squid配置-Linux下架设代理服务器(8)

透明代理的实现需要在Linux 2.0.29以上，但是Linux 2.0.30并不支持该功能，好在我们现在使用的通常是2.2.X以上的版本，所以不必担心这个问题。下面我们就用ipchains+squid来实现透明代理。在开始之前需要说明的是,目前我们只能实现支持HTTP的透明代理，但是也不必太担心，因为我们之所以使用代理，目的是利用squid的缓存来提高Web的访问速度，至于提供内部非法ip地址的访问及提高网络安全性，我们可以用ipchains来解决。 
实现环境：RedHat6.x+squid2.2.x+ipchains 

5.3.1 linux的相关配置 
确定你的内核已经配置了以下特性： 
[*] Network firewalls 
[ ] Socket Filtering 
[*] Unix domain sockets 
[*] TCP/IP networking 
[ ] IP: multicasting 
[ ] IP: advanced router 
[ ] IP: kernel level autoconfiguration 
[*] IP: firewalling 
[ ] IP: firewall packet netlink device 
[*] IP: always defragment (required for masquerading) 
[*] IP: transparent proxy support 
如果没有，请你重新编译内核。一般在RedHat6.x以上，系统已经缺省配置了这些特性。 

5.3.2squid的相关配置选项 
设置squid.conf中的相关选项，如下所示： 
http_port 3218 
httpd_accel_host virtual 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 
说明： 
1.http_port 3128 
在本例中，我们假设squid的HTTP监听端口为3128,即squid缺省设置值。然后，把所有来自于客户端web请求的包（即目标端口为80)重定向到3128端口。 
2.httpd_accel_host virtual 
httpd_accel_port 80 
这两个选项本来是用来定义squid加速模式的。在这里我们用virtual来指定为虚拟主机模式。80端口为要加速的请求端口。采用这种模式时，squid就取消了缓存及ICP功能，假如你需要这些功能，这必须设置httpd_accel_with_proxy选项。 
3.httpd_accel_with_proxy on 
该选项在透明代理模式下是必须设置成on的。在该模式下，squid既是web请求的加速器，又是缓存代理服务器。 
4.httpd_accel_uses_host_header on 
在透明代理模式下，如果你想让你代理服务器的缓存功能正确工作的话，你必须将该选项设为on。设为on时，squid会把存储的对象加上主机名而不是ip地址作为索引。这一点在你想建立代理服务器阵列时显得尤为重要。 

5.3.3 ipchains的相关配置 
ipchains在这里所起的作用是端口重定向。我们可以使用下列语句实现将目标端口为80端口的TCP包重定向到3128端口。 
#接收所有的回送包 
/sbin/ipchains -A input -j ACCEPT -i lo 
#将目标端口为80端口的TCP包重定向到3128端口 
/sbin/ipchains -A input -p tcp -d 0.0.0.0/0 80 -j REDIRECT 80 
当然在这以前，我们必须用下面的语句打开包转发功能。 
echo 1 >; /proc/sys/net/ipv4/ip_forward 

小节 
开始，我们讨论了代理服务器的概念，代理服务器的分类；然后，我们把注意力集中在squid，讲述了如何安装和配置squid；最后我们讲了一些squid配置中的高级话题，即实现用户认证的两种方法，透明代理的实现等。当然，还有一些高级话题本章没有讲到，如代理阵列的实现，加速模式的运用等等。但是，我们不可能把所有东西都讲完讲全，希望读者能举一反三，自己去摸索，去尝试。