简介

   DNSmasq是一个小巧且方便地用于配置DNS和DHCP的工具，适用于小型网络，提供了DNS功能和可选择的DHCP功能。通过其DNS缓存的功能，可以大大提高公共网络中的域名解析速度，从而提升网站访问速度。

   squid代理服务提供了WEB页面缓存的功能，也可以帮助用户加速网站的访问，还能进行必要的行为管控(如禁止访问某些网站、过滤网页中的某些内容等)。本文将同时介绍正向代理和透明代理：

• 正向代理：需要用户在客户端进行配置，手动指定代理服务器和端口，但是通过该代理，可以访问所有WEB服务(HTTP和HTTPS)。

• 透明代理：则不需要用户进行任何配置即可使用，即对于应用而言不需要知道代理的存在。

   然而，透明代理有个缺点，它只能代理HTTP (80端口)协议，而对于经过加密的HTTPS协议，及其他协议如FTP、POP3等就爱莫能助了。这时候就需要用到CentOS的IP转发功能了。通过防火墙的设置，可以只允许访问HTTPS等必要的服务。

实验环境

   为容易理解，本实验虚拟机所在网络仅一个公有Internet网络，并不接入企业网络或者其他形式的私有网络。

   实验中，假设CentOS所用IP地址为192.168.10.24，外网路由器地址192.168.10.1

DNSmasq的配置

   DNSmasq是一种轻量级的非常容易部署的服务，不仅可以在流行的Linux发行版中随处可见，在众多流行的路由器系统中也有，如OpenWRT, DD-WRT, Tomato等，并且其DHCP服务往往是其提供的。因此这里的配置也适用于安装这些系统的路由器参考。

#不要使用/etc/resolv.conf文件
no-resolv
no-poll

#这两行告诉DNSmasq使用当地ISP的本地DNS进行解析
server=218.2.2.2
server=218.4.4.4

#对于google,youtube的服务，使用谷歌的DNS解析
server=/google.com/8.8.8.8
server=/youtube.com/8.8.8.8

#这两行用于防止DNS污染
bogus-nxdomain=202.102.110.203
bogus-nxdomain=202.102.110.204

#DNSmasq也可以通过域名过滤某些网站或服务
address=/googlesyndication.com/127.0.0.1
address=/cpro.baidu.com/127.0.0.1
address=/union.baidu.com/127.0.0.1
address=/google-analytics.com/127.0.0.1
address=/admaster.com.cn/127.0.0.1
address=/jiathis.com/127.0.0.1

   配置完成后，需要重启服务：

systemctl restart dnsmasq

   服务启动后，需要到路由器上修改DHCP中指定的DNS服务器地址，改成CentOS主机的地址“192.168.10.24”

   重新获取IP后，可用过nslookup命令查看是否成功，如：nslookup union.baidu.com 返回 127.0.0.1则表示成功。

squid代理的配置

安装Squid

yum install squid
chkconfig squid on

配置Squid

   编辑/etc/squid/squid.conf，指定两行http_port

   以下第一行为3128端口启用普通正向代理，第二行为3129端口启用透明代理。

http_port 0.0.0.0:3128
http_port 0.0.0.0:3129 transparent

IP转发

   由于透明代理只能代理HTTP协议，为了让虚拟机能够想路由器一样工作，需要开启该功能。

   即在/etc/sysctl.conf中，设置：

net.ipv4.ip_forward=1

   之后通过sysctl -p加载并启用新设置。

防火墙的配置

# 允许接收相关应答
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 仅允许以下入站协议
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3129 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

# 将HTTP服务重定向到3129端口，交给squid，这是透明代理的关键
iptables -t nat -A PREROUTING -p tcp -s 192.168.10.0/24 --dport 80 -j REDIRECT --to-ports 3129

# 仅允许以下协议转发给默认路由(即外网路由器)
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP

测试代理服务

   配置完成后，需要重启代理服务：

systemctl restart squid

   对于正向代理，直接在IE中指定代理服务器192.168.10.24和端口3128即可，如能正常访问WEB，则成功。

   服务启动后，需要到路由器上修改DHCP中指定的新的网管地址，改成CentOS主机的地址“192.168.10.24”

   通过手机等客户端，不加设置，就应可以访问外网了。

   另外，可以通过/var/log/squid/access.log查看访问日志，如果成功访问，日志中会有体现。

屏蔽广告

   我们通过以下脚本生成ad_block.txt，该文件包含了一个屏蔽列表：

# Generate ad_block.txt
#!/bin/bash
wget -O /etc/squid/ad_block.txt 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=squid-dstdom-regex&showintro=0&mimetype=plaintext'
systemctl restart squid

   可以将该脚本加入crond中，以定期更新之。

   编辑/etc/squid/squid.conf，增加下面两行：

acl ads dstdom_regex "/etc/squid/ad_block.txt"
http_access deny ads

   重启squid服务后，即可。

建议继续学习：

1. 使用Squid缓存视频    (阅读：9182)
2. php缓存与加速分析与汇总    (阅读：6290)
3. 系统架构的一些思考    (阅读：5619)
4. Ubuntu工作机使用FlashCache技术加速    (阅读：5258)
5. [调优] Squid 不同版本的性能对比    (阅读：4214)
6. [squid] 过期时间在 60 秒内 squid 不 Cache 的问题    (阅读：3980)
7. Squid 限制用户并发连接数    (阅读：3955)
8. [Squid] TCP_MEM_HIT 和 TCP_HIT 的性能到底相差多远    (阅读：3657)
9. squid缓存失效之谜：一步步提高squid缓存命中率办法记录    (阅读：3523)
10. squid对源网站进行限速    (阅读：3156)