [options]
iptables [-t table] -D chain rulenum [options]
iptables [-t table] -[LFZ] [chain] [options]
$ K* g- ~- e8 p5 \iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target [options]
iptables [-t table] -E old-chain-name new-chain-name
规则操作参数说明：
-A：在所选择的链末添加一条或更多规则；
-D：从所选链中删除一条或更多规则。有两种方法：把被删除规则指定为链中的序号（第一条序号为1），或者指定为要匹配的规则；
-R：从选中的链中取代一条规则。如果源地址或目的地址转换为多地址，该命令会失败。规则序号从1开始；
# ^# M$ c/ {0 `6 S  p8 ~8 m* X-I：根据给出的规则序号，向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会插入链的头部。这也是不指定规则序号时的默认方式；
-L：现实所选链的所有规则。如果没有所选链，将显示所有链。也可以和z选项一起用，这是链会自动列出和归零；
-F：清空所选链。这等于把所有规则一个个删除；
-Z：把所有链的包以及字节的计数器清空；
0 T7 Y6 @: b3 D% g" e-N：根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在；
  T, X: E. r# y9 |+ V-X：删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链；
2 P  {2 M8 X, W/ B! \3 I-P：设置链的目标规则；
5 E+ v' z- r) ~: b: g& ^6 g) {-E：根据用户给出的名字对指定链进行重名名；
% Z4 k$ L$ A: |2 g% Y+ i! |规则定义参数说明：
6 E+ D7 h1 A# f7 B2 P-p [!]protocol：
规则或者包检查（待查包）的协议。指定协议可以是TCP、UDP、ICMP中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用；
-s[!]address[/mask]：
# M* k& M$ C  X! g- U; j指定源地址，可以是主机名、网络名和清楚地IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志--src是这个选项的简写；
! @/ l& Y6 Q; k7 R-d[!]address[/mask]：
" {! I) _" A: ]. |! d/ [指定目标地址，要获取详细说明请参见-s标志的说明。标志--dst是这个选项的简写；
+ y/ P; f2 |3 @; _& V1 M1 r$ N-j target：
5 g' c. U9 k! ~: [! U) V指定规则的目标：也就是说包匹配应当做什么。目标可以为ACCEPT（通过）、 DROP（删除）、RETURN（返回）、REDIRECT（重新指向）、SNAT（源地址转换）、DNAT（目标地址转换）、MASQUERADE（伪装）等，还可以是用户自定义链。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加；
  h! Z  e, M: Z6 T- Y4 P/ E5 c-i[!][name]：
待选的可接受包接口名称，包通过该接口接收（在链INPUT、FORWORD和 PREROUTING中进入的包）。当在接口名前使用"!"说明后，指的是相反的名称，如果接口名后面加上"+"，则所有以次接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配任意接口；
8 `  O% H: d" K7 Y& p0 p: F4 b3 D-O[!][NAME]：
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。其他设置同上。
2） 匹配规则扩展选项：
tcp：当指定-p tcp，且未指定其他匹配的扩展，则装载这些扩展。
--source-port[!][port[:port]]：
' ]8 f" ]; _: }4 k源端口或端口范围指定。可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果忽略首端口号，默认是0，如果忽略末端口号，默认是65535，如果第二个端口号大于第一个，则他们进行交换。这个选项可以使用--sport的别名；
--destionation-port[!][port:[port]]：
4 Q# [& N3 T% V0 s! u目标端口或端口范围指定。这个选项可以使用--dport别名来代替；
: V  ~- d: n" Z: r) P8 [/ y--tcp-flags[!]mask comp：
1 Y( J9 n3 C- {+ Y1 `& M5 i匹配指定的TCP标记。第一个参数是要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表，是必须设置的。标记如：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（送入）ALLNONE。
命令iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些设置了SYN标记而没有设置ACK、FIN和RST标记的包。
udp：当指定-p icmp且未指定其他匹配的扩展时，则装载这些扩展。
--icmp-type[!]typename：这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令"iptables -p icmp -h"所显示的ICMP类型名。
2 T' r6 M, ]* u8 ?) S) amac：
--mac-source[!]address：匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意，他只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。
limit：这个模块匹配标志用来对网络数据的通过速率进行标记，他和LOG目标结合使用，给出有限的登陆数。当达到这个极限值时，使用这个扩展包的规则将进行匹配。（除非使用了！标记），他的扩展选项包括：
--limit rate：最大平均匹配速率，可赋的值有"/second"、"/minute"、"/hour"或"/day"这样的单位，默认是"3/hour"；
--limit-burst number：待匹配包初始个数的最大值。若前面指定的极限还没达到这个数值，则该数字加1。默认值是5。
/ Y: ~4 \+ @3 @6 n# {) Vmultiport：这个模块匹配一组源端口或目标端口，最多可以指定15个端口。只能和-p tcp或者-p udp连着使用：
6 }8 O0 x( ]6 d, l! W  P0 `--source-port[port[,port]]：如果源端口是其中一个给定端口，则匹配；
. t- g: {" x7 I% a) l* S7 @--destination-port[port[,port]]：如果目标端口是其中一个给定端口，则匹配；
--port[port[,port]]：若源端口和目的端口相等并与某个给定端口相等，则匹配。
2 n% ~2 v  \- m& K% |( v2 Powner：此扩展为本地生成包匹配包的创建者，只能用于OUTPUT链，而且，有一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配：
--uid-owner userid：如果给出有效的user id，那么匹配他的进程产生的包；
--gid-owner groupid：如果给出有效的group id，那么匹配它的进程产生的包；
--sid-owner sessionid：根据给出的会话组成匹配该进程产生的包。
REJECT：作为对匹配的包的相应，返回一个错误的包，其他情况下和DROP相同。此目标只适用于INPUT、FORWARD和OUTPUT链，以及调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：
--reject-with type：其中的type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port- unreachable、icmp-porto-unreachable、icmp-net-prohibited或者icmp-host- prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。
& Z! `* c9 S+ L$ A% [6 O* [* OSNAT：这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查：
. v' `( d' [) C3 ^6 s1 b--to-source [][:port-port]：
可以指定一个单一的新IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp或者-p udp的规则里）。如果未指定端口范围，源端口是512以下的端口惠被安排为其他的512以下的端口；512到1024之间的端口会被安排为1024以下的，其他端口会被安排为1024或以上。如果可能，端口不会被修改；

会计考友

--to-destiontion [][:port-port]：
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。
$ g0 I6 |# f4 {. F$ _  }4 q2 eMASQUERADE：只用于nat表的POSTROUTING链。只能用于动态获取ip（拨号）连接：如果拥有静态IP地址，要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当借口关闭时，连接会终止。这是因为，当下一次拨号时，未必是相同的接口地址（以后所有建立的连接都将关闭）。他有一个选项：
" b- O( i; i  E) @--to-ports []：指定使用的源端口范围，覆盖默认的SNAT源地址选择。这个选项只适用于指定了-p tcp或者-p udp的规则。
REDIRECT：只适用于nat表的PREROUTING和OUTPUT链，以及只调用他们的用户定义链。他修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1），包含一个选项：
" O( q; g( c  U7 p% B--to-ports []：指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp或者-p udp的规则。
3） 包过滤设置
3 s, F5 ^  H( s4 C4 r5 S) d. T举例：
% h8 c7 S" X3 m) ~# }( t2 Z假如有这样一个局域网，内部IP地址范围192.168.1.1-254，网关地址为192.168.1.1，绑定在eth0接口上，同时，网关具有外部Internet地址为10.25.0.7，绑定在eth1接口上，防火墙就位于网关上，通过它的设置，对流经防火墙的网络包进行过滤处理。同时，在局域网内部有一台WWW服务器，他的内部地址为192.168.1.2，他被设置为可以接受外部的网络用户访问。
首先清空所有的规则链，并设置规则链的默认策略为DROP，即丢弃所有的网络数据包。
" h: p7 w4 J& z( \2 niptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
( k' y% s  G& P新增用户者自定义规则链bad_tcp_packets、allowed和icmp_packets。
iptables -N bad_tcp_packets
iptables -N allowed
iptables -N icmp_packets
: r$ g1 m) @% U# F8 W下面定义bad_tcp_packets规则链的规则：将要求重导向的网络连接记录起来，然后将报文丢弃（防止本地机器被其他主机作为入侵跳板，侵入别的主机）：
iptables -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"
% y' S1 Y8 r9 M" |, Diptables -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
下面定义allowed规则链的规则：允许要求连接的网络数据包或相应包进入，将其与网络数据包丢弃：
& Y, I+ h6 P! \6 z& r3 [iptables -A allowed -p TCP --syn -j ACCEPT
/ K, ?7 b' Q5 M# t5 Riptables -A allwoed -p TCP -m state --state ESTABLLSHED,RELATED -J ACCEPT
' x1 V$ ~; M8 f4 yIPTABLES -A allowed -p TCP -j DROP
下面定义icmp_packets规则链的规则：允许ping网络数据包进入，将其余的网络数据包丢弃：
- V/ j& P8 L3 w  U3 H& Y# Iiptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
1 C* r! w! r. p3 fiptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
5 E$ ~2 ]5 S1 DINPUT链，过滤要到达防火墙的网络数据包。
进入防火墙主机的TCP网络数据包必须先进行bad_tcp_packets过滤：
iptables -A INPUT -p TCP -j bad_tcp_packets
从WAN进入防火墙主机的ICMP网络数据包，必须先进行icmp_packets过滤，这是为了避免黑客传送不完整的IP网络数据包，系统会相应ICMP网络数据包，以通知对方，导致主机位置被侦测出来：
6 x% o* c! ]: S% s) Q$ liptables -A INPUT -p ICMP -i eth1 -j icmp_packets
! I5 ]5 i( r* n0 q! \# [从LAN进入防火墙主机的全部单播和广播的网络数据包，均会放行：
iptables -A INPUT -p ALL -i eth0 -d 192.168.1.1 -j ACCEPT
9 _8 ?9 y9 ~) h. f# giptables -A INPUT -p ALL -i eth0 -d 192.168.1.255 -j ACCEPT
从LAN进入防火墙主机的DHCP网络数据包，予以放行，只有当防火墙担任DHCP时才使用：
iptables -A INPUT -p UDP -i eth0 --dport 67 --sport 68 -j ACCEPT
从WAN进入防火墙主机的所有网络数据包，检查是否为响应网络数据包，若是则予以放行：
iptables -A INPUT -p ALL -d 10.25.0.7 -m state --state ESTABLISHED,RELATED -j ACCEPT
6 [) }% o& a4 t4 W; o- U0 n限制过滤规则的检测频率为每分钟平均流量三个网络数据包（超过）上限的网络数据包将暂停检测，并将瞬间流量设定为一次最多处理三个网络数据包（超过上限的网络数据包将丢弃不予处理），这类网络数据包通常是黑客用来进行拒绝服务攻击：
  E8 `# x7 \$ qiptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet dIEd:"
: {1 f, ]( Z  r- s' _9 H  X/ Q0 `FORWAD链，过滤要通过防火墙的网络数据包
2 t4 H! p* \+ b' g+ M/ U通过防火墙的TCP网络数据包必须先进行bad_tcp_pcakets过滤：
8 V& Q  Z; c4 Y5 t* J2 Eiptables -A FORWAD -P TCP -J bad_tcp_packets
从LAN要到WAN的网络数据包均放行：
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
3 b9 V; N9 t4 Z7 r3 i从WAN到LAN的网络数据包仅放行应答网络数据包：
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
0 p7 r  t' M& A  W4 A7 _" x( p允许来自WAN的PING网络数据包，递送到局域网内的WWW服务器：
* y' o* a4 l  x% Z( d8 O; M3 ciptables -A FORWARD -p ICMP -i eth1 -o eth0 -d 192.168.1.2 -j icmp_packets
) h. B' l" W) G. e4 ^7 \) N允许来自WAN的HTTP,HTTPS网络数据包，递送到局域网的WEB服务器：
iptables -A FORWARD -p TCP -i eth1 -o eth0 -d 192.168.1.2 -m multiport --dport 80,443 -j allowed
限制过滤规则的检测频率为每分钟平均流量3各网络数据包（超过上限的网络数据包将暂停检测），并将瞬间流量设定为一次最多处理3个数据包（超过上限的网络数据包将被丢弃不予处理），这类网络数据包通常是黑客用来进行拒绝服务攻击：
0 h# g. o, w# L+ A4 X' j: r  eiptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet dIEd:"
. S* L- C9 G3 G; j& }OUTPUT链，过滤从防火墙送出的网络数据包。
  r! x1 I4 ^' s! I* u从防火墙送出的TCP网络数据包必须先进行bad_tcp_packets过滤：
iptables -A OUTPUT -p TCP -j bad_tcp_packets
. ~, [1 w6 |; R4 j3 l对于过滤通过的TCP包和其他类型的包，均会放行：
* A/ u8 T7 A; w7 q% v% Jiptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
  s3 f! l  _; w. U5 iiptables -A OUTPUT -p ALL -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 10.25.0.7 -j ACCEPT
6 f( V. i0 o/ a* z限制过滤规则的检测频率为每分钟平均流量3各网络数据包（超过上限的网络数据包将暂停检测），并将瞬间流量设定为一次最多处理3个数据包（超过上限的网络数据包将被丢弃不予处理），这类网络数据包通常是黑客用来进行拒绝服务攻击：
$ G, H, l$ j/ N0 ciptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet dIEd:"
4.NAT配置
1） 目的NAT（DNAT）
$ ^# e+ i7 M* M' q4 |6 l- f6 lDNAT在外部数据包进入防火墙后且路由之前进行，他把该数据包的目的地址改为内部局域网的地址，然后路由该数据包进入到局域网内部主机。
! A$ l5 O4 b7 o2 y  s  \举例：
iptables -t nat -A PREROUTING -t tcp -d 10.25.0.7 --dport 80 -i eth1 -j DNAT --to 192.168.1.2:80
说明：可以路由到达防火墙的访问80端口（即WWW服务器）的数据包的目的地址改为192.168.1.2。
: v6 [* o, j  L2） 源NAT（SNAT）
SNAT主要用来更改从防火墙发出的数据包的源地址，使得来自局域网的私有地址通过防火墙后，更改为防火墙具有的外部地址，以便数据接收方接收数据后，能够找到正确的回复地址。
举例：
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to10.25.0.7
说明：更改所有来自192.168.1.0/24的数据包的源IP地址为10.25.0.7
注意：系统在经过路由及过滤等处理后，直到数据包要送出时，才进行SNAT，有一种SANT的特殊情况是IP伪装，通常建议在用拨号上网时使用，也就是在合法IP地址不固定的情况下使用。
" r; H  t& \5 B( j( E  Z举例：
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
说明：这样可以保证局域网内部的用户能够所有通过拨号服务器连接到INTERNET。

会计考友

5.缓存代理squid
1） 安装包
/ N# @9 Q3 ~. d: ^squid-2.5.STABLE1-2
2） 主要配置文件
; `' g6 O% C" q7 A$ `+ P/etc/squid/squid.conf
, }) D. n8 w: G3 |; Z内容：
http_port：指定了squid监听客户请求的端口，默认值是3128。要使用代理，建议这个端口值和运行squid的机器ip地址一起使用；
" J7 \' q$ S. K7 V3 E0 x- W. Y举例：http_port 192.168.0.2:3128
  G/ a9 d# |" D- w$ Z6 s# R1 u说明：squid绑定在ip地址192.168.0.2上，端口为3128。
% ]5 S- e. \, k5 G! zcache_mgr：当代理页面发生错误时，代理服务器将向这个配置项登记的用户发送邮件消息，将它配置为管理员的实际邮件地址；
举例：cache_mgr shuke@shuke.com
" Q$ o$ Y6 j) N说明：当代理页面发生错误，给shuke@shuke.com发送消息。
http_access：允许HTTP访问，这个是主要的访问控制列表。默认拒绝所有的访问。
举例：http_access allow all
说明：接受所有访问。
cache_dir：定义磁盘缓存空间，以存储访问过的页面或其他资源的拷贝。
8 ?' Z# I# }8 V3 W格式：cache_dir Type Directory-Name Fs-specific-data [options]
说明：
Type：存储类型，一般设置为ufs；
* H& U7 }' G* }9 A9 W& d& gDirectory-Name：代表缓存的位置，默认的设置是cache_dir ufs /var/spool/squid 100 16 256，其中，100代表缓存空间最大为100M；16到256代表缓存目录下的一级和二级目录数目。
3 i1 N( o% m/ ^3 r) h" }启动命令：/etc/rc.d/init.d/squid start
0 p" i: O/ a0 m客户端需要进行的设置：
* t+ }9 }# v* f( s3 uIE浏览器选项-局域网设置-选中代理服务器和对本地地址不使用代理服务器，填写代理的IP地址和端口号。
3） squid.conf的13个配置选项：
7 F# [* b7 N1 H+ INETWORK OPTIONS （有关的网络选项） ：
OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM （作用于邻居选择算法的有关选项） ：
OPTIONS WHICH AFFECT THE CACHE SIZE （定义cache大小的有关选项）：
- P- _4 R& h4 ?3 ]4 WLOGFILE PATHNAMES AND CACHE DIRECTORIES （定义日志文件的路径及cache的目录）
OPTIONS FOR EXTERNAL SUPPORT PROGRAMS （外部支持程序选项）
OPTIONS FOR TUNING THE CACHE （调整cache的选项）
TIMEOUTS （超时）
ACCESS CONTROLS （访问控制）
0 @0 f5 s$ Y! O) _6 j" wADMINISTRATIVE PARAMETERS （管理参数）
OPTIONS FOR THE CACHE REGISTRATION SERVICE （cache注册服务选项）
HTTPD-ACCELERATOR OPTIONS （HTTPD加速选项）
MISCELLANEOUS （杂项）
0 Z3 \5 b+ a! P- c# a# Y+ f. r# ?DELAY POOL PARAMETERS （延时池参数）
) \/ f1 `" S4 o% Y; q; R6 a6 T- v网络选项：
tcp_incoming_address指定监听来自客户或其他squid代理服务器的绑定ip地址；
tcp_outgoing_address指定向远程服务器或其他squid代理服务器发起连接的ip地址
udp_incoming_address为ICP套接字指定接收来自其他squid代理服务器的包的ip地址 udp_outgoing_address为ICP套接字指定向其他squid代理服务器发送包的ip地址；
4 o  s' [) ^. B6 x* @缺省为没有绑定任何ip地址。该绑定地址可以用ip指定，也可以用完整的域名指定。
交换空间设定选项：
' f" W. T, {+ O& qcache_swap_low （percent, 0-100）
cache_swap_high （percent, 0-100）
* {; i% x+ m; y% |; Y说明：squid使用大量的交换空间来存储对象。那么，过了一定的时间以后，该交换空间就会用完，所以还必须定期的按照某种指标来将低于某个水平线的对象清除。squid使用所谓的“最近最少使用算法”（LRU）来做这一工作。当已使用的交换空间达到cache_swap_high时，squid就根据LRU所计算的得到每个对象的值将低于某个水平线的对象清除。这种清除工作一直进行直到已用空间达到cache_swap_low。这两个值用百分比表示，如果你所使用的交换空间很大的话，建议你减少这两个值得差距，因为这时一个百分点就可能是几百兆空间，这势必影响squid的性能。缺省为：
- N9 q. E% f9 B0 E* T- O+ gcache_swap_low 90
/ D8 M) r" [* I0 u% d) ycache_swap_high 95
% b4 C" Q8 y6 w' r3 T: i( ?' Jmaximum_object_size
说明：大于该值得对象将不被存储。如果你想要提高访问速度，就请降低该值；如果你想最大限度地节约带宽，降低成本，请增加该值。单位为K，缺省值为：
maximum_object_size 4096 KB
有关日志的选项：
. x7 ]4 g  |% P3 U( q& vcache_access_log：
说明：指定客户请求记录日志的完整路径（包括文件的名称及所在的目录），该请求可以是来自一般用户的HTTP请求或来自邻居的ICP请求。缺省值为：cache_access_log /var/log/squid/access.log，如果你不需要该日志，可以用以下语句取消：cache_access_log none；
2 p0 r' y  p- Dcache_store_log
" N8 {+ R- A- ~3 t0 k, ?说明：指定对象存储记录日志的完整路径（包括文件的名称及所在的目录）。该记录表明哪些对象被写到交换空间，哪些对象被从交换空间清除。缺省路径为：cache_log /var/log/squid/cache.log，如果你不需要该日志，可以用以下语句取消：cache_store_log none；
cache_log：
说明：指定squid一般信息日志的完整路径（包括文件的名称及所在的目录）。缺省路径为：cache_log /var/log/squid/cache.log；
cache_swap_log：
说明：该选项指明每个交换空间的“swap.log”日志的完整路径（包括文件的名称及所在的目录）。该日志文件包含了存储在交换空间里的对象的元数据（metadata）。通常，系统将该文件自动保存在第一个“cache_dir”说定义的顶级目录里，但是你也可以指定其他的路径。如果你定义了多个“cache_dir”，则相应的日志文件可能是这样的：
; B: I* }1 b9 gcache_swap_log.00
. D1 N4 ~7 f  z/ g$ |+ L- N1 L5 T& pcache_swap_log.01
cache_swap_log.02
2 z0 Y2 v1 u: w- }& T后面的数字扩展名与指定的多个“cache_dir”一一对应。需要注意的是，最好不要删除这类日志文件，否则squid将不能正常工作；
( w* r2 |9 V/ W' b6 _pid_filename：
$ r. \. I  b0 G+ T+ k说明：指定记录squid进程号的日志的完整路径（包括文件的名称及所在的目录）。缺省路径为
pid_filename /var/run/squid.pid，如果你不需要该文件，可以用以下语句取消：pid_filename none；
debug_options：
说明：控制作日志时记录信息的多寡。可以从两个方面控制：section控制从几个方面作记录；level控制每个方面的记录的详细程度。推荐的方式（也是缺省方式）是：debug_options ALL,1，即，对每个方面都作记录，但详细程度为1（最低）；
9 p% S$ G* p! A# ?' Zlog_fqdn on|off：
说明：控制在 access.log 中对用户地址的记录方式。打开该选项时，squid记录客户的完整域名，取消该选项时，squid记录客户的ip地址。注意，如果打开该选项会增加系统的负担，因为squid还得进行客户ip的DNS查询。缺省值为：log_fqdn off。
4 h  t3 `3 R" D5 K/ U+ E) I有关外部支持程序的选项：
) s- G8 K) ^( w8 |ftp_user：
说明：设置登录匿名ftp服务器时的提供的电子邮件地址，登录匿名ftp服务器时要求用你的电子邮件地址作为登录口令（更多的信息请参看本书的相关章节）。需要注意的是，有的匿名ftp服务器对这一点要求很苛刻，有的甚至会检查你的电子邮件的有效性。缺省值为：ftp_user Squid@；
, B5 B* V! w# fftp_list_width：
说明：设置ftp列表的宽度，如果设得太小将不能的浏览到长文件名。缺省值为：ftp_list_width 32；
. A$ \. P( n8 Q) h$ ?) ~3 l" jcache_dns_program：
说明：指定DNS查询程序的完整路径（包括文件的名称及所在的目录）。缺省路径为：cache_dns_program /usr/lib/squid/dnsserver；
' s5 D% g  X: m! I" N+ _dns_children：
说明：设置DNS查询程序的进程数。对于大型的登录服务器系统，建议该值至少为 10。最大值可以是32，缺省设置为5个。注意，如果你任意的降低该值，可能会使系统性能急剧降低，因为squid主进程要等待域名查询的结果。没有必要减少该值，因为DNS查询进程并不会消耗太多的系统的资源；
- Q  ^% U( ]4 W3 y4 jdns_nameservers：
/ R% A( K/ ?+ Z% e5 Y说明：指定一个DNS服务器列表，强制squid使用该列表中的DNS服务器而非使用/etc/resolv.conf文件中定义的DNS服务器。你可以这样指定多个DNS服务器：dns_nameservers 10.0.0.1 192.172.0.4
' j2 Y9 X  d) t( o缺省设置为：dns_nameservers none；
unlinkd_program：
说明：指定文件删除进程的完整路径。缺省设置为：unlinkd_program /usr/lib/squid/unlinkd；
" e9 U5 s( J+ Xpinger_program：
说明：指定ping进程的完整路径。该进程被squid利用来测量与其他邻居的路由距离。该选项只在你启用了该功能时有用。缺省为：pinger_program /usr/lib/squid/pinger；
authenticate_program：
说明：指定用来进行用户认证的外部程序的完整路径。squid的用户认证功能我们将在后面的章节讲述。缺省设置为不认证。
' s2 y: {5 ?& F' N用户访问控制选项：
& g" k# e; C2 c" n* A0 w' c( d+ @acl：
说明：定义访问控制列表。
定义语法为：
1 F0 d3 ^! ?8 ^- g0 Bacl aclname acltype string1 …
. U3 i, `* u1 F, i5 eacl aclname acltype "file" …
$ i- K' U6 R$ L% O- D" d当使用文件时，该文件的格式为每行包含一个条目。
% E+ ]8 ^# n5 r% facltype 可以是 src dst srcdomain dstdomain url_pattern urlpath_pattern time port proto method browser user 中的一种。
# f  X0 Z- m( x( r7 l" \  g: \分别说明如下：
src 指明源地址。可以用以下的方法指定：
acl aclname src ip-address/netmask … （客户ip地址）
acl aclname src addr1-addr2/netmask … （地址范围）
dst 指明目标地址。语法为：
acl aclname dst ip-address/netmask … （即客户请求的服务器的ip地址）
1 i, L9 s# V  ]4 d  v# N  w# nsrcdomain 指明客户所属的域。语法为：
, F* E" V# ~4 P* P8 P, R+ F; eacl aclname srcdomain foo.com … squid将根据客户ip反向查询DNS。
" V  e- y* C  c* {2 n- v7 Wdstdomain 指明请求服务器所属的域。语法为：
acl aclname dstdomain foo.com … 由客户请求的URL决定。
注意，如果用户使用服务器ip而非完整的域名时，squid将进行反向的DNS解析来确 定其完整域名，如果失败就记录为“none”。
# R. l) ?) u6 S& D2 Qtime 指明访问时间。语法如下：
1 I/ w: a$ F" i1 _8 ^( a) T: `  `acl aclname time [day-abbrevs] [h1:m1-h2][hh:mm-hh]
) k9 s" f+ u" }; H# S  _' }day-abbrevs：
S - Sunday
M - Monday
T - Tuesday
W - Wednesday
H - Thursday
- `4 }8 Y3 h0 G3 y( ]' n- lF - Friday
9 U  Y- l7 q( ~! q# lA - Saturday

会计考友

h1:m1 必须小于 h2:m2，表达示为[hh:mm-hh]。
port 指定访问端口。可以指定多个端口，比如：
acl aclname port 80 70 21 …
acl aclname port 0-1024 … （指定一个端口范围）
proto 指定使用协议。可以指定多个协议：
acl aclname proto HTTP FTP …
method 指定请求方法。比如：
' ^; i+ w& S9 d( wacl aclname method GET POST …
' c8 o7 m# w3 l2 e  G各类超时设置选项：
negative_ttl time-units：
说明：设置消极存储对象的生存时间。所谓的消极存储对象，就是诸如“连接失败”及"404 Not Found"等一类错误信息。缺省设置为5分钟；
举例：negative_ttl 5 minutes
positive_dns_ttl time-units：
' a8 J  G; {8 B说明：设置缓存成功的DNS查询结果的生存时间。缺省为6小时；
( e, V4 _1 j/ g+ O举例：positive_dns_ttl 6 hours
negative_dns_ttl time-units：
说明：设置缓存失败的DNS查询结果的生存时间。缺省为5分钟；
举例：negative_dns_ttl 5 minutes
connect_timeout time-units：
4 ^" x: q1 d6 q9 i) ]4 D# A( c$ N说明：设置squid等待连接完成的超时值。缺省值为2分钟；
# U) a+ q) f- K# G1 p4 Y% q5 N举例：connect_timeout 120 seconds
read_timeout time-units：
2 i; I! g. N8 r0 c说明：如果在指定的时间内squid尚未从被请求的服务器读入任何数据，则squid将终止该客户请求。缺省值为15分钟；
举例：read_timeout 15 minutes
# y6 Y! |0 c  ?9 Erequest_timeout：
说明：设置在建立与客户的连接后，squid将花多长时间等待客户发出HTTP请求。缺省值为30秒。
举例：request_timeout 30 seconds；
clIEnt_lifetime time-units：
( f0 n" @. d6 a# D4 f& v说明：设置客户在与squid建立连接后，可以将该连接保持多长时间；
注意，因为客户建立的每个连接都会消耗一定的系统资源，所以如果你是为一个大型网络 提供代理服务的话，一定要正确地修改该值。因为如果同一时间的连接数量太大的话，可能会消耗大量的系统资源，从而导致服务器宕机。缺省值为1天，该值太大了，建议根据你自己的情况适当减小该值。
  S+ f* V# P/ P& w( l- V. w- n. }举例：clIEnt_lifetime 1 day
( g$ ]  ~* {# P& Shalf_closed_clIEnts on/off：
8 f# ]& s6 p' T! M' C' Q, J4 M说明：有时候由于用户的不正常操作，可能会使与squid的TCP连接处于半关闭状态，这时候，该TCP连接的发送端已经关闭，而接收端正常工作。缺省地，squid将一直保持这种处于半关闭状态的TCP连接，直到返回套接字的读写错误才将其关闭。如果将该值设为off，则一旦从客户端返回“no more data to read”的信息，squid就立即关闭该连接；
举例：half_closed_clIEnts on
+ e! X1 T" O( P8 |pconn_timeout：
说明：设置squid在与其他服务器和代理建立连接后，该连接闲置多长时间后被关闭。缺省值为120秒；
- A4 }! [2 n( N4 M1 d. v举例：pconn_timeout 120 seconds
3 m+ t8 U, i1 Y; m& ?ident_timeout：
3 c! ~7 `- R% G4 `7 Q  t说明：设置squid等待用户认证请求的时间。缺省值为10秒；
0 \( k( o3 G- W9 }3 W举例：ident_timeout 10 seconds
shutdown_lifetime time-units：
说明：当收到SIGTERM 或者 SIGHUP 信号后， squid将进入一种shutdown pending的模式，等待所有活动的套接字关闭。在过了shutdown_lifetime所定义的时间后，所有活动的用户都将收到一个超时信息。缺省值为30秒；
举例：shutdown_lifetime 30 seconds
1 n+ X# P# n- Z/ E; I+ a1 K( H管理参数选项：
cache_mgr：
说明：设置管理员邮件地址。缺省为管理员；
  a/ H3 Y! o# }; i举例：cache_mgr root
cache_effective_user / cache_effective_group：
3 O; r8 d9 T9 E+ g! \" X说明：如果用root启动squid，squid将变成这两条语句指定的用户和用户组。缺省变为squid用户和squid用户组。注意这里指定的用户和用户组必须真是存在于/etc/passwd中。如果用非root帐号启动 squid，则squid将保持改用户及用户组运行，这时候，你不能指定小于1024地http_port；
举例：
: x; C! V- d/ e5 x/ _, G! Z$ scache_effective_user squid
& ^: g- J  O" ?/ j' U, K) L* Ccache_effective_group squid
visible_hostname：
: O1 Z8 F1 Y9 y0 G4 ]' x+ O说明：定义在返回给用户的出错信息中的主机名；
举例：visible_hostname www-cache.foo.org
8 [' A( q- z: a( v1 {9 iunique_hostname：
说明：如果你有一个代理服务器阵列，并且你为每个代理服务器指定了同样的“visible_hostname”，同时你必须为它们指定不同的“unique_hostname”来避免“forwarding loops ”（传输循环）发生。
( g. x0 g8 p1 S5 z$ ~! I; p其它杂项：
1. dns_testnames
  l) ]- u6 U, p% p( d2 \说明：设置进行DNS查询测试，如果第一个站点解析成功则立即结束DNS查询测试。如果你不愿意进行DNS查询测试，就不要去掉缺省的设置；
举例：#dns_testnames netscape.com internic.net nlanr.net microsoft.com
logfile_rotate：
! q/ I9 q7 p5 K$ j说明：通常，squid会定期的将日志文件更名并打包。比如正在使用的日志文件为 access.log,squid会将其更名并打包为access.log.1.gz；过了一定时间后，squid又会将access.log.1.gz 更名为access.log.2.gz并将当前的日志文件更名并打包为access.log.1.gz，以此循环。logfile_rotate所指定的数字即为打包并备份的文件的数量，当达到这一数目时，squid将删除最老的备份文件。缺省值为10。如果你想手动来进行这些操作，你可以用 logfile_rotate 0来取消自动操作；
err_html_text：
4 P! [8 J; ?* D8 b9 G2 q$ @4 _说明：用该语句定义一个字符串变量，可以用％L在返回给用户的错误信息文件中引用。错误信息文件通常在/etc/squid/errors目录中，这是一些用HTML写成的脚本文件，你可以自己修改它；
deny_info：
- M" k% i5 F6 y9 [" l0 q9 p# o说明：你可以定制自定义的拒绝访问信息文件，并且可以和不同的用户列表相关联。当用户被http_access相关规则拒绝时，squid可以向用户显示你自定义的相应的拒绝访问信息文件；
举例：
Usage: deny_info err_page_name acl
" a- F. {1 [5 ~# U% C& {比如：
& ~: M6 y; l7 W$ ]deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys
memory_pools on|off：
说明：如果你将该项设为on，则squid将保留所有已经分配（但是未使用）的内存池以便在将来使用。缺省为on；
9 S; f# l/ r* y( O( t举例：memory_pools on
log_icp_querIEs on|off：
说明：设置是否对ICP请求作日志。如果你的系统负载很大，你可以用off来取消该功能；
; l  m! _2 U) k/ Q- |举例：log_icp_querIEs on
* K! N' n$ @' F, y2 e/ Falways_direct：
说明：该选项允许你指定某些用户类，squid将这些用户类的请求直接转发给被请求的服务器；
举例：
always_direct allow|deny [!]aclname …
如：直接转发FTP请求可以这样设置：
, L9 d- G, g+ `: X* Racl FTP proto FTP
always_direct allow FTP
never_direct
9 `6 ^/ H5 ^7 U  Q1 ~" D3 J: R% V) T说明：与always_direct相反；
8 r; t  Q8 F/ y- ^9 G举例：
3 Q! H/ Y8 F7 b- C1 ?& yUsage: never_direct allow|deny [!]aclname …
比如，为了强制除了本地域的其他用户使用代理服务器，你可以这样设置：
acl local-servers dstdomain foo.net
acl all src 0.0.0.0/0.0.0.0
never_direct deny local-servers
never_direct allow all
icon_directory：
说明：指明向用户传送错误信息时所用到的图标文件的目录；
: @- }6 p+ j9 k+ c举例：icon_directory /usr/lib/squid/icons
0 a% \' r% ]7 J3 d( lerror_directory：
说明：指明向用户传送错误信息所用到的错误描述文件的目录。
举例：error_directory /etc/squid/errors
0 Q8 X: t1 X7 [4 B9 _# l9 P3 ]5.透明代理的设置
编辑/etc/squid/squid.conf，修改参数如下：
httpd_accel_host virtual
httpd_accel_port 80
- A6 v  T4 {# k8 O" Dhttpd_accel_with_proxy on
3 {% u1 T# G3 f/ c/ F: Hhttpd_accel_uses_host_header on
运行/etc/rc.d/init.d/squid reload使设置生效，然后，使用iptables工具添加两条端口转向和网络地址转换规则：
1 n. h4 O8 X7 c& ?iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
这条命令将把所有局域网用户通过linux接入服务器访问WWW服务的访问请求，重定向到工作在3128端口的squid处理；
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 166.32.129.10
$ ?" h5 k* }, }: x& m这条命令是把所有来自192.168.1.0网段，并且将要从eth0网络接口（即internet连接）发出的数据包的源地址，更改为这个代理服务器所设置的外部IP地址166.32.129.10。
% R; Y$ }8 R( q/ x6 i7 K* o设置完毕，在局域网内的用户，将计算机的网关更改为192.168.1.2，则可以获得透明代理的服务了。