Squid搭建HTTP代理服务器

admin

Squid搭建HTTP代理服务器

安装Squid

使用yum命令安装Squid

[root@squid-ntp ~]# yum install -y squid

Loaded plugins: fastestmirror

Loading mirror speeds from cached hostfile

* base: mirrors.huaweicloud.com

* extras: mirrors.bupt.edu.cn

* updates: mirrors.huaweicloud.com

Resolving Dependencies

--> Running transaction check

.....

Dependency Installed:

  libecap.x86_64 0:1.0.0-1.el7                                 libtool-ltdl.x86_64 0:2.4.2-22.el7_3                             

  perl-Compress-Raw-Bzip2.x86_64 0:2.061-3.el7                 perl-Compress-Raw-Zlib.x86_64 1:2.061-4.el7                     

  perl-DBI.x86_64 0:1.627-4.el7                                perl-Data-Dumper.x86_64 0:2.145-3.el7                           

  perl-Digest.noarch 0:1.17-245.el7                            perl-Digest-MD5.x86_64 0:2.52-3.el7                              

  perl-IO-Compress.noarch 0:2.061-2.el7                        perl-Net-Daemon.noarch 0:0.48-5.el7                              

  perl-PlRPC.noarch 0:0.2020-14.el7                            squid-migration-script.x86_64 7:3.5.20-17.el7_9.8               

8 j/ A8 g; p" ^: B7 ?4 {2 Q

Complete!

确定安装版本

# rpm -qa |grep squid

squid-migration-script-3.5.20-17.el7_9.8.x86_64

squid-3.5.20-17.el7_9.8.x86_64

2 k1 j" N) X3 B7 `  J  ]/ S# N

修改ip_forward转发：

# sysctl -a |grep -w ip_forward

net.ipv4.ip_forward = 0

[root@squid ~]# vim /etc/sysctl.conf

[root@squid ~]# sysctl -p

net.ipv4.ip_forward = 1

[root@squid ~]#

Squid安装后默认设置为了拒绝所有服务器连接，只需要修改成所有服务器连接即可。

vim /etc/squid/squid.conf

http_access allow all

#http_access deny all

启动squid服务：

9 x4 o  X4 O  N. M/ ^8 [

systemctl start squid.service

+ }  T! B9 P# ^5 E0 |, p& I

设置开机启动：

systemctl enable squid.service

[root@squid ~]# systemctl enable squid.service

Created symlink from /etc/systemd/system/multi-user.target.wants/squid.service to /usr/lib/systemd/system/squid.service.

[root@squid ~]# systemctl status squid.service

● squid.service - Squid caching proxy

   Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)

   Active: active (running) since Wed 2023-02-22 14:03:14 CST; 41s ago

Main PID: 2814 (squid)

   CGroup: /system.slice/squid.service

           ├─2814 /usr/sbin/squid -f /etc/squid/squid.conf

           ├─2816 (squid-1) -f /etc/squid/squid.conf

           └─2822 (logfile-daemon) /var/log/squid/access.log

6 g; T3 w. X0 l  F

Feb 22 14:03:04 squid-ntp systemd[1]: Starting Squid caching proxy...

Feb 22 14:03:14 squid-ntp squid[2814]: Squid Parent: will start 1 kids

Feb 22 14:03:14 squid-ntp squid[2814]: Squid Parent: (squid-1) process 2816 started

Feb 22 14:03:14 squid-ntp systemd[1]: Started Squid caching proxy.

此时已经是处于可用的状态了。

如果是云服务器可能存在策略限制，需要放行默认的3128端口。

添加防火墙规则：

使用SwitchyOmega工具，配置一条HTTP代理，默认端口是3128。

firewall-cmd --add-port=3128/tcp --permanent

success

+ }$ `2 H9 w( s/ L

[root@squid-ntp ~]# firewall-cmd --reload

success

[root@squid-ntp ~]# firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

  interfaces: ens160

  sources:

  services: dhcpv6-client ssh

  ports: 60028/tcp 323/tcp 323/udp 3128/tcp

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

  g* w! U% d! ~# I3 r6 Z% ^% A

admin

测试连通性
Windows下测试：

使用SwitchyOmega工具，配置一条HTTP代理，默认端口是3128。

5 a0 D3 C" j- e: F/ timage-20211202190634526
/ ~, S( `9 a4 Q  ]5 i) p; n0 k  I( t
切换到新建的策略，代理成功
  O8 W4 b$ c$ K" Q# e
% m) K- R# @# I+ t6 H+ Y4 y6 Gimage-20211202191253822

Linux下测试：
! H0 b1 B# P6 ]
6 z. B& L2 z. b  X- Iwget -e "http_proxy=http://***.**.**.***" https://www.baidu.com
& k2 t9 V8 v- r6 a[root@Ubuntu ~]# wget -e "http_proxy=http://***.**.**.***" https://www.baidu.com
--2021-12-02 19:26:05--  https://www.baidu.com/
正在解析主机 www.baidu.com (www.baidu.com)... 180.101.49.12, 180.101.49.11
正在连接 www.baidu.com (www.baidu.com)|180.101.49.12|:443... 已连接。
  ]: s  y6 s8 _3 u) x已发出 HTTP 请求，正在等待回应... 200 OK
长度： 2443 (2.4K) [text/html]
  B  q* z) g1 v4 m; [正在保存至: “index.html”
3 t( E2 O3 Q% x6 k2 Q3 f3 k
index.html                          100%[==================================================================>]   2.39K  --.-KB/s    用时 0s   
% [: a- r( ?2 r0 a- x; F6 O
! F5 N* Y  s" _7 E7 Q2021-12-02 19:26:05 (112 MB/s) - 已保存 “index.html” [2443/2443])

全局代理配置

vim /etc/profile

#在最后加入（有认证的情况）
1 T, [& C- q: T5 a8 _7 w: w
: G- ^) C) x0 o. O& dexport http_proxy=”http://squid:123456@192.168.0.200:3128"

export https_proxy=”http://squid:123456@192.168.0.200:3128"
: ~5 F! W  m/ j5 \' B- `
# U: X5 O* g% I6 E! V+ e8 k如果没有开启认证

export http_proxy=http://192.168.0.200:3128

) n! A5 v6 `, sexport https_proxy=http://192.168.0.200:3128

( N; d* Z- z! P9 ]+ `: D4 wsource /etc/profile

- l$ E1 n7 K/ g8 `: }8 x6 Q) Y/ {增加安全验证
. t+ h- C% j/ J, C. M* y" R直接裸奔不太安全，首先把默认的端口改了，改成一个自己喜欢的端口(记得同步放行策略)。

5 r1 a; y5 x  D# x8 G- D# u8 o# ?( R8 d vim /etc/squid/squid.conf
http_port 3129
9 D$ }; f9 Q9 p. G) ?% Q# f然后可以使用httpd-tools工具添加密码验证
! p9 p" A2 l5 ]! ]
没有就先安装
0 V2 r" h0 y; @/ m% {+ h- ]yum install httpd-tools -yLoaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.huaweicloud.com
6 k) ^7 T+ y6 ^4 t- f * extras: mirrors.bupt.edu.cn
! c4 X- J! K6 @% \3 k * updates: mirrors.huaweicloud.com
! f% m, ]  O4 ]Resolving Dependencies
--> Running transaction check
  H/ \' P. J- p) k2 U# T# f+ k5 ^---> Package httpd-tools.x86_64 0:2.4.6-98.el7.centos.6 will be installed
--> Processing Dependency: libaprutil-1.so.0()(64bit) for package: httpd-tools-2.4.6-98.el7.centos.6.x86_64
8 y+ u5 i3 |# ?& C--> Processing Dependency: libapr-1.so.0()(64bit) for package: httpd-tools-2.4.6-98.el7.centos.6.x86_64
--> Running transaction check
---> Package apr.x86_64 0:1.4.8-7.el7 will be installed
---> Package apr-util.x86_64 0:1.5.2-6.el7 will be installed
--> Finished Dependency Resolution

( K" U6 i6 @0 E: q6 U% oDependencies Resolved
! A0 S3 P9 Z4 m  h
, F7 e: }+ d' i! W0 \' ~$ N3 j==================================================================================================================================
& j+ Q' k6 D" ` Package                       Arch                     Version                                   Repository                 Size
. ^$ `8 }* e: B$ E==================================================================================================================================
Installing:
httpd-tools                   x86_64                   2.4.6-98.el7.centos.6                     updates                    94 k
Installing for dependencies:
4 i  U8 _/ |2 T: j! ^4 A) e' T9 B apr                           x86_64                   1.4.8-7.el7                               base                      104 k
# Q9 H( J- t. |( q2 t( | apr-util                      x86_64                   1.5.2-6.el7                               base                       92 k
5 v8 p4 R+ l- }! c& {# v/ Q
1 n/ B8 ^3 E0 I' p' Q- NTransaction Summary
==================================================================================================================================
6 H3 ?9 j! x$ H4 KInstall  1 Package (+2 Dependent packages)
  Y. p  o# F& @" W% o4 D% U% U
Total download size: 290 k
7 f5 ?" k8 C3 d8 eInstalled size: 584 k
9 o9 W9 Y. v7 cDownloading packages:
(1/3): apr-1.4.8-7.el7.x86_64.rpm                                                                          | 104 kB  00:00:00     
(2/3): apr-util-1.5.2-6.el7.x86_64.rpm                                                                     |  92 kB  00:00:00     
/ t& `4 C3 p9 ?. d5 x( M(3/3): httpd-tools-2.4.6-98.el7.centos.6.x86_64.rpm                                                        |  94 kB  00:00:00     
% l- `1 {) q9 N3 ~3 S# V% `$ q----------------------------------------------------------------------------------------------------------------------------------
Total                                                                                             2.0 MB/s | 290 kB  00:00:00     
Running transaction check
Running transaction test
" m% M/ D8 F! a/ S* E5 _$ j/ WTransaction test succeeded
, Y9 O4 T5 B' q+ o! H6 P9 JRunning transaction
9 s& |. V$ z% _* p  Installing : apr-1.4.8-7.el7.x86_64                                                                                         1/3
  Installing : apr-util-1.5.2-6.el7.x86_64                                                                                    2/3
) g+ q  Q7 |' a$ k. G1 X7 \; I  Installing : httpd-tools-2.4.6-98.el7.centos.6.x86_64                                                                       3/3
. ~* n3 Y3 B5 H" O/ P8 g- Q  Verifying  : httpd-tools-2.4.6-98.el7.centos.6.x86_64                                                                       1/3
# K% R: C2 F7 g! I$ n) D  Verifying  : apr-1.4.8-7.el7.x86_64                                                                                         2/3
2 l5 F# e3 `6 h' P+ ]  Verifying  : apr-util-1.5.2-6.el7.x86_64                                                                                    3/3
1 Q1 K! U* N# A, U
Installed:
  httpd-tools.x86_64 0:2.4.6-98.el7.centos.6                                                                                      
* q; o6 H0 b1 J* ^; i5 K5 [0 t+ K
Dependency Installed:
  apr.x86_64 0:1.4.8-7.el7                                      apr-util.x86_64 0:1.5.2-6.el7                                    
- o' x; b9 E" T% ~
Complete!


生成密码文件，指定文件路径，其中squid是用户名，密码不能超过8个字符
htpasswd -cd /etc/squid/passwords squid
5 p# p& A; q0 j; Y9 R  r6 Y7 M测试生成的密码文件
5 o- A7 s" l; P1 S5 J
/usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords               
- P9 L- |( Z9 u+ R# a8 s8 ksquid 123456
, l& Y' N& N5 i6 i: U5 n2 wok

( _& }& d, q2 _/ P1 A" g/usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords
squid cuscqaws
4 K. o7 w4 |; x6 f( iOK
5 `: Y* k6 A) ^% H0 b
测试完成，crtl + c 打断


5 S8 N6 {: s9 P! z* B" H" y配置Squid文件
8 S. @9 k7 x& s2 ^1 Z# }1 U( e  c6 T
vim /etc/squid/squid.conf

#And finally deny all other access to this proxy
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords    #账户密码文件
* K/ G0 d5 p) [auth_param basic realm proxy
; |) {5 k9 W- ^4 G+ M: hauth_param basic children 50                               #最多 50 个账户同时运行
auth_param basic realm CoolTube Proxy Server      #密码框描述
. w8 z8 I$ y7 F* D  ^" Jauth_param basic credentialsttl 8 hours                 #认证持续时间
acl authenticated proxy_auth REQUIRED               #对 authenticated 进行外部认证
http_access allow authenticated                          #允许 authenticated 中的成员访问
http_access deny all                                          #拒绝所有其他访问
1 i- \1 v" }2 g/ r8 M, L. Bvisible_hostname squid.CoolTube                        #代理机名字

8 p/ ~, W/ F- O: `重启服务
/ W9 X5 B: p( P- k) U systemctl restart squid.service

+ j# K* x. K: X2 K# squid -z
2023/02/22 14:19:42| Squid is already running!  Process ID 3793
4 u; n, l5 L5 R/ l
1 R$ r) x3 s; F& G
5 e" x1 a$ |7 A  W4 V systemctl restart squid.service

/ Y1 P- C: y0 o$ Z! D
systemctl status squid.service
● squid.service - Squid caching proxy
   Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2023-02-22 14:18:18 CST; 1min 56s ago
  Process: 3749 ExecStop=/usr/sbin/squid -k shutdown -f $SQUID_CONF (code=exited, status=1/FAILURE)
& q* U* N2 E# E8 J9 r. ?  Process: 3789 ExecStart=/usr/sbin/squid $SQUID_OPTS -f $SQUID_CONF (code=exited, status=0/SUCCESS)
, g2 X9 W4 }' u+ E$ q; n  Process: 3783 ExecStartPre=/usr/libexec/squid/cache_swap.sh (code=exited, status=0/SUCCESS)
0 V5 n+ }8 d/ O: b" _+ q% r: w( Z Main PID: 3791 (squid)
3 g( `8 X) j; g5 k   CGroup: /system.slice/squid.service
           ├─3791 /usr/sbin/squid -f /etc/squid/squid.conf
" Q! U; v' f1 \) v! I& ^8 `           ├─3793 (squid-1) -f /etc/squid/squid.conf
           └─3798 (logfile-daemon) /var/log/squid/access.log
+ c0 |5 x" k. h' k
Feb 22 14:18:18 squid-ntp systemd[1]: Starting Squid caching proxy...
Feb 22 14:18:18 squid-ntp squid[3791]: Squid Parent: will start 1 kids
/ ^4 ^/ M: {+ a; DFeb 22 14:18:18 squid-ntp squid[3791]: Squid Parent: (squid-1) process 3793 started
1 f- ?" g3 A: F+ ?; x, a0 C& \# PFeb 22 14:18:18 squid-ntp systemd[1]: Started Squid caching proxy.


连接测试，弹出需要账号密码


7 z# \$ N1 Y3 B* A' F" O
+ j7 C) U  H) z& J  S( Q1 Yimage-20211202210858694

0 \: j9 V9 H& [" E在SwitchyOmega中配置账号密码
$ O  {' p' s2 o  K" [  T; b9 @" E
/ l0 v% D* ~- a# @3 T+ [image-20211202211038469

, @, \2 o4 ]  u) \3 m( l' p连接成功

image-20211202211115489

查看日志
查看运行日志
. W  x- \: C+ h0 b
# tail -f /var/log/squid/cache.log
tail默认显示最后10行。-f参数代表实时更新

查看连接日志
" @5 V, Z- r( o, B5 P) @. q4 Y4 W
9 k5 B4 o) A" Z7 U" m# tail -f /var/log/squid/access.log
增强流量匿名性
普通的代理会把原来的client信息放在X-Forwarded-For:这个header当中，这样子，我们请求的服务器就会知道我们的请求是从哪里来的了，这样子，我们显然没有做到匿名。所以我们通过forwarded_for off把这个信息去掉达到匿名的效果。
9 c; Q" D( X9 ]9 I5 P
, i7 C5 Z5 O6 w8 p8 `! j ANONYMOUS PROXY
, c% C+ r1 x% L. @+ bforwarded_for off
request_header_access Allow allow all
request_header_access Authorization allow all
request_header_access WWW-Authenticate allow all
2 g, C8 g. \0 D- m# wrequest_header_access Proxy-Authorization allow all
request_header_access Proxy-Authenticate allow all
# T+ y3 W; y6 Grequest_header_access Cache-Control allow all
% o1 p  F( @, S; S' D' p8 Jrequest_header_access Content-Encoding allow all
- `! E9 r0 G: [: ]# v8 Qrequest_header_access Content-Length allow all
request_header_access Content-Type allow all
$ Z6 C& J4 N% _2 U4 ^request_header_access Date allow all
8 o6 B3 L* @# o) Y# j$ Y0 r/ ^request_header_access Expires allow all
! g; H9 W. D: ^2 B/ Y5 Mrequest_header_access Host allow all
request_header_access If-Modified-Since allow all
request_header_access Last-Modified allow all
. z. o% ?% O& R: |$ orequest_header_access Location allow all
request_header_access Pragma allow all
. ^0 W! [1 h$ j+ p4 o; v) l8 @request_header_access Accept allow all
% @2 _* s7 H  [9 G) }- Erequest_header_access Accept-Charset allow all
; j; }" a+ C7 Xrequest_header_access Accept-Encoding allow all
request_header_access Accept-Language allow all
request_header_access Content-Language allow all
request_header_access Mime-Version allow all
( W" `/ _" S. b# Q$ O8 p  grequest_header_access Retry-After allow all
/ _! U9 n6 _( H9 Trequest_header_access Title allow all
request_header_access Connection allow all
request_header_access Proxy-Connection allow all
, Y# F8 j, |( Z  C: U9 P* irequest_header_access User-Agent allow all
request_header_access Cookie allow all
request_header_access All deny all

request_header_access Via deny all
request_header_access Forwarded-For deny all
' Z" }+ ~5 `5 @1 a" R1 brequest_header_access X-Forwarded-For deny all
request_header_access中的allow all是指squid保留我们client请求的header信息，如果使用deny则squid会把我们对应的header也一起隐藏掉。我们最好是保留header,因为我们用到了不同的useragent。

8 L# e9 J8 t) m3 P2 W* _* H2 \重启服务
( N& N" q2 B! n8 d. u* j
[root@Q1nghuan ~]# squid -z
( B0 L: A7 t, s: S& ?[root@Q1nghuan ~]# systemctl restart squid.service
' z# E' Q/ {( g( q4 }) c) D[root@Q1nghuan ~]# systemctl status squid
1 s9 _; t6 j5 j" l. b也可以在配置中增加一条关闭缓存服务

vim /etc/squid/squid.conf
4 F8 C# p. X0 ?. r+ |9 ^cache deny all

admin

可以不添加认证方式，保持原有状态即可：
  K/ l+ J/ J" P9 L3 ^
6 K. S" k+ u$ z7 l; p8 n[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19" https://www.baidu.com
/ X( ?$ F4 A) @- ?+ ?9 E/ i1 j--2023-03-03 09:45:46--  https://www.baidu.com/
Resolving www.baidu.com (www.baidu.com)... 110.242.68.4, 110.242.68.3
: C6 L$ d6 I1 jConnecting to www.baidu.com (www.baidu.com)|110.242.68.4|:443... connected.
% b& a+ L" b8 Y/ K% IHTTP request sent, awaiting response... 200 OK
Length: 2443 (2.4K) [text/html]
# z" ?- N! _7 F! M9 t: Z1 O3 rSaving to: ‘index.html’

' q! g) O/ h5 a100%[=================================================================>] 2,443       --.-K/s   in 0s      

2023-03-03 09:45:46 (35.9 MB/s) - ‘index.html’ saved [2443/2443]

[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19:3128" https://www.baidu.com
1 Q6 q% u- h) O5 p' U6 r+ h  `7 @--2023-03-03 09:46:01--  https://www.baidu.com/
Resolving www.baidu.com (www.baidu.com)... 110.242.68.3, 110.242.68.4
& t7 P. h: L1 i7 v3 ]! ]4 D" KConnecting to www.baidu.com (www.baidu.com)|110.242.68.3|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2443 (2.4K) [text/html]
# e3 i1 o$ a& o$ kSaving to: ‘index.html.1’
5 I/ Y  h3 V: Y; @8 F) A0 ]
% R. d% A4 P9 h7 i. c0 ^9 k. J100%[=================================================================>] 2,443       --.-K/s   in 0s      
2 B2 z! K5 d0 Y
2023-03-03 09:46:01 (30.1 MB/s) - ‘index.html.1’ saved [2443/2443]

# r7 _% t; i: Z  X[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19:3128"  www.baidu.com
$ [9 n+ D  N1 l7 J$ h--2023-03-03 09:46:08--  http://www.baidu.com/
' S6 i- Q7 Q; IConnecting to 172.24.118.199:3128... connected.
% n( D. L2 \' \! w; S6 bProxy request sent, awaiting response... 200 OK
# V- P! M: a. k0 S+ e1 Z- JLength: 2381 (2.3K) [text/html]
' L0 S0 Z! _* R  A' i- t, SSaving to: ‘index.html.2’

# f. r$ B4 N" ~( y100%[=================================================================>] 2,381       --.-K/s   in 0s      
) q: a- [( }; Q1 j" N7 u
2023-03-03 09:46:08 (247 MB/s) - ‘index.html.2’ saved [2381/2381]
- i  c* |- g, n2 m1 U: m5 b
[root@ntpserver ~]# ls
& W% w) ]  N2 q5 e, Q4 D/ kanaconda-ks.cfg  index.html  index.html.1  index.html.2