[图文]搭建Linux下的Squid代理服务器(3)

　1. http_port
　　
　　该选项定义Squid监听HTTPD客户连接请求的端口。默认是3128，如果使用HTTPD加速模式，则为80。可以指定多个端口，但是所有指定的端口都必须在一条命令行上出现，程序才能正确地识别。
　　
　　2. cache_mem（bytes）
　　
　　该选项用于指定Squid可以使用的内存的理想值。这部分内存被用来存储以下对象：In-Transit objects（传入的对象）、Hot Objects（热对象，即用户常访问的对象）、Negative-Cached objects（消极存储的对象）。
　　
　　3. cache_dir Directory-Name Mbytes Level1 Level2
　　
　　该选项指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个交换空间，并且这些交换空间可以分布在不同的磁盘分区。“directory”指明了该交换空间的顶级目录。如果想用整个磁盘作为交换空间，那么可以将该目录作为装载点将整个磁盘挂装上去。默认值为/var/spool/squid。Mbytes定义了可用的空间总量。
　　
　　配置访问控制
　　
　　使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素：ACL元素和访问列表。通过使用这些方法，系统管理员可以严格、清晰地定义代理服务器的访问控制策略。
　　
　　1． ACL元素
　　
　　该元素定义的语法如下：
　　
　　acl aclname acltype string1…
　　
　　acl aclname acltype “file”…
　　
　　当使用文件时，该文件的格式为每行包含一个条目。其中，acltype可以是任一个在ACL中定义的名称；任何两个ACL元素不能用相同的名字；每个ACL由列表值组成，当进行匹配检测的时候，多个值由逻辑或运算连接，换句话说，任一ACL元素的值被匹配，则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类型；不同的ACL元素写在不同行中，Squid将这些元素组合在一个列表中。
　　
　　2． http_access访问控制列表
　　
　　根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目，则默认为应用最后一条项目的“非”。比如最后一条为允许，则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。使用该访问控制列表需要注意如下问题：
　　
　　● 这些规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束；
　　
　　● 访问列表可以由多条规则组成；
　　
　　● 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则对应；
　　
　　● 一个访问条目中的所有元素将用逻辑与运算连接，如下所示：
　　
　　http_access Action 声明1 AND 声明2 AND 声明 OR
　　
　　http_access Action 声明3
　　
　　● 多个http_access声明间用或运算连接，但每个访问条目的元素间用与运算连接；
　　
　　● 列表中的规则总是遵循由上而下的顺序。
　　
　　3． 使用访问控制
　　
　　上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题，下面给出使用这些访问控制方法的实例。
　　
　　如果，允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器，并且允许在文件/etc/squid/guest列出的客户机访问代理服务器，除此之外的客户机将拒绝访问本地代理服务器。那么具体操作如下：
　　
　　acl clients src 10.0.0.124/24 192.168.10.15/24
　　
　　acl guests src “/etc/squid/guest”
　　
　　acl all src 0.0.0.0/0.0.0.0
　　
　　http_access allow clients
　　
　　http_access allow guests
　　
　　http_access deny all
　　
　　其中，文件“/etc/squid/guest”中的内容为：
　　
　　172.168.10.3/24
　　
　　210.113.24.8/16
　　
　　10.0.1.24/25
　　
　　……
　　
　　如果，允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器，其他的域都将拒绝访问本地代理服务器。那么具体操作如下：
　　
　　acl permitted_domain src job.net gdfq.edu.cn
　　
　　acl all src 0.0.0.0/0.0.0.0
　　
　　http_access allow permitted_domain
　　
　　http_access deny all
　　
　　如果，使用正则表达式，拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站。那么具体操作如下：
　　
　　acl deny_url url_regex － sexy
　　
　　http_access deny deny_url
　　
　　如果，拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站，其中文件/etc/squid/deny_ip中存放有拒绝访问的IP地址，文件/etc/squid/deny_dns中存放有拒绝访问的域名。那么具体操作如下：
　　
　　acl deny_ip dst “etc/squid/deny_ip”
　　
　　acl deny_dns dst “etc/squid/deny_dns”
　　
　　http_access deny deny_ip
　　
　　http_access deny deny_dns
　　
　　如果，允许和拒绝指定的用户访问指定的网站，其中，允许客户1访问网站，而拒绝客户2访问网站。那么具体操作如下：
　　acl client1 src