meisw's blog

摘自http://bbs.163jsp.com/posts/list/367.html

iptables 是一个安装在Ubuntu Server上的默认防火墙。在正常的ubuntu安装过程中，iptables是被安装上了的，但是它默认允许所有的流量(不管防火墙是否是无效的)。 

关于iptables有价值的信息很多，但是大多都描述的很复杂。如果你想做些基本的配置，下面的 How To 很适合你。 
◆ 基本命令 
键入： 

# iptables -L 

列出您当前iptables中在规则。如果您是刚刚建立您的服务器，那么可能此时还没有任何规则，而且您应该看到如下： 

Chain INPUT (policy ACCEPT) 
target prot opt source destination 

Chain FORWARD (policy ACCEPT) 
target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 

◆ 允许建立会话 

我们可以允许建立会话来接受流量： 

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

◆ 在指定端口上允许入站流量 

阻断所有流量您也可以启动系统，但是您可能正在通过SSH工作，所有在您阻断其他流量前有必要允许SSH流量。 

为了在22端口号(默认的SSH端口)上的允许流量入站，您可以告诉iptables允许您的网卡接受所有的目的端口为22的TCP流量。 

# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT 

特别的，这将向表中追加(-A)INPUT规则，允许目的端口号为SSH的所有流量进入接口(-i) eth0，以便iptables完成跳转(-j)或动作：ACCEPT 

让我们核对下这些规则：(这里仅显示了少数行，您应该看到更多) 

# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 

现在，让我们允许所有的web流量 

# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT 

检查我们现有的规则 

# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 
ACCEPT tcp -- anywhere anywhere tcp dpt:www 

我们已经指定SSH和web端口为允许通过的TCP流量，但是因为我们还没阻断任何流量，所以到目前为止所有的流量仍然可以进入。 

◆ 阻断流量 

一旦一条规则对一个包进行了匹配，其他规则不再对这个包有效。因为我们的规则首先允许SSH和WEB流量，所以只要我们阻断所有流量的规则紧跟其後，我们依然能接受我们感兴趣的流量。我们要做的仅仅是把阻断所有流量的规则放在最後，所以我们需要再次用到它。 

# iptables -A INPUT -j DROP 
# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 
ACCEPT tcp -- anywhere anywhere tcp dpt:www 
DROP all -- anywhere anywhere 

因为我们刚才没有指定一个接口或一个协议，所以除了web和ssh流量外其他任何流量都会被阻断。 

◆ 编辑 iptables 

到目前为止我们设置过程中唯一的问题是回环端口(loopbakc)也被阻断了。我们本可以通过指定 -i eth0 来仅仅丢弃eth0上的数据包，但我们也可以为回环端口(loopback)添加一条规则。如果我们追加这条规则，这将太晚了----因为所有的流量已经 被丢弃。我们必须插入这条跪着到第4行。 

# iptables -I INPUT 4 -i lo -j ACCEPT 
# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 
ACCEPT tcp -- anywhere anywhere tcp dpt:www 
ACCEPT all -- anywhere anywhere 
DROP all -- anywhere anywhere 

最後2行看起来几乎一样，因此我们可以让iptables列的更详细些。 

# iptables -L -v 

◆ 日志记录 

在上面的例子中，所有的流量都不会被记录。如果您愿意在syslog中记录被丢弃的包, 下面将是最快捷的方式: 

# iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 

看 提示 段获得更多关于logging的ideas. 

◆ 保存 iptables 

如果您现在要重新启动机器的话，您的iptables配置将会消失。为了不用每次重新启动时敲入这些命令，您可以保存你的配置，让它在系统启动时自动启动。你可以通过iptables-save 和iptables-restore命令来保存配置。 


◆ 配置启动时自动加载规则 

保存您的防火墙股则到一个文件 

# iptables-save > /etc/iptables.up.rules 

接着修改 /etc/network/interfaces 脚本自动应用这些规则(末行是添加的) 

auto eth0 
iface eth0 inet dhcp 
pre-up iptables-restore < /etc/iptables.up.rules 

你也可以准备一组规则冰并自动应用它 

auto eth0 
iface eth0 inet dhcp 
pre-up iptables-restore < /etc/iptables.up.rules 
post-down iptables-restore < /etc/iptables.down.rules 

◆ 提示 
◆ 如果你要在一个规则基础上手动编辑iptables 

下面的步骤复习了怎样建立你的防火墙规则，并假定它们相对固定(而且对于大多数人来说它们也应该是)。但是如果你要做许多研究工作，你也许想要你的 iptables在你每次重启时保存一次。你可以在 /etc/network/interfaces 里添加像下面的一行: 

pre-up iptables-restore < /etc/iptables.up.rules 
post-down iptables-save > /etc/iptables.up.rules 

"post-down iptables-save > /etc/iptables.up.rules" 此行将保存规则用于下次启动时使用。 
◆ 用iptables-save/restore来测试规则 

如果你超出了这个指南来编辑iptables，你可能想利用iptables-save和iptables-restore来编辑和测试你的规则。你可以通过使用你喜爱的文本编辑器(此处为gedit)来打开这些规则文件来完成编辑。 

# iptables-save > /etc/iptables.test.rules 
# gedit /etc/iptables.test.rules 

你会得到一个如下类似的文件(下面是紧接上的例子文件)： 

# Generated by iptables-save v1.3.1 on Sun Apr 23 06:19:53 2006 
*filter 
:INPUT ACCEPT [368:102354] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [92952:20764374] 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 
-A INPUT -j DROP 
COMMIT 
# Completed on Sun Apr 23 06:19:53 2006 

注意到这些都是减去iptables命令的iptables语句。随意编辑这些命令、完成後保存它们。然後简单的测试下： 

# iptables-restore < /etc/iptables.test.rules 

测试完毕後，如果你还没添加iptables-save命令 到 /etc/network/interfaces 里面，记得不要丢失了你的更改： 

# iptables-save > /etc/iptables.up.rules 

◆ 更详细的日志 
为了在你的syslog中获得更多细节，你可能想创建一个额外的链。下面是个很简短的例子---我的 /etc/iptables.up.rules ,它将展示我是如何设置iptables记录到syslog中的： 

# Generated by iptables-save v1.3.1 on Sun Apr 23 05:32:09 2006 
*filter 
:INPUT ACCEPT [273:55355] 
:FORWARD ACCEPT [0:0] 
:LOGNDROP - [0:0] 
:OUTPUT ACCEPT [92376:20668252] 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -j LOGNDROP 
-A LOGNDROP -p tcp -m limit --limit 5/min -j LOG --log-prefix "Denied TCP: " --log-level 7 
-A LOGNDROP -p udp -m limit --limit 5/min -j LOG --log-prefix "Denied UDP: " --log-level 7 
-A LOGNDROP -p icmp -m limit --limit 5/min -j LOG --log-prefix "Denied ICMP: " --log-level 7 
-A LOGNDROP -j DROP 
COMMIT 
# Completed on Sun Apr 23 05:32:09 2006 

请注意 一个名为 LOGNDROP的链在文件顶部。而且，INPUT链底部标准的DROP被替换成了LOGNDROP，同时添加了协议描述so it makes sense looking at the log。最後我们在LOGNDROP链尾部丢弃了这些流量。下面的行告诉我们发生了什么： 

* --limit 设置记录相同规则到syslog中的次数 
* --log-prefix "Denied..." 添加一个前缀使得在syslog中查找更easy 
* --log-level 7 设置syslog的消息级别 (see man syslog for more detail, but you can probably leave this) 

◆ 禁用防火墙 

如果您要临时禁用防火墙，您可以通过下面的命令清空所偶的规则： 

# iptables -F 

◆ 轻松配置通过 GUI 

新手可以利用 Firetarter(一个gui工具)---仓库中的可用软件(新立德或apt-get 获得)来配置她或他的iptables规则，而需要命令行知识。请查看指南，尽管...... 配置很简单，但是对于高级用户来说可能远远不能满足。然而它对于大多数的家庭用户来说是足够的...... 。(我)建议您使用firestarter在策略表中将出站配置为 “限制”，而将您需要的连接类型(如用于http的80、https的443，msn chat的1683等等)加入白名单。您也可以通过它查看进出您计算机的活动连接...... 。防火墙会一直保持下去一旦通过向导配置完毕。拨号用户必须在向导中指定它在拨号时自动启动。 

firestarter主页： http://www.fs-security.com/ (再次, 仓库源中可用, 不需要编译) 指南: http://www.fs-security.com/docs/tutorial.php 

个人笔记：不幸运的是，它没有阻断(或询问用户)特定应用/程序的选项......。因此，我的理解是一旦启用了80端口(例如，用于访问网页)，那么任何程序都可以通过80端口连接任何服务器、做任何它想做的事......

1.sudo gedit /etc/apt/sources.list
编辑你的源列表，将原来的内容全部删除，添加下面列表中最适合你的源（注意不要全部添加），选择一个最合适你的即可，复制到你的列表中，然后保存列表。

2.sudo apt-get update 更新源列表信息
可以在运行“sudo apt-get update ”时查看一下错误信息，把不能连接的源删除再重新运行“sudo apt-get update ”。

3.sudo apt-get upgrade 升 级或者用ubuntu自带的更新管理器升级也可

Ubuntu 10.04源列表：

网易（速度很快）

搜狐

SRT Sources

ubuntu官方上海源

刚装好Ubuntu系统之后根据需要还要安装一系列的软件，最省心的办法就是通过apt-get来进行。默认的，apt-get会连接http://us.archive.ubuntu.com/，看域名就知道这是一个美国的服务器。身处我们伟大的中华局域网中连美国的服务器当然很慢了。

这个软件源可以通过/etc/apt/sources.list修改，把找到的好软件源放到这个文件中即可从新的软件源安装软件。我以前也是用到了才到处找，今天发现不用那么麻烦，把其中的us.archive替换成cn.archive就可以使用中国的软件源了。

使用vi的替换方法：

vi /etc/apt/sources.list

打开之后依次输入以下命令：
:%s/us.archive/cn.archive/g
回车
:wq
回车（退出vi）

然后再输入apt-get update更新一下刚才修改的配置文件。以后再安装软件就非常快了。

http://cn.archive.ubuntu.com/这个源是SOHU在维护，搜狐还有另外一个域名（mirrors.sohu.com），此外网易也提供了镜像服务（mirrors.163.com）。修改方法是一样的，但是都不如这个直接把us改成cn简单。

感谢搜狐和网易

2011.9.29更新：

经测试搜狐的源（cn.archive.ubuntu.com、mirrors.sohu.com）是联通线路，电信服务器访问超级慢。

网易的源（mirrors.163.com）不知道是什么线路，但电信服务器访问超级快。

apt是一个很完整和先进的软件包管理程序

apt-get update //在修改/etc/apt/sources.list或者/etc/apt/preferences之后运行该命令。此外你需要定期运行这条命令，以确保你的软件列表示最新的。

apt-get install packagename //安装一个新的软件包

apt-get remove packagename   //卸载一个已经安装的软件包（但保留了配置文件）

apt-get –purge remove packagename //卸载一个已安装的软件包（同时删除配置文件）

dpkg –force-all –purge packagename //有些软件很难卸载，而且还阻止了别的软件的应用，就可以用这个命令，不过有点冒险

apt-get autoclean apt //会把已安装的和已卸载的软件包都备份在硬盘上，所以需要空间的话，可以让这个命令来删除你删除的软件

apt-get clean //这个命令会把安装的软件备份也删除，不过不会影响软件的使用

apt-get upgrade //更新所有已安装的软件

apt-get dist-upgrade //将系统设计到新版本

atp-cache searching string //在软件列表中搜寻给出的string字符串

dpkg –l package-name-pattern //列出所有与模式相匹配的软件包。如果你不知道软件包的全名，你可以使用“*package-name-pattern*”

aptitude //详细查看已安装获可用的软件包。与apt-get类似，aptitude可以通过命令行方式调用，但仅限于某些命令

apt-cache showpkg pkgs //显示软件包信息

apt-cache dumpavail //打印可用软件列表

用Squid缓存Google Earth/Map数据2007/7/4 at 04:21 · Server

其实我本不想写这个标题，我的本意是缓存yupoo api的查询数据，这个过程中找到了参考方法（Caching Google Earth with Squid）。呵呵，所以偶也来一回标题党。

这篇参考流传非常广，Digg上也被提过，我也不知道原出处是哪里了。

可是。。。。你按照它的指示设置，它并不能正确工作！！

话说回来，先说说我的需求。

最近yupoo的访问速度很慢，我有一堆api请求经常无法完成，猜测要么对方限制了同一ip的连接数，要么是yupoo又遇到了新一轮的流量瓶颈。跟Yupoo的zola联系后，确认是他们的负荷太高引起的，并没有限制连接数。所以我要想办法在我这边做一些缓存了。

因为我这边本身就是用squid代理来解决Ajax中调用API的跨域问题的，所以自然是目标瞄准了squid的配置文件。

yupoo api的请求地址是 www.yupoo.com/api/rest/?method=xx&xxxxxxx...

大家都知道squid会自动缓存静态文件，可对于这种动态网页怎么让它也缓存起来呢，所以在google上找啊找，找到上面提得那片缓存Google Earth的博客文章。
他的方法是：

acl QUERY urlpath_regex cgi-bin \? intranet
acl forcecache url_regex -i kh.google keyhole.com
no_cache allow forcecache
no_cache deny QUERY

# ----
refresh_pattern -i kh.google 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload

refresh_pattern -i keyhole.com 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload

原理就是用 no_cache allow 和 refresh_pattern 来设定一些缓存规则，将google earth的请求强行缓存起来。

此文一出，自然早有人去验证，可是没人成功，原作者也音讯全无  ... squid的邮件列表里也提到。 ( 看标题进来的朋友，不要急，继续往下读，不会让你空手而回的  )

我也没在意，估计人家功力问题  。先试着用改写一下解决yupoo api的缓存问题。

acl QUERY urlpath_regex cgi-bin \?
acl forcecache url_regex -i yupoo\.com
no_cache allow forcecache
no_cache deny QUERY

refresh_pattern -i yupoo\.com 1440 50% 10080 override-expire override-lastmod reload-into-ims ignore-reload

嘿，果然nnd毫无用处，访问记录里还是 一坨坨 TCP_MISS

于是翻来覆去看文档，找资料，发现是squid的bug惹得祸，不过早已经修正（严格来说是功能扩展补丁）。

我的squid是2.6.13,翻了一下源代码，确实已经打好补丁了。

解决这个问题需要refresh_pattern的几个扩展参数(ignore-no-cache ignore-private)，这几个参数在squid的文档和配置例子中均没有提到，看来squid还不够与时俱进。

下面讲一下问题所在。

先看看yupoo api返回的HTTP头部信息（cache 相关部分）

Cache-Control: no-cache, must-revalidate
Pragma: no-cache

这两行是控制浏览器的缓存行为的，指示浏览器不得缓存。squid也是遵循RFC的，正常情况下自然不会去缓存这些页面。override-expire override-lastmod reload-into-ims ignore-reload 统统不能对付它。

而那个补丁正是对付这两个Cache-Control:no-cache 和 Pragma: no-cache的。

因此把 refresh_pattern那句要改写成

refresh_pattern -i yupoo\.com 1440 50% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private

这样就大功告成了， squid -k reconfigure 看看 access.log ,这回里面终于出现
TCP_HIT/200 TCP_MEM_HIT/200 了，说明缓存规则确实起作用了，那个激动啊 555~~~~

====================
补充：
后来我看了一下google earth 服务器 hk1.google.com的HTTP头部，只有

Expires: Wed, 02 Jul 2008 20:56:20 GMT
Last-Modified: Fri, 17 Dec 2004 04:58:08 GMT

，这么看来照理不需ignore-no-cache ignore-private也能工作，可能是作者这里写错了
kh.google 应该是 kh.\.google才对。

最后总结一下，缓存Google Earth/Map的正确的配置应该是

acl QUERY urlpath_regex cgi-bin \? intranet
acl forcecache url_regex -i kh.\.google mt.\.google mapgoogle\.mapabc keyhole.com
no_cache allow forcecache
no_cache deny QUERY

# ----
refresh_pattern -i kh.\.google 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private
refresh_pattern -i mt.\.google 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private
refresh_pattern -i mapgoogle\.mapabc 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private

refresh_pattern -i keyhole.com 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload ignore-no-cache ignore-private

注:
khX.google.com 是google earth的图片服务器
mtX.google.com 是google map 的图片服务器
mapgoogle.mapabc.com 是google ditu的图片服务器
http://nukq.malmam.com/archives/16

CPU占用率高可能有多个起因。用htop或atop观察能看到是应用程序占用了CPU时间还是内核本身占用了很多CPU时间，对网卡驱动不太好的系统来说可能 处理网卡的IRQ中断会占用大量时间，可能会达到50％以上。所以我原来用的开源的e1000e驱动换成Intel官方的驱动后性能好了很多。 

如果系统开始使用SWAP，它的性能就会急剧下降，建议关掉swap（或只留几十MB的交换空间，然后sysctl -w vm.swappiness=1）。 

如果怀疑是IO问题，试试 cache_dir null /tmp 

squid是单进程，不支持SMP确实是问题，可以尝试下这个： 
http://eu.squid-cache.org/ConfigExamples/ExtremeCarpFrontend 

4.1常用的配置选项  
因为缺省的配置文件有问题，所以我们必须首先修改该配置文件的有关内容,以便让squid跑起来。  
下面我们来看一看squid.conf文件的结构以及一些常用的选项：  
squid.conf配置文件的可以分为十三个部分，这十三个部分分别是：  
1.NETWORK OPTIONS （有关的网络选项）  
2.OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM （作用于邻居选择算 法的有关选项）  
3.OPTIONS WHICH AFFECT THE CACHE SIZE （定义cache大小的有关选项）  
4.LOGFILE PATHNAMES AND CACHE DIRECTORIES (定义日志文件的路径及cache的目录）  
5.OPTIONS FOR EXTERNAL SUPPORT PROGRAMS （外部支持程序选项）  
6.OPTIONS FOR TUNING THE CACHE （调整cache的选项）  
7.TIMEOUTS （超时）  
8.ACCESS CONTROLS （访问控制）  
9.ADMINISTRATIVE PARAMETERS （管理参数）  
10.OPTIONS FOR THE CACHE REGISTRATION SERVICE （cache注册服务选项）  
11.HTTPD-ACCELERATOR OPTIONS （HTTPD加速选项）  
12.MISCELLANEOUS （杂项）  
13.DELAY POOL PARAMETERS （延时池参数）  
虽然squid的配置文件很庞大，但是如果你只是为一个中小型网络提供代理服务，并且只准备使用一台服务器，那么，你只需要修改配置文件中的几个选项。这些几个常用选项分别是：  
1.http_port  
说明：定义squid监听HTTP客户连接请求的端口。缺省是3128，如果使用HTTPD加速模式 则为80。你可以指定多个端口，但是所有指定的端口都必须在一条命令行上。  
2.cache_mem (bytes)  
说明：该选项用于指定squid可以使用的内存的理想值。这部分内存被用来存储以下对象 ：  
In-Transit objects （传入的对象）  
Hot Objects （热对象，即用户常访问的对象）  
Negative-Cached objects （消极存储的对象）  
需要注意的是，这并没有指明squid所使用的内存一定不能超过该值，其实，该选项只 定义了squid所使用的内存的一个方面，squid还在其他方面使用内存。所以squid实际 使用的内存可能超过该值。缺省值为8MB。  
3.cache_dir Directory-Name Mbytes Level-1 Level2  
说明：指定squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个这样的交换空间，并且这些交换空间 可以分布不同的磁盘分区。"directory "指明了该交换空间的顶级目录。如果你想用整个磁盘来作为交换空间，那么你可以将该目录作为装载点将整个 磁盘mount上去。缺省值为/var/spool/squid。“Mbytes”定义了可用的空间总量。需要注意的是，squid进程必须拥有对该目录 的读写权力。“Level-1”是可以在该顶级目录下建立的第一级子目录的数目，缺省值为16。同理，“Level-2”是可以建立的第二级子目录的数 目，缺省值为256。为什么要定义这么多子目录呢？这是因为如果子目录太少，则存储在一个子目录下的文件数目将大大增加，这也会导致系统寻找某一个文件的 时间大大增加，从而使系统的整体性能急剧降低。所以，为了减少每个目录下的文件数量，我们必须增加所使用的目录的数量。如果仅仅使用一级子目录则顶级目录 下的子目录数目太大了，所以我们使用两级子目录结构。  
那么，怎么来确定你的系统所需要的子目录数目呢？我们可以用下面的公式来估算。  
已知量：  
DS = 可用交换空间总量（单位KB）/ 交换空间数目  
OS = 平均每个对象的大小= 20k  
NO = 平均每个二级子目录所存储的对象数目 = 256  
未知量：  
L1 = 一级子目录的数量  
L2 = 二级子目录的数量  
计算公式：  
L1 x L2 = DS / OS / NO  
注意这是个不定方程，可以有多个解。  
4.acl  
说明：定义访问控制列表。  
定义语法为：  
acl aclname acltype string1 ...  
acl aclname acltype "file" ...  
当使用文件时，该文件的格式为每行包含一个条目。  
acltype 可以是 src dst srcdomain dstdomain url_pattern urlpath_pattern time port proto method browser user 中的一种。  
分别说明如下：  
src 指明源地址。可以用以下的方法指定：  
acl aclname src ip-address/netmask ... (客户ip地址)  
acl aclname src addr1-addr2/netmask ... (地址范围)  
dst 指明目标地址。语法为：  
acl aclname dst ip-address/netmask ... (即客户请求的服务器的ip地址)  
srcdomain 指明客户所属的域。语法为：  
acl aclname srcdomain foo.com ... squid将根据客户ip反向查询DNS。  
dstdomain 指明请求服务器所属的域。语法为：  
acl aclname dstdomain foo.com ... 由客户请求的URL决定。  
注意，如果用户使用服务器ip而非完整的域名时，squid将进行反向的DNS解析来确 定其完整域名，如果失败就记录为“none”。  
time 指明访问时间。语法如下：  
acl aclname time [day-abbrevs] [h1:m1-h2][hh:mm-hh]  
day-abbrevs:  
S - Sunday  
M - Monday  
T - Tuesday  
W - Wednesday  
H - Thursday  
F - Friday  
A - Saturday  
h1:m1 必须小于 h2:m2，表达示为[hh:mm-hh]。  
port 指定访问端口。可以指定多个端口，比如：  
acl aclname port 80 70 21 ...  
acl aclname port 0-1024 ... （指定一个端口范围）  
proto 指定使用协议。可以指定多个协议：  
acl aclname proto HTTP FTP ...  
method 指定请求方法。比如：  
acl aclname method GET POST ...  
5.http_access  
说明：根据访问控制列表允许或禁止某一类用户访问。  
如果某个访问没有相符合的项目,则缺省为应用最后一条项目的“非”。比如最后一条为允许，则缺省就是禁止。所以，通常应该把最后的条目设为"deny all" 或 "allow all" 来避免安全性隐患。 
4.2 应用实例  
假想情景：某公司用squid作代理服务器，该代理服务器配置为PII450/256M/8.4G,公司所用ip段为1.2.3.0/24,并且想用8080作为代理端口。  
则相应的squid配置选项为：  
1.http_port  
http_port 8080  
2.cache_mem  
思路：由于该服务器只提供代理服务，所以该值可以尽量设得大一些。  
cache_mem 194M  
3.cache_dir Directory-Name Mbytes Level-1 Level2  
思路：硬盘为8.4G的，在安装系统时应该做好规划，为不同的文件系统划分可用空间。在本例中，我们可以这样来划分：  
/cache1 3.5G  
/cache2 3.5G  
/var 400M  
swap 127M  
/ 剩余部分  
并且，在安装时，我们尽量不安装不必要的包。这样在节约空间的同时可以提高系统的安全性和稳定性。下面我们来计算所需的第一级和第二级子目录数。  
已知量：  
DS = 可用交换空间总量（单位KB）/ 交换空间数目＝7G/2=3500000KB  
OS = 平均每个对象的大小= 20k  
NO = 平均每个二级子目录所存储的对象数目 = 256  
未知量：  
L1 = 一级子目录的数量  
L2 = 二级子目录的数量  
计算公式：  
L1 x L2 = DS / OS / NO＝3500000/20/256=684  
我们取  
L1=16  
L2=43  
所以，我们的cache_dir语句为：  
cache_dir /cache1 3500M 16 43  
cache_dir /cache2 3500M 16 43  
4.acl  
思路：通过src来定义acl.  
acl allow_ip src 1.2.3.4/255.255.255.0  
5.http_access  
http_access allow allow_ip  

4.3启动、停止squid。  
配置并保存好squid.conf后，可以用以下命令启动squid。  
squid  
或者，使用RedHat的启动脚本来启动squid.  
/etc/rc.d/init.d/squid start  
同样地，你也可以用下列脚本停止运行squid或重启动squid.  
/etc/rc.d/init.d/squid stop  
/etc/rc.d/init.d/squid restart  

五、根据需求配置你的squid——进阶篇  

5.1其它配置选项  
在进行squid的一些高级应用之前，我们有必要对其他有用的配置选项作一个全面的了解。下面我们分类来讲一讲这些选项，用于某些特殊应用的选项我们将放在讲该种应用时来讲。  

5.1.1网络选项  
1.tcp_incoming_address  
tcp_outgoing_address  
udp_incoming_address  
udp_outgoing_address  
说明：  
tcp_incoming_address指定监听来自客户或其他squid代理服务器的绑定ip地址；  
tcp_outgoing_address指定向远程服务器或其他squid代理服务器发起连接的ip地址  
udp_incoming_address为ICP套接字指定接收来自其他squid代理服务器的包的ip地址 udp_outgoing_address为ICP套接字指定向其他squid代理服务器发送包的ip地址；  
缺省为没有绑定任何ip地址。该绑定地址可以用ip指定，也可以用完整的域名指定。  

5.1.2交换空间设定选项  
1.cache_swap_low (percent, 0-100)  
cache_swap_high (percent, 0-100)  
说明：squid使用大量的交换空间来存储对象。那么，过了一定的时间以后，该交换空间就会用完，所以还必须定期的按照某种指标来将低于某个水平 线的对象清除。squid使用所谓的“最近最少使用算法”（LRU）来做这一工作。当已使用的交换空间达到cache_swap_high时，squid 就根据LRU所计算的得到每个对象的值将低于某个水平线的对象清除。这种清除工作一直进行直到已用空间达到cache_swap_low。这两个值用百分 比表示，如果你所使用的交换空间很大的话，建议你减少这两个值得差距，因为这时一个百分点就可能是几百兆空间，这势必影响squid的性能。缺省为：  
cache_swap_low 90  
cache_swap_high 95  
2.maximum_object_size  
说明：大于该值得对象将不被存储。如果你想要提高访问速度，就请降低该值；如果你想最大限度地节约带宽，降低成本，请增加该值。单位为K，缺省值为：  
maximum_object_size 4096 KB  

5.1.3有关日志的选项  
1.cache_access_log  
说明：指定客户请求记录日志的完整路径（包括文件的名称及所在的目录），该请求可以是来自一般用户的HTTP请求或来自邻居的ICP请求。缺省值为：  
cache_access_log /var/log/squid/access.log  
如果你不需要该日志，可以用以下语句取消：cache_access_log none  
2.cache_store_log  
说明：指定对象存储记录日志的完整路径（包括文件的名称及所在的目录）。该记录表明哪些对象被写到交换空间，哪些对象被从交换空间清除。缺省路径为：  
cache_log /var/log/squid/cache.log  
如果你不需要该日志，可以用以下语句取消：cache_store_log none  
3.cache_log  
说明：指定squid一般信息日志的完整路径（包括文件的名称及所在的目录）。  
缺省路径为：cache_log /var/log/squid/cache.log  
4.cache_swap_log  
说明：该选项指明每个交换空间的“swap.log”日志的完整路径（包括文件的名称及所在的目录）。该日志文件包含了存储在交换空间里的对象的 元数据（metadata）。通常，系统将该文件自动保存在第一个“cache_dir”说定义的顶级目录里，但是你也可以指定其他的路径。如果你定义了 多个“cache_dir”，则相应的日志文件可能是这样的：  
cache_swap_log.00  
cache_swap_log.01  
cache_swap_log.02  
后面的数字扩展名与指定的多个“cache_dir”一一对应。  
需要注意的是，最好不要删除这类日志文件，否则squid将不能正常工作。  
5.pid_filename  
说明：指定记录squid进程号的日志的完整路径（包括文件的名称及所在的目录）。缺省路径为  
pid_filename /var/run/squid.pid  
如果你不需要该文件，可以用以下语句取消：pid_filename none  
6.debug_options  
说明：控制作日志时记录信息的多寡。可以从两个方面控制：section控制从几个方面作记录；level控制每个方面的记录的详细程度。推荐的方式（也是缺省方式）是：debug_options ALL,1  
即，对每个方面都作记录，但详细程度为1(最低)。  
7.log_fqdn on|off  
说明：控制在 access.log 中对用户地址的记录方式。打开该选项时，squid记录客户的完整域名，取消该选项时，squid记录客户 的ip地址。注意，如果打开该选项会增加系统的负担，因为squid还得进行客户ip的DNS查询。缺省值为：log_fqdn off  

5.1.4有关外部支持程序的选项  
1.ftp_user  
说明：设置登录匿名ftp服务器时的提供的电子邮件地址，登录匿名ftp服务器时要求用你的电子邮件地址作为登录口令（更多的信息请参看本书的相 关章节）。需要注意的是，有的匿名ftp服务器对这一点要求很苛刻，有的甚至会检查你的电子邮件的有效性。缺省值为：ftp_user Squid@  
2.ftp_list_width  
说明：设置ftp列表的宽度，如果设得太小将不能的浏览到长文件名。缺省值为： ftp_list_width 32  
3.cache_dns_program  
说明：指定DNS查询程序的完整路径（包括文件的名称及所在的目录）。缺省路径为：  
cache_dns_program /usr/lib/squid/dnsserver  
4.dns_children  
说明：设置DNS查询程序的进程数。对于大型的登录服务器系统，建议该值至少为10。最大值可以是32，缺省设置为5个。注意，如果你任意的降低 该值，可能会使系统性能急剧降低，因为squid主进程要等待域名查询的结果。没有必要减少该值，因为DNS查询进程并不会消耗太多的系统的资源。  
5.dns_nameservers  
说明：指定一个DNS服务器列表，强制squid使用该列表中的DNS服务器而非使用/etc/resolv.conf文件中定义的DNS服务器。你可以这样指定多个DNS服务器：dns_nameservers 10.0.0.1 192.172.0.4  
缺省设置为：dns_nameservers none  
6.unlinkd_program  
说明：指定文件删除进程的完整路径。  
缺省设置为：  
unlinkd_program /usr/lib/squid/unlinkd  
7.pinger_program  
说明：指定ping进程的完整路径。该进程被squid利用来测量与其他邻居的路由距离。该选项只在你启用了该功能时有用。缺省为：  
pinger_program /usr/lib/squid/pinger  
8.authenticate_program  
说明：指定用来进行用户认证的外部程序的完整路径。squid的用户认证功能我们将在后面的章节讲述。缺省设置为不认证。  

5.1.5用户访问控制选项  
1.request_size (KB)  
说明：设置用户请求通讯量的最大允许值(单位为KB)。如果用户用POST方法请求时，应该设一个较大的值。缺省设置为：  
request_size 100 KB  
2.reference_age  
说明：squid根据对象的LRU（最近最少使用算法）来清除对象，squid依据使用磁盘空间的总量动态地计算对象的LRU年龄。我们用 reference_age定义对象的最大LRU年龄。如果一个对象在指定的reference_age内没有被访问，squid将删除该对象。缺省值为 一个月。你可以使用如下所示的时间表示方法。  
1 week  
3.5 days  
4 months  
2.2 hours  
3.quick_abort_min (KB)  
quick_abort_max (KB)  
quick_abort_pct (percent)  
说明：控制squid是否继续传输被用户中断的请求。当用户中断请求时，squid将检测  
quick_abort 的值。如果剩余部分小于“quick_abort_min”指定的值,squid 将继续完成剩余部分的传输；如果剩余 部分大于“quick_abort_max”指定的值,squid 将终止剩余部分的传输；如果已完成“quick_abort_pct”指定的百分 比，squid将继续完成剩余部分的传输。缺省的设置为：  
quick_abort_min 16 KB  
quick_abort_max 16 KB  
quick_abort_pct 95  

5.1.6各类超时设置选项  
1.negative_ttl time-units  
说明：设置消极存储对象的生存时间。所谓的消极存储对象，就是诸如“连接失败”及"404 Not Found"等一类错误信息。缺省设置为：negative_ttl 5 minutes  
2.positive_dns_ttl time-units  
说明：设置缓存成功的DNS查询结果的生存时间。缺省为6小时。  
positive_dns_ttl 6 hours  
3.negative_dns_ttl time-units  
说明：设置缓存失败的DNS查询结果的生存时间。缺省为5分钟。  
negative_dns_ttl 5 minutes  
4.connect_timeout time-units  
说明：设置squid等待连接完成的超时值。缺省值为2分钟。  
connect_timeout 120 seconds  
5.read_timeout time-units  
说明：如果在指定的时间内squid尚未从被请求的服务器读入任何数据，则squid将终止该客户请求。缺省值为15分钟。  
read_timeout 15 minutes  
6.request_timeout  
说明：设置在建立与客户的连接后，squid将花多长时间等待客户发出HTTP请求。缺省值为30秒。  
request_timeout 30 seconds  
7.client_lifetime time-units  
说明：设置客户在与squid建立连接后，可以将该连接保持多长时间。  
注意，因为客户建立的每个连接都会消耗一定的系统资源，所以如果你是为一个大型网络提供代理服务的话，一定要正确地修改该值。因为如果同一时间的 连接数量太大的话，可能会消耗大量的系统资源，从而导致服务器宕机。缺省值为1天，该值太大了，建议根据你自己的情况适当减小该值。  
client_lifetime 1 day  
8.half_closed_clients on/off  
说明：有时候由于用户的不正常操作，可能会使与squid的TCP连接处于半关闭状态，  
这时候，该TCP连接的发送端已经关闭，而接收端正常工作。缺省地，squid将一直保持这种处于半关闭状态的TCP连接，直到返回套接字的读写 错误才将其关闭。如果将该值设为off，则一旦从客户端返回“no more data to read”的信息，squid就立即关闭该连接。 half_closed_clients on  
9.pconn_timeout  
说明：设置squid在与其他服务器和代理建立连接后，该连接闲置多长时间后被关闭。缺省值为120秒。  
pconn_timeout 120 seconds  
10.ident_timeout  
说明：设置squid等待用户认证请求的时间。缺省值为10秒。  
ident_timeout 10 seconds  
11.shutdown_lifetime time-units  
说明：当收到SIGTERM 或者 SIGHUP 信号后, squid将进入一种shutdown pending的模式，等待所有活动的套接字关闭。在过了shutdown_lifetime所定义的时间后，所有活动的用户都将收到一个超时信息。缺省值为30秒。  
shutdown_lifetime 30 seconds  

5.1.7管理参数选项  
1.cache_mgr  
说明:设置管理员邮件地址。缺省为：  
cache_mgr root  
2. cache_effective_user  
cache_effective_group  
说明：如果用root启动squid，squid将变成这两条语句指定的用户和用户组。缺省变为squid用户和squid用户组。注意这里指定 的用户和用户组必须真是存在于/etc/passwd中。如果用非root帐号启动squid，则squid将保持改用户及用户组运行，这时候，你不能指 定小于1024地http_port。  
cache_effective_user squid  
cache_effective_group squid  
3.visible_hostname  
说明：定义在返回给用户的出错信息中的主机名。  
如: visible_hostname www-cache.foo.org  
4.unique_hostname  
说明：如果你有一个代理服务器阵列，并且你为每个代理服务器指定了同样的“visible_hostname”，同时你必须为它们指定不同的“unique_hostname”来避免“forwarding loops ”（传输循环）发生。  

5.1.8其它杂项  
1. dns_testnames  
说明：设置进行DNS查询测试,如果第一个站点解析成功则立即结束DNS查询测试。如果你不愿意进行DNS查询测试，就不要去掉缺省的设置。  
#dns_testnames netscape.com internic.net nlanr.net microsoft.com  
2.logfile_rotate  
说明：通常，squid会定期的将日志文件更名并打包。比如正在使用的日志文件为access.log,squid会将其更名并打包为access.log.1.gz；过了一定时间后，squid又会将  
access.log.1.gz更名为access.log.2.gz并将当前的日志文件更名并打包为access.log.1.gz，以此循 环。logfile_rotate所指定的数字即为打包并备份的文件的数量，当达到这一数目时，squid将删除最老的备份文件。缺省值为10。如果你想 手动来进行这些操作，你可以用logfile_rotate 0来取消自动操作。  
3.err_html_text  
说明：用该语句定义一个字符串变量，可以用％L在返回给用户的错误信息文件中引用。错误信息文件通常在/etc/squid/errors目录中，这是一些用HTML写成的脚本文件，你可以自己修改它。  
4.deny_info  
说明：你可以定制自定义的拒绝访问信息文件，并且可以和不同的用户列表相关联。当用户被http_access相关规则拒绝时，squid可以向用户显示你自定义的相应的拒绝访问信息文件。语法为：  
Usage: deny_info err_page_name acl  
比如：  
deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys  
5.memory_pools on|off  
说明:如果你将该项设为on，则squid将保留所有已经分配（但是未使用）的内存池以便在将来使用。缺省为on.  
memory_pools on  
6.log_icp_queries on|off  
说明：设置是否对ICP请求作日志。如果你的系统负载很大，你可以用off来取消该功能。缺省为:  
log_icp_queries on  
7.always_direct  
说明：该选项允许你指定某些用户类，squid将这些用户类的请求直接转发给被请求的服务器。语法为:  
always_direct allow|deny [!]aclname ...  
如：直接转发FTP请求可以这样设置：  
acl FTP proto FTP  
always_direct allow FTP  
8.never_direct  
说明：与always_direct相反。语法为：  
Usage: never_direct allow|deny [!]aclname ...  
比如，为了强制除了本地域的其他用户使用代理服务器，你可以这样设置：  
acl local-servers dstdomain foo.net  
acl all src 0.0.0.0/0.0.0.0  
never_direct deny local-servers  
never_direct allow all  
9.icon_directory  
说明：指明向用户传送错误信息时所用到的图标文件的目录。缺省路径为： icon_directory /usr/lib/squid/icons  
10.error_directory  
说明：指明向用户传送错误信息所用到的错误描述文件的目录。缺省路径为：  
error_directory /etc/squid/errors  

5.2 用户认证设置  
缺省的，squid本身不带任何认证程序，但是我们可以通过外部认证程序来实现用户认证。一般说来有以下的认证程序：  
1.LDAP认证：你可以访问以下资源来获取更多的有用信息。  
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/  
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz  
2.SMB认证：可以实现基于NT和samba的用户认证。更多的信息请访问以下资源。  
http://www.hacom.nl/~richard/software/smb_auth.html  
3.基于mysql的用户认证。  
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c  
4.基于sock5密码用户认证。  
http://nucleo.freeservers.com/  
5.基于Radius 的用户认证。  
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl  
但是我们一般常用的是用ncsa实现的认证和用smb_auth实现的基于NT和samba的用户认证。下面我们就来讲这两种认证方法的具体实现。  

5.2.1 ncsa用户认证的实现  
ncsa是squid源代码包自带的认证程序之一，下面我们以squid-2.3.STABLE2版本为例讲述ncsa的安装和配置。  
1.从www.squid-cache.org下载squid源代码包squid-2.3.STABLE2-src.tar.gz并放到/tmp目录下。  
2.用tar解开：  
tar xvzf squid-2.3.STABLE2-src.tar.gz  
%make  
%make install  
3.然后，进入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目录。  
% make  
% make install  
编译成功后，会生成ncsa_auth的可执行文件。  
4.拷贝生成的执行文件ncsa_auth到/usr/bin目录  
cp ncsa_auth /usr/bin/bin  
5.修改squid.conf中的相关选项如下所示：  
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd  
6.定义相关的用户类  
acl auth_user proxy_auth REQUIRED  
注意，REQUIRED关键字指明了接收所有合法用户的访问。  
7.设置http_access  
http_access allow auth_user  
注意，如果你在改行中指定了多个允许访问的用户类的话，应该把要认证的用户类放在第一个。如下所示：  
错误的配置：http_access allow auth_user all manager  
正确的配置：http_access allow auth_user manager all  
8.利用apache携带的工具软件htpasswd在/usr/local/squid/etc下生成密码文件并添加相应的用户信息。一般说来，该密码文件每行包含一个用户的用户信息，即用户名和密码。  
用htpasswd生成密码文件passwd并添加用户bye。  
htpasswd -c /usr/local/squid/etc/passwd bye  
然后重新启动squid，密码认证已经生效。  

5.2.2 smb用户认证的实现  
国内介绍并使用ncsa实现用户认证的文章不多，而使用smb_auth和samba实现基于NT的用户认证我还没有看到过，下面我们就来看一看在squid中实现基于NT的用户认证。  
当前smb_auth的最高版本是smb_auth-0.05，你可以在以下地址下载。当然，squid的源代码包中也包含smb_auth,但是是0.02版的。  
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz  
smb_auth的主页地址是http://www.hacom.nl/~richard/software/smb_auth.html。  
1.系统需求：  
squid2.0以上版本。  
安装samba2.0.4以上版本。你并不需要运行samba服务，因为smb_auth只用到了 samba的客户端软件。  
2.下载smb_auth-0.05.tar.gz并复制到/tmp.  
3.tar xvzf smb_auth-0.05.tar.gz  
4.根据你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN参数。SAMBAPREFIX指定了你的samba安装路径，INSTALLBIN指明了smb_auth的安装路径。我们指定：  
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.  
5.make  
6.make install,成功后会在INSTALLBIN指定路径中生成可执行文件smb_auth.  
7.按下列步骤设置你要用于认证的主域控制器：  
首先在NETLOG共享目录中建立一个“proxy”文件，该文件只包含一个“allow”的字符串，一般说来，该NETLOG目录位于 winntsystem32Replimportscripts目录中；然后，设置所有你想让其访问squid的用户和用户组拥有对该文件的读的权力。  
8.修改squid.conf中的相关选项如下所示：  
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name  
9.定义相关的用户类  
acl auth_user proxy_auth REQUIRED  
注意，REQUIRED关键字指明了接收所有合法用户的访问。  
10.设置http_access  
http_access allow auth_user  
注意，如果你在改行中指定了多个允许访问的用户类的话，应该把要认证的用户类放在第一个。如下所示：  
错误的配置：http_access allow auth_user all manager  
正确的配置：http_access allow auth_user manager all  
如果一切正确的话，然后重新启动squid，密码认证已经生效。  
说明：smb_auth的调用方法：  
1.smb_auth -W your_domain_name  
用your_domain_name指定你的域名。smb_auth将进行广播寻找该主域控制器。  
2.smb_auth -W your_domain_name -B  
如果你有多个网络接口，可以用-B 指定用于广播的网络接口的ip地址。  
3.smb_auth -W your_domain_name -U  
也可以用-U直接指定该主域控制器的ip地址。  
4.smb_auth -W your_domain_name -S share  
可以用-S指定一个不同于NETLOG的共享目录。  

5.2.3 squid.conf中关于认证的其他设置  
1.authenticate_children  
说明：设置认证子进程的数目。缺省为5个。如果你处于一个繁忙的网络环境中，你可以适当增大该值。  
2.authenticate_ttl  
说明：设置一次认证的有效期，缺省是3600秒。  
3.proxy_auth_realm  
说明：设置用户登录认证时向用户显示的域名。  

5.3透明代理的设置  
关于透明代理的概念我们已经在第一节将过了，下面我们看一下怎么样在squid中实现透明代理。  
透明代理的实现需要在Linux 2.0.29以上，但是Linux 2.0.30并不支持该功能，好在我们现在使用的通常是2.2.X以上的版 本，所以不必担心这个问题。下面我们就用ipchains+squid来实现透明代理。在开始之前需要说明的是,目前我们只能实现支持HTTP的透明代 理，但是也不必太担心，因为我们之所以使用代理，目的是利用squid的缓存来提高Web的访问速度，至于提供内部非法ip地址的访问及提高网络安全性， 我们可以用ipchains来解决。  
实现环境：RedHat6.x+squid2.2.x+ipchains  

5.3.1 linux的相关配置  
确定你的内核已经配置了以下特性：  
[*] Network firewalls  
[ ] Socket Filtering  
[*] Unix domain sockets  
[*] TCP/IP networking  
[ ] IP: multicasting  
[ ] IP: advanced router  
[ ] IP: kernel level autoconfiguration  
[*] IP: firewalling  
[ ] IP: firewall packet netlink device  
[*] IP: always defragment (required for masquerading)  
[*] IP: transparent proxy support  
如果没有，请你重新编译内核。一般在RedHat6.x以上，系统已经缺省配置了这些特性。  

5.3.2squid的相关配置选项  
设置squid.conf中的相关选项，如下所示：  
http_port 3218  
httpd_accel_host virtual  
httpd_accel_port 80  
httpd_accel_with_proxy on  
httpd_accel_uses_host_header on  
说明：  
1.http_port 3128  
在本例中，我们假设squid的HTTP监听端口为3128,即squid缺省设置值。然后，把所有来自于客户端web请求的包（即目标端口为80)重定向到3128端口。  
2.httpd_accel_host virtual  
httpd_accel_port 80  
这两个选项本来是用来定义squid加速模式的。在这里我们用virtual来指定为虚拟主机模式。80端口为要加速的请求端口。采用这种模式时，squid就取消了缓存及ICP功能，假如你需要这些功能，这必须设置httpd_accel_with_proxy选项。  
3.httpd_accel_with_proxy on  
该选项在透明代理模式下是必须设置成on的。在该模式下，squid既是web请求的加速器，又是缓存代理服务器。  
4.httpd_accel_uses_host_header on  
在透明代理模式下，如果你想让你代理服务器的缓存功能正确工作的话，你必须将该选项设为on。设为on时，squid会把存储的对象加上主机名而不是ip地址作为索引。这一点在你想建立代理服务器阵列时显得尤为重要。  

5.3.3 ipchains的相关配置  
ipchains在这里所起的作用是端口重定向。我们可以使用下列语句实现将目标端口为80端口的TCP包重定向到3128端口。  
#接收所有的回送包  
/sbin/ipchains -A input -j ACCEPT -i lo  
#将目标端口为80端口的TCP包重定向到3128端口  
/sbin/ipchains -A input -p tcp -d 0.0.0.0/0 80 -j REDIRECT 80  
当然在这以前，我们必须用下面的语句打开包转发功能。  
echo 1 >; /proc/sys/net/ipv4/ip_forward