Squid Cache(简称为Squid)是HTTP代理服务器软件。Squid用途广泛的,可以作为缓存服务器,可以过滤流量帮助网络安全,也可以作为代理服务器链中的一环,向上级代理转发数据或直接连接互联网。Squid程序在Unix一类系统运行。由于它是开源软件,有网站修改Squid的源代码,编译为原生Windows版;用户也可在Windows里安装Cygwin,然后在Cygwin里编译Squid。
Squid的发展历史相当悠久,功能也相当完善。除了HTTP外,对于FTP与HTTPS的支持也相当好,在3.0测试版中也支持了IPv6。但是Squid的上级代理不能使用SOCKS协议。
引用自:维基百科
Stunnel是一个自由的跨平台软件,用于提供全局的TLS/SSL服务。
针对本身无法进行TLS或SSL通信的客户端及服务器,Stunnel可提供安全的加密连接。该软件可在许多操作系统下运行,包括类Unix系统,以及Windows。Stunnel依赖于某个独立的库,如OpenSSL或者SSLeay,以实现下面的TLS或SSL协议。
Stunnel使用基于X.509数字证书的公开密钥加密算法来保证SSL的安全连接。客户端也可以选用自签名的数字证书来得到授权。
如果编译时与libwrap库链接,Stunnel亦可配置为proxy-firewall服务。
Stunnel由Michal Trojnara 和 糊涂的老虎 Hatch负责维护,遵照GNU通用公共许可证进行发布。
引用自:维基百科
使用squid运行在服务端做代理和缓存的功能,使用stunnel运行在客户端做与squid加密传输的功能
4. 软件获取说明:本文使用的是3.5版本的配置
(1)获取squid
① 源码获取
squid官网源码获取链接
② 二进制包获取
squid官网的二进制包获取方式
(2)安装squid
① 源码安装流程:
下载——tar解压——configure配置——make——make install
wget http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.27.tar.gz tar -vxzf squid-3.5.27.tar.gzcd squid-3.5.27/查看如何配置:
[msn@xx squid-3.5.27]# ./configure --help推荐配置
./configure --prefix=/usr/local/squid --with-openssl --enable-dlmalloc --enable-debug-cbdata --enable-async-io=100 --with-pthreads --enable-storeio="aufs,diskd,ufs" --enable-removal-policies="heap,lru" --enable-icmp --enable-delay-pools --enable-useragent-log --enable-referer-log --disable-wccp --disable-wccpv2 --enable-kill-parent-hack --enable-arp-acl --enable-snmp --enable-default-err-language=Simplify_Chinese --enable-err-languages="Simplify_Chinese English" --disable-poll --enable-epoll --disable-ident-lookups --disable-internal-dns --enable-truncate --enable-underscores --enable-basic-auth-helpers="NCSA" --enable-stacktrace --with-winbind-auth-challenge --enable-large-cache-files --with-large-files --with-maxfd=65535 --enable-ssl --enable-x-accelerator-vary sudo make sudo make install如果很懒,使用二进制包安装
centos 7
(3)获取stunnel
stunnel的windows版以及Linux版下载
(4)安装stunnel
已省略
二,配置代理 1. 为squid签一套自己的证书(1)签证程序openssl的使用
转到安装目录的配置文件目录下:
cd /usr/local/squid/etc/yum 安装的默认配置路径在
cd /etc/squid要用到openssl程序命令,没有先自行安装
可参阅:
安装openssl和openssl-devel
① 生成证书申请文件(my.csr)
openssl req -new > my.csr然后按提示填写,凡涉及密码,自行记录
② 生成私钥(myPrivate.key)
openssl rsa -in privkey.pem -out myPrivate.key③ 自签证书(my.crt)
openssl x509 -in my.csr -out my.crt -req -signkey myPrivate.key -days 3650要输入密码请输入第一个密码(填写申请文件时的密码)
更多openssl 的用法请参考博客
openssl简介
① 需要程序:basic_ncsa_auth(为后面的配置文件做准备)
如是源码安装,这在安装目录的libxx目录下,如:
/usr/local/squid/libexec/若找不着,请扫描磁盘
sufind / -name *auth找到后复制到 /usr/local/squid/etc/统一操作,如承上操作
cp /usr/local/squid/libexec/basic_ncsa_auth /usr/local/squid/etc/② 使用htpasswd 生成密码文件
如无htpasswd 命令,请安装Apache或httpd
htpasswd -c /usr/local/squid/etc/passwd oneNeedAuthUser接着输入允许这个用户oneNeedAuthUser连接服务器的密码
3. 配置squid官网的配置解释和各个版本的区别
修改配置前可以先把程序中的配置模板备份一份
cp /usr/local/squid/etc/squid.conf /usr/local/squid/etc/squid.conf.bak(1)推荐配置:
##############访问控制的ip列表定义############### Recommended minimum configuration:# Example rule allowing access from your local networks.# Adapt to list your (internal) IP networks from where browsing# should be allowedacl localnet src 10.0.0.0/8 # RFC1918 possible internal networkacl localnet src 172.16.0.0/12 # RFC1918 possible internal networkacl localnet src 192.168.0.0/16 # RFC1918 possible internal networkacl localnet src fc00::/7 # RFC 4193 local private network rangeacl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machinesacl remote_server src 66.xxx.xxx.xxx #服务器自身外网地址###############访问控制的端口列表定义#########acl SSL_ports port 443acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 # httpsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECT############实施访问控制###############http_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow remote_server########用户认证########################上文准备的basic_ncsa_auth连接认证程序和密码文件auth_param basic program /usr/local/squid/etc/basic_ncsa_auth /usr/local/squid/etc/passwdacl ncsa_users proxy_auth REQUIREDhttp_access allow ncsa_users###用户认证的细节配置auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off #http_access deny all########3##监听配置######################可以接受http明文传输#http_port 3128 #https密文传输,用要用到自准备的证书(公钥)和私钥https_port 443 cert=/usr/local/squid/etc/my.crt key=/usr/local/squid/etc/myPrivate.key##########域名服务器配置###################dns_nameservers 8.8.8.8##########存储设置####################内存大小cache_mem 40 MB #磁盘大小 ufs 格式 500M一块 分16个一级目录216个二级目录cache_dir ufs /tmp/squid 500 16 216 #进程死掉后的存续信息coredump_dir /var/spool/squid ##########刷新过滤设置###################refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern -i (/cgi-bin/|?) 0 0% 0refresh_pattern . 0 20% 4320#refresh_pattern .(jpe?g|png|gif|js|css|mp3|mp4|flv) 1440 20% 2880#########高匿设置#############################request_header_access Via deny allrequest_header_access X-Forwarded-For deny all#########日志存储###############################cache_log /home/temp/cache.logaccess_log /home/temp/access.logcache_store_log /home/temp/storage.log#########域名展示和联系管理员########################visible_hostname msn.comcache_mgr msnqqmail@qq.com(2)检查配置中的存储目录是否存在和是否有相应的权限
也许要用到
mkdir xxxsudo chmod -R 777 xxx/(3)检查网络防火墙
查看状态
service iptables status 或 firewall-cmd --state开放端口
firewall-cmd --zone=public --add-port=80/tcp --permanent其他详见
详解centos6和centos7防火墙的关闭
(4)使用squid
检查配置是否正确
/usr/local/squid/sbin/squid -k parse初始化缓存目录
/usr/local/squid/sbin/squid -z前台启动(便于调试)
/usr/local/squid/sbin/squid -N -d1守护启动(服务的方式启动)
/usr/local/squid/sbin/squid -s查看启动进程状态
ps -aux | grep squid查看占用的端口状态
netstat -apn | grep squid重载配置
/usr/local/squid/sbin/squid -k reconfigure重起
/usr/local/squid/sbin/squid -k restart停止代理服务器
/usr/local/squid/sbin/squid -k shutdown #柔和/usr/local/squid/sbin/squid -k kill #暴力如果还没停,超级暴力停止
pkill -kill /usr/local/squid/sbin/squid或kill -kill pid 三,使用stunnel连接代理 1. 配置stunnel与squid之间的连接 [https]client = yesaccept = 127.0.0.1:8089connect = xxx.xxx.xxx:443[https]client = yesaccept = 127.0.0.1:8090connect =xxx.xxx.xxx:443 2. 配置浏览器(客户端)与stunnel之间的连接① 浏览器连接
windows代理设置
在开始处输入internet
然后代理intern选项
选择连接
局域网配置
配置局域网
② python连接
使用requests库
import requestsfrom requests.auth import HTTPProxyAuthproxies = { "http": "127.0.0.1:8089", }auth = HTTPProxyAuth('sa', 'xxxxx')resposne = requests.get('http://www.google.com.hk/search?q=led&oq=led',proxies = proxies,auth=auth)print(resposne.status_code)如打印200表示成功
博客文章参考公司内部SQUID代理HTTPS访问资料网站
[经验分享] squid+stunnel+用户密码认证的三种玩法
squid工作原理及源码包编译安装配置
CSDN stunnel使用详解
通过Stunnel 实现SSL连接(测试ing)
详解centos6和centos7防火墙的关闭