Squid搭建HTTP代理服务器

admin

Squid搭建HTTP代理服务器

2 m5 L5 y8 r$ L0 e  i安装Squid

使用yum命令安装Squid

[root@squid-ntp ~]# yum install -y squid

Loaded plugins: fastestmirror

Loading mirror speeds from cached hostfile

* base: mirrors.huaweicloud.com

* extras: mirrors.bupt.edu.cn

* updates: mirrors.huaweicloud.com

Resolving Dependencies

--> Running transaction check

.....

Dependency Installed:

  libecap.x86_64 0:1.0.0-1.el7                                 libtool-ltdl.x86_64 0:2.4.2-22.el7_3                             

  perl-Compress-Raw-Bzip2.x86_64 0:2.061-3.el7                 perl-Compress-Raw-Zlib.x86_64 1:2.061-4.el7                     

  perl-DBI.x86_64 0:1.627-4.el7                                perl-Data-Dumper.x86_64 0:2.145-3.el7                           

  perl-Digest.noarch 0:1.17-245.el7                            perl-Digest-MD5.x86_64 0:2.52-3.el7                              

  perl-IO-Compress.noarch 0:2.061-2.el7                        perl-Net-Daemon.noarch 0:0.48-5.el7                              

  perl-PlRPC.noarch 0:0.2020-14.el7                            squid-migration-script.x86_64 7:3.5.20-17.el7_9.8               

1 N) R# L( }! |: M' F) H

5 v- [& f$ N* x; [, a/ L

Complete!

确定安装版本

# rpm -qa |grep squid

squid-migration-script-3.5.20-17.el7_9.8.x86_64

squid-3.5.20-17.el7_9.8.x86_64

1 }$ h4 p2 H* {

修改ip_forward转发：

# sysctl -a |grep -w ip_forward

net.ipv4.ip_forward = 0

[root@squid ~]# vim /etc/sysctl.conf

[root@squid ~]# sysctl -p

net.ipv4.ip_forward = 1

[root@squid ~]#

Squid安装后默认设置为了拒绝所有服务器连接，只需要修改成所有服务器连接即可。

vim /etc/squid/squid.conf

http_access allow all

#http_access deny all

) T" L* ^- |% Z: p/ p1 h0 ]3 R' L

启动squid服务：

' M7 H1 W! p9 V

systemctl start squid.service

( i+ O6 j. c! `" Q' v

设置开机启动：

systemctl enable squid.service

[root@squid ~]# systemctl enable squid.service

Created symlink from /etc/systemd/system/multi-user.target.wants/squid.service to /usr/lib/systemd/system/squid.service.

[root@squid ~]# systemctl status squid.service

● squid.service - Squid caching proxy

   Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)

   Active: active (running) since Wed 2023-02-22 14:03:14 CST; 41s ago

Main PID: 2814 (squid)

   CGroup: /system.slice/squid.service

           ├─2814 /usr/sbin/squid -f /etc/squid/squid.conf

           ├─2816 (squid-1) -f /etc/squid/squid.conf

           └─2822 (logfile-daemon) /var/log/squid/access.log

/ m* ]0 E6 O) G( A; O+ D

Feb 22 14:03:04 squid-ntp systemd[1]: Starting Squid caching proxy...

Feb 22 14:03:14 squid-ntp squid[2814]: Squid Parent: will start 1 kids

Feb 22 14:03:14 squid-ntp squid[2814]: Squid Parent: (squid-1) process 2816 started

Feb 22 14:03:14 squid-ntp systemd[1]: Started Squid caching proxy.

此时已经是处于可用的状态了。

如果是云服务器可能存在策略限制，需要放行默认的3128端口。

添加防火墙规则：

使用SwitchyOmega工具，配置一条HTTP代理，默认端口是3128。

% B' k/ ]. P8 o: e3 N' D$ D* G

firewall-cmd --add-port=3128/tcp --permanent

success

[root@squid-ntp ~]# firewall-cmd --reload

success

[root@squid-ntp ~]# firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

  interfaces: ens160

  sources:

  services: dhcpv6-client ssh

  ports: 60028/tcp 323/tcp 323/udp 3128/tcp

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

admin

测试连通性
Windows下测试：

使用SwitchyOmega工具，配置一条HTTP代理，默认端口是3128。
5 h6 B+ L3 ~5 \$ ^5 |
# y; u, u- e$ {8 i& {3 Jimage-20211202190634526

切换到新建的策略，代理成功
0 n1 A+ h/ p" z- M
7 k; H6 j- e8 \; f' ^. z: T5 Y; ximage-20211202191253822
+ n0 V" q! t/ I6 [; o0 z! h
Linux下测试：
  C' F3 R$ j5 D7 y! ?8 ~1 S9 `
4 F) }4 J3 e  w6 twget -e "http_proxy=http://***.**.**.***" https://www.baidu.com
6 e. H4 w% m3 R9 C3 [" B! e) `( f* s[root@Ubuntu ~]# wget -e "http_proxy=http://***.**.**.***" https://www.baidu.com
6 W* V, x: c. H$ y: |--2021-12-02 19:26:05--  https://www.baidu.com/
+ J# B  u. y4 G  W正在解析主机 www.baidu.com (www.baidu.com)... 180.101.49.12, 180.101.49.11
, ?3 m1 e& Z" Q& p6 ~正在连接 www.baidu.com (www.baidu.com)|180.101.49.12|:443... 已连接。
已发出 HTTP 请求，正在等待回应... 200 OK
长度： 2443 (2.4K) [text/html]
正在保存至: “index.html”
5 o% K1 K" j& `$ T
index.html                          100%[==================================================================>]   2.39K  --.-KB/s    用时 0s   

4 g/ V. W+ e) t7 k4 r* M2021-12-02 19:26:05 (112 MB/s) - 已保存 “index.html” [2443/2443])

全局代理配置

vim /etc/profile

#在最后加入（有认证的情况）

& D& y" I% l& b2 f; @% Rexport http_proxy=”http://squid:123456@192.168.0.200:3128"

export https_proxy=”http://squid:123456@192.168.0.200:3128"
# k3 f2 v" s, I! P8 {. c( K' M
如果没有开启认证
$ Y, y% n# S% \  s4 W
export http_proxy=http://192.168.0.200:3128
/ Z4 e" {& R; M) K- V/ K
5 I- `; i6 [$ O8 U4 gexport https_proxy=http://192.168.0.200:3128
: K* d8 C& k6 c6 {: K
" H3 U" c# p+ {+ ]5 i/ psource /etc/profile

增加安全验证
4 g: J- K* B- S. `9 P1 C5 i直接裸奔不太安全，首先把默认的端口改了，改成一个自己喜欢的端口(记得同步放行策略)。
* ]1 r" W3 A1 l' J; V8 G4 T! Q* v
  m7 \) m* O$ ^ vim /etc/squid/squid.conf
http_port 3129
2 P- y' m# d1 o: Q. B1 Z3 R0 K然后可以使用httpd-tools工具添加密码验证
% D3 Z# ]8 e! u* ]& h3 N) I
没有就先安装
yum install httpd-tools -yLoaded plugins: fastestmirror
5 P$ K; L: Z- h/ HLoading mirror speeds from cached hostfile
* base: mirrors.huaweicloud.com
* extras: mirrors.bupt.edu.cn
, |; x9 b6 \/ M1 x- C+ j% l) r% a * updates: mirrors.huaweicloud.com
. y, y% l' b, j7 m, R4 p8 |Resolving Dependencies
--> Running transaction check
---> Package httpd-tools.x86_64 0:2.4.6-98.el7.centos.6 will be installed
8 b5 A9 x2 |' b--> Processing Dependency: libaprutil-1.so.0()(64bit) for package: httpd-tools-2.4.6-98.el7.centos.6.x86_64
--> Processing Dependency: libapr-1.so.0()(64bit) for package: httpd-tools-2.4.6-98.el7.centos.6.x86_64
# Z' Z* v- g$ d  n3 z--> Running transaction check
---> Package apr.x86_64 0:1.4.8-7.el7 will be installed
" V* `& B& z5 L5 v" b. i---> Package apr-util.x86_64 0:1.5.2-6.el7 will be installed
--> Finished Dependency Resolution

Dependencies Resolved
( g( j7 [8 g/ q6 Y. p
* X; U! d0 u2 K5 z3 k% T+ c. q==================================================================================================================================
; Y6 z! a* R1 E) Q Package                       Arch                     Version                                   Repository                 Size
% F4 m& c5 e; p==================================================================================================================================
Installing:
  x  H& h8 z9 `0 H httpd-tools                   x86_64                   2.4.6-98.el7.centos.6                     updates                    94 k
( H3 V' V) F: |: b) L. aInstalling for dependencies:
apr                           x86_64                   1.4.8-7.el7                               base                      104 k
apr-util                      x86_64                   1.5.2-6.el7                               base                       92 k

Transaction Summary
1 J8 u. V1 A& g8 l  G, ?==================================================================================================================================
Install  1 Package (+2 Dependent packages)

Total download size: 290 k
1 @- l) p. q  TInstalled size: 584 k
9 J$ ^$ q5 F( M: ]Downloading packages:
(1/3): apr-1.4.8-7.el7.x86_64.rpm                                                                          | 104 kB  00:00:00     
(2/3): apr-util-1.5.2-6.el7.x86_64.rpm                                                                     |  92 kB  00:00:00     
(3/3): httpd-tools-2.4.6-98.el7.centos.6.x86_64.rpm                                                        |  94 kB  00:00:00     
5 t5 A* }: Q* i----------------------------------------------------------------------------------------------------------------------------------
Total                                                                                             2.0 MB/s | 290 kB  00:00:00     
Running transaction check
# ?0 C2 G& ^6 }: w' G/ A' kRunning transaction test
Transaction test succeeded
Running transaction
$ N: P; a  S0 Y7 {& R. P* F  Installing : apr-1.4.8-7.el7.x86_64                                                                                         1/3
( o0 a( c$ ~) [3 K' i1 M  Installing : apr-util-1.5.2-6.el7.x86_64                                                                                    2/3
  Installing : httpd-tools-2.4.6-98.el7.centos.6.x86_64                                                                       3/3
+ x& j$ d9 r4 M  Verifying  : httpd-tools-2.4.6-98.el7.centos.6.x86_64                                                                       1/3
  _' b( Q1 x  K$ |2 U& Q  Verifying  : apr-1.4.8-7.el7.x86_64                                                                                         2/3
& Y: w2 P+ \/ N2 e+ M2 ?0 R: W1 |  Verifying  : apr-util-1.5.2-6.el7.x86_64                                                                                    3/3
9 j7 S% p, @2 H5 P
& u6 M) r4 t6 N1 VInstalled:
# G1 i. ^' P" U; q4 k' ?; V  ~/ n  httpd-tools.x86_64 0:2.4.6-98.el7.centos.6                                                                                      

* T+ {# H, k6 t* M; ]Dependency Installed:
* a6 g9 P3 G9 M  apr.x86_64 0:1.4.8-7.el7                                      apr-util.x86_64 0:1.5.2-6.el7                                    

Complete!
/ ]# a2 t: \& G. F& v

1 D8 X/ T4 o& L) ]1 E& ^ 生成密码文件，指定文件路径，其中squid是用户名，密码不能超过8个字符
8 k+ j- w$ \4 dhtpasswd -cd /etc/squid/passwords squid
; ~7 m8 g2 r7 v; R( ^2 n& B( u测试生成的密码文件
3 H! E( d4 {* N5 Y
/usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords               
squid 123456
ok

/usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords
squid cuscqaws
OK

, B1 t: l* b9 H9 o3 F 测试完成，crtl + c 打断
3 a1 G" I9 F2 ^  k# z
, P) b: n/ ^( j+ S+ Q* h
: b  X6 s$ M8 T. a) I# H4 Q5 h配置Squid文件

vim /etc/squid/squid.conf
- B6 {- u" g4 ?4 n1 P
! @$ o/ k7 c. G9 U" [#And finally deny all other access to this proxy
( o* E5 z  B; m: ~8 E1 ?/ ^. Z1 xauth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwords    #账户密码文件
8 c5 V  A) K$ B3 Q+ m: p% D( Xauth_param basic realm proxy
+ X( R  z( p  ]- rauth_param basic children 50                               #最多 50 个账户同时运行
auth_param basic realm CoolTube Proxy Server      #密码框描述
0 n/ `+ n; w) uauth_param basic credentialsttl 8 hours                 #认证持续时间
acl authenticated proxy_auth REQUIRED               #对 authenticated 进行外部认证
8 D' n0 j2 _7 _; I: whttp_access allow authenticated                          #允许 authenticated 中的成员访问
http_access deny all                                          #拒绝所有其他访问
% I9 R) A: Z; U( b2 y. U6 u. tvisible_hostname squid.CoolTube                        #代理机名字
. j5 j4 {; D' M& |. j0 z
8 l" }6 H" r* I* }! X, O# F4 g, U5 G重启服务
5 m! S$ d; @" w& w' s, @9 x1 V systemctl restart squid.service

2 k5 R' }. Q" D$ w) T7 j# squid -z
2023/02/22 14:19:42| Squid is already running!  Process ID 3793

9 I: y0 G; {9 D7 e( v; J) @& j
systemctl restart squid.service
$ V) o# E  ]/ n' X  w/ @
4 H3 P8 M* t+ A/ E) r- o+ N
  B9 a  r* a' H' x" p2 c systemctl status squid.service
9 Z8 Q$ N; V3 J& e; g+ d$ [● squid.service - Squid caching proxy
   Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2023-02-22 14:18:18 CST; 1min 56s ago
- C: C' L5 Q0 D' v3 W% D) B1 [' q  Process: 3749 ExecStop=/usr/sbin/squid -k shutdown -f $SQUID_CONF (code=exited, status=1/FAILURE)
  Process: 3789 ExecStart=/usr/sbin/squid $SQUID_OPTS -f $SQUID_CONF (code=exited, status=0/SUCCESS)
  Process: 3783 ExecStartPre=/usr/libexec/squid/cache_swap.sh (code=exited, status=0/SUCCESS)
6 `+ S$ u3 ]; c. d Main PID: 3791 (squid)
   CGroup: /system.slice/squid.service
+ k& W& f- B/ `' }$ x           ├─3791 /usr/sbin/squid -f /etc/squid/squid.conf
           ├─3793 (squid-1) -f /etc/squid/squid.conf
           └─3798 (logfile-daemon) /var/log/squid/access.log

Feb 22 14:18:18 squid-ntp systemd[1]: Starting Squid caching proxy...
+ k0 A9 o0 a3 v9 z( JFeb 22 14:18:18 squid-ntp squid[3791]: Squid Parent: will start 1 kids
" v$ \- r/ m; {( U3 zFeb 22 14:18:18 squid-ntp squid[3791]: Squid Parent: (squid-1) process 3793 started
Feb 22 14:18:18 squid-ntp systemd[1]: Started Squid caching proxy.


; O. o. F8 s+ E3 v) @) Q; E连接测试，弹出需要账号密码



image-20211202210858694

在SwitchyOmega中配置账号密码

image-20211202211038469

连接成功
% K5 t3 M- o: q6 E' u
, c* a; d8 {3 ?4 E; [# o) j& simage-20211202211115489
2 e; j6 c2 C9 G. D
查看日志
查看运行日志

# tail -f /var/log/squid/cache.log
* C. r% H% Y& D/ Q2 {" Htail默认显示最后10行。-f参数代表实时更新

查看连接日志
: j* O$ b* D1 x* R" P9 `
# tail -f /var/log/squid/access.log
& [4 j7 z2 q& ~7 ~4 L1 Z6 g增强流量匿名性
普通的代理会把原来的client信息放在X-Forwarded-For:这个header当中，这样子，我们请求的服务器就会知道我们的请求是从哪里来的了，这样子，我们显然没有做到匿名。所以我们通过forwarded_for off把这个信息去掉达到匿名的效果。

ANONYMOUS PROXY
forwarded_for off
request_header_access Allow allow all
6 G  J: i. p* H3 K9 q/ m/ D0 Grequest_header_access Authorization allow all
0 r1 k( g: C: Arequest_header_access WWW-Authenticate allow all
- I! `' `) R. ~7 x* Nrequest_header_access Proxy-Authorization allow all
request_header_access Proxy-Authenticate allow all
8 K7 c. L0 G( j& L* qrequest_header_access Cache-Control allow all
request_header_access Content-Encoding allow all
# ^1 ^  k1 S1 c% t1 Z/ W8 Mrequest_header_access Content-Length allow all
# L5 j6 W' I7 O# ~$ F1 N- Prequest_header_access Content-Type allow all
! O# x( A; R8 K/ Z- V- g6 `6 yrequest_header_access Date allow all
9 [$ `. S8 _' z- |. E+ frequest_header_access Expires allow all
request_header_access Host allow all
request_header_access If-Modified-Since allow all
request_header_access Last-Modified allow all
request_header_access Location allow all
request_header_access Pragma allow all
3 r4 E4 H9 r0 t: Vrequest_header_access Accept allow all
! M( a4 M! i/ D* K2 g+ Rrequest_header_access Accept-Charset allow all
. ^$ E+ k1 f  l: J2 w/ J& K( zrequest_header_access Accept-Encoding allow all
request_header_access Accept-Language allow all
* }6 N) U' h$ D5 irequest_header_access Content-Language allow all
" e2 r" V, Q/ F' ^3 I. \# Wrequest_header_access Mime-Version allow all
request_header_access Retry-After allow all
; i+ U+ a# T. i2 G- p8 H" W0 G% q: Wrequest_header_access Title allow all
request_header_access Connection allow all
; B; _% I+ a% S) F1 x; Mrequest_header_access Proxy-Connection allow all
5 M7 @) d7 A: Q* e" Y; v# urequest_header_access User-Agent allow all
  I6 _: d$ O* D3 T# arequest_header_access Cookie allow all
4 X9 V# x9 Q, o* f  d& q0 P6 b% vrequest_header_access All deny all
$ n4 T6 G" V' ]2 Q$ l& h& `
& w0 Z8 o" q# T3 T6 Zrequest_header_access Via deny all
- Y, v% q) n9 m, B" h+ Yrequest_header_access Forwarded-For deny all
request_header_access X-Forwarded-For deny all
request_header_access中的allow all是指squid保留我们client请求的header信息，如果使用deny则squid会把我们对应的header也一起隐藏掉。我们最好是保留header,因为我们用到了不同的useragent。
( Z4 B+ w  _/ B/ Y9 A4 x; L2 |
; ^7 Q+ ]+ b+ K# x重启服务

; P3 L/ z" j0 |  W: d9 D' O+ V[root@Q1nghuan ~]# squid -z
9 A" u8 y& ~- i2 q' T4 Z9 M" l: S[root@Q1nghuan ~]# systemctl restart squid.service
1 R+ |6 ~* @- e3 x[root@Q1nghuan ~]# systemctl status squid
也可以在配置中增加一条关闭缓存服务

vim /etc/squid/squid.conf
- ~3 ^3 L& ]) e0 P3 l! p% tcache deny all

& U( {- a; t( w  ]3 \6 g( u) V
1 D6 ?2 a5 m; V1 ]6 `+ o; a- a

+ c; w) [% }6 e: ^+ j, \5 l" i

admin

可以不添加认证方式，保持原有状态即可：
+ S+ d# R" I4 G; ^" U/ K
[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19" https://www.baidu.com
! z) c, K8 _. C0 b5 |- F& R--2023-03-03 09:45:46--  https://www.baidu.com/
Resolving www.baidu.com (www.baidu.com)... 110.242.68.4, 110.242.68.3
- K8 s9 k# H, l6 s: t8 H* Y7 F- KConnecting to www.baidu.com (www.baidu.com)|110.242.68.4|:443... connected.
9 u* Y7 f/ M7 i/ s7 F  w, t) ]HTTP request sent, awaiting response... 200 OK
Length: 2443 (2.4K) [text/html]
Saving to: ‘index.html’
/ s) f7 X, F% x# g( Z, k4 v' p
100%[=================================================================>] 2,443       --.-K/s   in 0s      
0 v; @/ o! _7 w
" s% i$ a* t* w) k3 i4 Q- d2023-03-03 09:45:46 (35.9 MB/s) - ‘index.html’ saved [2443/2443]

- Z* `7 D: f* Q[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19:3128" https://www.baidu.com
--2023-03-03 09:46:01--  https://www.baidu.com/
Resolving www.baidu.com (www.baidu.com)... 110.242.68.3, 110.242.68.4
6 n9 R, D6 K  ~3 `) h. nConnecting to www.baidu.com (www.baidu.com)|110.242.68.3|:443... connected.
HTTP request sent, awaiting response... 200 OK
: U0 w; o& y! T7 N2 }Length: 2443 (2.4K) [text/html]
Saving to: ‘index.html.1’

100%[=================================================================>] 2,443       --.-K/s   in 0s      
8 P& r2 r, s$ ]
/ k: n/ l1 j) V2023-03-03 09:46:01 (30.1 MB/s) - ‘index.html.1’ saved [2443/2443]
2 O* Q. ~/ q2 A$ ~5 _, q
[root@ntpserver ~]# wget -e "http_proxy=http://172.24.118.19:3128"  www.baidu.com
--2023-03-03 09:46:08--  http://www.baidu.com/
. r' P) v! D3 ~3 Z+ g/ aConnecting to 172.24.118.199:3128... connected.
Proxy request sent, awaiting response... 200 OK
Length: 2381 (2.3K) [text/html]
Saving to: ‘index.html.2’
# x, G) E& f8 F( V1 }
0 o8 n6 |0 a# o/ ?$ [100%[=================================================================>] 2,381       --.-K/s   in 0s      
; E, ^2 V( I& ]
$ S$ C# g, f. N& y0 Z, I- u. b2023-03-03 09:46:08 (247 MB/s) - ‘index.html.2’ saved [2381/2381]
: `3 W2 [: u; D' O4 R: e
[root@ntpserver ~]# ls
& U' [9 I) L1 }5 Q& r- ~& B5 G& Uanaconda-ks.cfg  index.html  index.html.1  index.html.2