Squid安装

#获得最新stable源码5 U, z8 F7 P" R% X4 r
http://www.squid-cache.org  " e5 M8 p/ G! b3 K; t) ~& X) y
bunzip2 squid-2.5.STABLE1.tar.bz2* R$ _) Z/ b: G# v7 O: N
tar xvf squid-2.5.STABLE1.tar
; b% `$ W0 ~( l+ s6 ^4 y: f+ ]cd squid-2.5.STABLE1" A+ g$ m; @* x& |6 y
vi config.sh
+ B( M  \; p' g#!/bin/sh5 e) k/ B, J9 x# ~+ F; h1 o
./configure+ x2 o* U! `0 V# I; K
--prefix=/usr/local/squid \
" I, S" `3 ]" _--sysconfdir=/etc/squid \7 T4 s) ^, J3 v+ d% w0 n. X
--enable-default-err-language=Simplify_Chinese \: b& t/ F9 Y+ |6 A8 `
--enable-ipf-transparent \  \\ipf防火墙8 q3 z. |) H+ G4 {. M
--disable-hostname-checks \
( ]* P' m! x/ `4 R2 T) B7 r--disable-internal-dns \
3 Q+ M3 i# B, R0 T. J& q, c--enable-storeio=ufs,null
( m8 l5 B; I, J, O#使用的文件系统通常是默认的ufs，不过如果想要做一个不缓存任何文件的代理服
: z3 g4 p) S) \1 N; b0 d务器，就需要加上null文件系统。 ! m. b1 n% X$ R
--enable-arp-acl + o' |9 ?; g. u6 q1 A1 i
#这样可以在规则设置中直接通过客户端的MAC地址进行管理，防止客户使用IP欺骗。" j4 l7 }) R! J9 U7 z- b: R
--enable-underscore
: ]: k# a' a( _& |. p2 r' v#允许解析的URL中出现下划线，因为默认情况下Squid会认为带下划线的URL是 7 Q, r% P# V7 B1 A, t$ F7 G; j) L
非法的，并拒绝访问该地址。
2 \" z1 J: q6 E4 _' i1 k2 G4 r#--enable-linux-netfilter
6 U7 O- V) L) w! g8 Z#允许使用Linux的透明代理功能。* s5 [4 h& F# a% d  b0 c- g
##用户/密码认证为Squid管理提供了更多便利，最常用的认证方式是NCSA。从Squid 2.5版本开始，NCSA认证包含在了basic中，0 G$ b' @5 ?6 ~! T+ Q
##而非以前单独的认证模块。下面来看看实现认证的具体操作。
# k) e6 G/ I) k+ B7 w##首先在编译时配置选项应包括以下配置：
4 ?& |+ J& _  D' X( B##--enable-auth="basic" --enable-basic-auth-helpers="NCSA" + i& d( F7 w/ G
##“make install”以后，需要将“helpers/basic_auth/NCSA/ncsa_auth”拷贝到用户可执行目录中，
, L* B: g9 S" \& W. a##如/usr/bin（如果在该目录中找不到这个执行文件，在编译时请使用make all而不是make，或者直接在该目录中执行make），% k$ `9 y% b5 r8 ~0 {
##然后需要借助Apache的密码管理程序htpasswd来生成用户名/密码对应的文件，就像下面这行代码：
0 D, G) n9 r) j2 J5 v##htpasswd -c /var/squid/etc/password guest   
, r) K- w: }) ?1 F5 O7 N1 s  \# @! |2 S) m) _" `, c, J8 u. _7 M
　　在输入两遍guest用户的密码后，一个guest用户就生成了。如果以后需要添加用户，把上面的命令去掉-c参数再运行即可。   
0 W2 ]) H/ G& k0 `, X- J' K7 d$ z4 s6 _5 b
make6 `- J% K  T. ]" j& }" D" D
make install( E. e: W6 D* E2 _
#首先，配置好你的网络，保证安装squid的主机能正常上网；
% h& a$ j* e+ P" g0 Gcp /etc/nsswitch.dns /etc/nsswitch.conf  
* {: `, G0 a1 P. ivi /etc/resolv.conf
  C# @; O3 J+ O) ynameserver 219.141.136.10" u6 k' Q# D. u# D) Y
nameserver 202.99.8.1) z" e, l" n4 n$ V! i- x
nameserver mail.zcomadmin.com  ; c8 N* h7 ^9 u) N3 i+ d, c
ping www.sina.com //表示能够通过DNS解析  
1 q& B9 X7 q: x! `# v0 N; L! scd /usr/local/squid/etc
4 B5 S  M7 `9 i0 @! `vi squid.conf
( H- j8 u) d: u( U2 o2 I  |# vi /usr/local/squid/etc/squid.conf) v" e# z( S/ |) [, \5 i! x
===================== squid.conf ====================
8 t6 x  U: O, ~/ S4 R( L0 W1 在这个例子中，代理服务器同时也是网关，内部网络接口eth0的IP地址为192.168.0.1，
7 `/ E7 B+ X% C4 v( r* W: I3 A0 A1 a) w外部网络接口eth1的IP地址为202.103.x.x。下面是一个基本的代理所需要配置选项：   ! s7 V- a$ ]  J$ q( a$ M2 B, `: e
$ X9 W$ H2 U" ~# ~
http_port 192.168.0.1:3128 //默认端口是3128，当然也可以是任何其它端口2 d" H- T/ j% J' i2 b( D' j
只要不与其它服务发生冲突即可。为了安全起见，在前面加上IP地址，Squid就不会监听外部的网络接口
) F6 R6 @6 s; W6 Y8 C4 x2 //下面的配置选项是服务器管理者的电子邮件，2 [) ~' ^  e* D: b- J
当错误发生时，该地址会显示在错误页面上，便于用户联系：8 V% q2 Y, j: Z; A; e' S' t
cache_mgr test@zcomadmin.com   % g7 d: z0 j' n/ I
error_directory /usr/local/squid/share/errors/Simplify_Chinese
* T1 S9 G4 v4 u; l1 u0 z( Bdns_nameservers 202.99.160.68 202.99.168.8: I+ O$ }3 X# R! U
3 //下面这行配置是在较新版本中出现的参数，告诉Squid在错误页面中显示的服务器名称：
% p: ^% |  @4 p# O9 O% o* r1 }visible_hostname mail.zcomadmin.com" L* i6 ^6 e  E7 K  A  P
4 //如果是普通代理服务器，以上的配置已经足够。但是很多Squid都被用来做透明代理。所谓透明代理，0 i, A; ~4 A, ]  ^" g2 o
就是客户端不知道有代理服务器的存在，当然也不需要进行任何与代理有关的设置，从而大大方便了系统管理员。
* v' K4 ^1 o2 m0 b相关的选项有以下几个：
: K+ @* n. @2 S. F1 xhttpd_accel_uses_host_header on
0 s0 ?, w9 e9 j+ [1 ^httpd_accel_host virtual8 g7 |8 s6 ^: j: h5 B$ L
httpd_accel_port 80
1 g3 k* v4 s, S9 b6 ihttpd_accel_single_host off
' u$ s, y7 y& T/ @1 jhttpd_accel_with_proxy on" o! ^- [% S; l3 o- W  i. a
##在Linux上，可以用iptables/ipchains直接将对Web端口80的请求直接转发到Squid端口3128，2 q+ v7 _% Y8 \
##由Squid接手，而用户浏览器仍然认为它访问的是对方的80端口。例如以下这条命令： ! w: g  t, G' o- M8 V
##iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128
5 ?  N) K4 n. W* k4 y, p0 X5 //以下这些参数告诉Squid缓存的文件系统、位置和缓存策略：
. w# h# e; V- ^. w* j6 T7 Jcache_mem 48 MB
- }5 Y1 J! A* D7 {: k( k7 Dmaximum_object_size 4096 KB! ]. ?: P% m7 q4 X/ y) F
minimum_object_size 0 KB
7 O9 N: g" B* a, W5 lmaximum_object_size_in_memory 30 KB5 F4 q9 k/ [) Z. ~, ?$ V* a5 r2 Z$ b
minimum_object_size_in_memory 0 KB
2 r; f" Q4 r1 p( Ycache_swap_low 857 J1 k$ x, D) ]  `$ M+ w
cache_swap_high 90 9 ?" o5 [8 _" }. |
##//Squid会将/var/squid目录作为保存缓存数据的目录，每次处理的缓存大小是32兆字节，当缓存空间使用达到95%时，
. k, C) Z: q4 ~: t##新的内容将取代旧的而不直接添加到目录中，直到空间又下降到90%才停止这一活动。如果不想Squid缓存任何文件，
8 c' ?+ {# m7 F  x##如某些存储空间有限的专有系统，可以使用null文件系统（这样不需要那些缓存策略）： 1 F9 z! l  e; B  w3 y7 e4 q8 U
##cache_dir null /tmp 8 d: H1 W* c0 Q& x% q
cache_dir ufs /var/squid
) I2 n9 z: x- X, P/ dcache_effective_user squid
5 A: k4 n* a1 Y+ |2 Pcache_effective_group squid- h" \" r  @+ N
cache_access_log /var/squid/access.log
+ d  f# f/ n2 I2 w+ acache_log /var/squid/cache.log
8 |/ h- ]3 f7 J1 k6 q, Mcache_store_log /var/squid/store.log   6 M" w# M3 r1 }& }: f5 O
1 B) v. B+ V* n/ j/ k) F+ `* \
6 //以下配置告诉Squid如何处理用户，对每个请求的IP地址作为单独地址处理：* m9 D4 V% h, k+ t$ }) k
client_mask 255.255.255.255   
' |2 H5 O% C, Z7 //或者为了保证高级用户的带宽，希望每个用户的并发连接不能太多，以免影响他人，也可以通过Squid控制，代码如下：
% Y) D; x. `' ^+ F6 W* Q. r2 _acl conncount maxconn 3 - J. l1 J& _" [9 |6 K3 I
http_access deny conncount normal
  S" q  [$ G/ E4 E6 v& Qhttp_access allow normal   6 I( y: B1 \- P: r+ Y) j5 W
8 //还有一种比较广泛的控制是文件类型。如果不希望普通用户通过代理服务器下载MP3、AVI等文件，3 q9 r; k! v; F( t# `0 W2 w
完全可以对他们进行限制，代码如下： / U; O7 g& c0 v8 @/ Y4 d2 ^! }, Z
acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$ : y* u* T8 q' @4 a; i9 m# @2 f
http_access deny mmxfile   
2 F: q4 \5 h6 [9 //设置不代理的url，一些动态网页，比如江湖、聊天室。+ b4 }: Z3 M  W4 ~5 U' h
#  TAG: no_cache               c5 K1 M6 H( O( E/ ?
#       A list of ACL elements which, if matched, cause the request to- {: N8 h  t. Y1 X- W
#       not be satisfied from the cache and the reply to not be cached.
6 P3 Z% {+ r$ X; k0 t$ m5 S: m8 [% w#       In other words, use this to force certain objects to never be cached.
' y% |9 u$ m! R; E+ f" k! [, _#       & r9 T# I0 {+ b4 H
#       You must use the word 'DENY' to indicate the ACL names which should
' ~2 Z- E( H) H! Z5 c' a* J#       NOT be cached.
3 s6 ^: u5 d! v1 ]#      
) E  e* X' u+ k; G7 J#We recommend you to use the following two lines.            
' O7 Q4 n' v/ z$ g) z3 Wacl QUERY urlpath_regex cgi-bin \? asp php shtml php3 cgi! d) T& Q+ x' X2 p& H
no_cache deny QUERY( U8 e* p8 O) ]' A; m& k
10 //Squid可以通过IP地址、主机名、MAC地址、用户/密码认证等识别用户，8 L( u2 x' ~" g5 J3 w! }
也可以通过域名、域后缀、文件类型、IP地址、端口、URL匹配等控制用户的访问，, N8 Q6 c- L, h! ~6 a/ c$ F
还可以使用时间区间对用户进行管理，所以访问控制是Squid配置中的重点。
1 G/ ~* j6 g; [3 r, D. q0 U6 g8 pSquid用ACL（Access Control List，访问控制列表）对访问类型进行划分，用http_access deny 或allow进行控制。
6 y* i" a4 k0 K" A9 `* w( V根据需求首先定义两组用户advance和normal，还有代表所有未指明的用户组all及不允许上网的baduser，7 b; n& Q* I8 Q' }
##配置代码如下：
: q/ t: ?$ m( P6 t* N: i##acl advance 192.168.0.2-192.168.0.10/32 1 C8 F* @  b4 O, P) f# A  T  O0 p
##acl normal src 192.168.0.11-192.168.0.200/32
6 H4 d4 A- ^* J( d3 y- u##acl baduser src 192.168.0.100/32 4 x/ x1 B6 |! Q$ a# N1 h+ n3 _
##acl baddst dst www.soocol.com 9 n, u, d$ w. T$ _
##acl all src 0.0.0.0/0   
3 D3 v' B7 ~( {1 Q! d##http_access deny baduser
+ J8 C% ~4 b  E, z/ C2 B- l##http_access allow advance ) f- [/ Z: W5 g" ^$ e9 }; i/ V# ^
##http_access allow normal   ; I2 `/ M3 j: M: O3 w
//ACCESS CONTROLS5 k6 [; }7 u# f; l; |6 m. k: `8 {
# -----------------------------------------------------------------------------  
9 Y! U% {# S) Y3 {! k( z$ j3 t#  TAG: acl6 g0 @2 x, A4 o1 X& M, B& C2 t  ~
#       Defining an Access List% p+ ^2 ?6 L0 K! Q* n/ I4 L3 l
#
. w+ f- W5 m% A- i#       acl aclname acltype string1 ...
2 l. f5 S! ^/ p#       acl aclname acltype "file" ...
" d/ n/ z% B8 Q0 P& A#! p# n. }5 y/ @. Q3 [
#       when using "file", the file should contain one item per line
9 Q' S1 u; J; H$ f4 s) D3 ]& I4 S#定义内网（假设有172.16.0.0/16;192.168.0.0/16;10.0.0.0/8）;6 q/ }% |1 |$ b6 i" U/ C! m
acl lan-a src 172.16.0.0/16# r* A( Z5 ~5 B& R9 }. y
acl lan-b src 192.168.0.0/168 y7 G: G8 \( v! S% D
acl lan-c src 10.0.0.0/8  
( |4 V! F) B$ G- e9 T1 G/ V2 G#squid的默认配置是拒绝所有连接；7 V) \9 A4 t; v. \
#Default:
# S, {# s6 n9 g2 }# http_access deny all; U4 }$ u& Q8 q0 a, g* K; O5 M
#2 I6 o: J' @6 c% t6 I  G
#对上述内网地址开放: q  X3 i1 ]5 N' d
http_access allow lan-a, s& J! v: i* X2 K6 m
http_access allow lan-b
- ~' H9 c; `' x6 {( ^  Khttp_access allow lan-c  
/ J9 p/ e7 ~6 O/ v7 p* r3 o#Recommended minimum configuration:! q' o9 s1 ?' c& f
#
. _+ e1 r% |* h11 ##//如果想让普通用户只在上班时间可以上网，而且是每周的工作日，用Squid应当如何处理呢？看看下面的ACL定义：   
+ E$ ?5 j# u. @$ w/ R$ _8 P##acl worktime time MTWHF 8:30-12:00 14:00-18:00
, N- a' v6 \1 @# {+ I/ @7 ?" o##http_access deny !worktime
  u, M: N- z/ L2 \  y) m12 //##该选项指出了认证方式（basic)、需要的程序（ncsa_auth）和
4 M6 H7 ^. C% K/ Q8 W2 O# Q; x0 Y##对应的密码文件（password） ; F, |; v8 ^7 }: A. V0 z; L2 m2 i2 S6 g
##auth_param basic program /usr/bin/ncsa_auth /var/squid/etc/password
( ~$ a  C4 z  H: s## 指定认证程序的进程数
+ K( L% y7 T- u4 ]% O' e* U##auth_param basic children 5
$ I" i8 Y9 W) p( a! s3 z* s8 L## 浏览器显示输入用户/密码对话框时的领域内容 8 @  w+ d5 e; _1 f6 B3 X  L0 ]
##auth_param basic realm My Proxy Caching Domain 9 N% \7 r; D/ b$ [
## 基本的认证有效时间
: B5 l1 ~! r; U/ w3 W! L0 f##auth_param basic credentialsttl 2 hours 5 h6 l: w$ R) n: i3 \2 z
## 普通用户需要通过认证才能访问Internet 8 S% L$ F8 q; q6 q
##acl normal proxy_auth REQUIRED . ^" [7 g" i0 Y- k, T) e0 _5 {$ m, E
##http_access allow normal   
3 n1 w6 I2 B7 ~1 Q! H/ R! S; C8 A0 `, c' L. ?6 A/ c& \5 E
##通过以上的配置即可完成认证工作。有的读者可能要问：认证只针对普通用户，而高级用户是直接上网的，& a" r( ~* P, z8 |6 _) Z
##该怎么处理呢？其实，这两种用户是可以共存的。如前所述，Squid是顺序处理http_access的，所以在http_access处理过程中，
8 T9 U0 t1 J  U) y0 J##如果先处理normal用户，那么当前用户无论是否属于高级用户，都会被要求进行认证；相反如果先处理高级用户，
# L& l1 v' _" R9 e  O7 }##剩下的就只有需要认证的普通用户了。例如以下配置代码：   # ~+ J/ B' a+ m5 Y
##... , R: v/ R+ ]) o  n( K
##http_access allow normal (需要认证)
% |6 ~! s+ r$ E0 ]5 I8 ~) M##http_access allow advance （不需要认证） ! ^) [& [/ [% t, D
##...
+ W" }3 p  j* W% @6 l0 ~; J4 O5 ?& e##不管是否为noauth用户，都要求进行用户名/密码验证。正确的方法是将二者位置交换，代码如下：   
" ]8 E0 e, _# p( J3 w5 f# n##...
1 i% d% p, J- m* A0 [' p2 Z- [##http_access allow advance / k8 s# C) o. a9 N* p" U
##http_access allow normal
7 ]: m0 u; J3 O' x% }##...   
. }- v  O" J4 `+ C% E) [' G8 R5 C) p7 i1 P" v3 L
===================== squid.conf ====================4 Q8 X5 [7 |2 I: q4 F' A& g
exp：3 z5 {! T+ s- x6 H( H6 ]
# 服务器配置 + U$ A; ^' L3 G
http_port 192.168.1.238:3128 - y+ p/ Q5 G% z8 k" \. L4 C; P, p
cache_mgr test@zcomadmin.com
  r/ E" r$ }" n#cache_dir ufs /usr/local/squid/var/cache/ 5 E: I' W9 U% q9 x) U. |% R
cache_access_log /var/squid/access.log   [- ?: S' o) g( B3 z4 Y
cache_log /var/squid/cache.log
; l0 H5 t7 W! N) {/ ucache_store_log /var/squid/store.log + ?5 e) A/ {! L% i
visible_hostname No1.proxy
1 v8 e% }2 T) O9 U#client_mask 255.255.255.255
+ S& U0 l: [5 ^httpd_accel_host virtual
4 K% c  T! S9 T" ^1 nhttpd_accel_port 80 ) q: y: z1 l& z% U( m& s% ~6 q
httpd_accel_with_proxy on $ `, @/ z. P/ x' }% X- v. G) h2 t
#httpd_accel_user_host_header on   0 c) \# E8 H; L
# 用户分类
2 l  z+ ]& T/ r  K#acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... 8 \. c0 Q, z6 \/ F4 d) j9 w  S
#acl normal proxy_auth REQUIED ' e; W6 d) G" z6 S2 e) R: |0 X
#acl all src 0.0.0.0   
3 o. }0 ]& X( _, F, O# 行为分类
8 S2 H7 [3 R6 g8 i( v! ~acl mmxfile urlpath_regex \.mp3$ \.avi$ \.exe$
! ?* z0 H! C( B8 o$ ^4 Wacl conncount maxconn 3 : p5 l* X0 X- M( \* m/ I
acl worktime time MTWHF 8:30-12:00 14:00-18:00
5 c# W* d; M  w' b0 ]% ^acl sinapage dstdomain ok.sina.com.cn
9 t2 ?2 \! X. D3 B* B4 y% oacl qq dstdomain .tcccent.com.cn   ) @) R7 U+ \8 o* _9 d5 G) N/ L
# 处理 . H6 O0 o6 K2 u: z
http_access allow advance 6 l& w# P2 z6 S7 ~; }
http_access deny conncount normal
, \5 Z/ ?5 m; u. C0 }6 \http_access deny !worktime
7 Q. O$ j4 a$ Z6 }8 d$ \6 Phttp_access deny mmxfile 9 y$ Z0 a8 v8 Y  b, ?
http_access deny sinapage # S7 z$ a7 y0 T5 u5 |8 U
http_access deny qq
# G& z& u+ X; m8 H' Khttp_access allow normal   " {9 d1 P5 A/ A, G! }7 i
mkdir /usr/local/squid/var/cache  $ @) U+ \8 L0 @( w3 l+ j- o$ m
chown –R squid:squid /usr/local/squid/var/  
# G% a$ \$ ^3 s4 }+ z/ Uchmod -R /usr/local/squid/var/cache  8 p) H* e( Q; A) h! i
mkdir /var/squid  
* K. G8 S- p% k' D3 Z6 l* K5 {cd /var/squid  ! e2 J# j  x& u4 |
chown -R squid:squid .  . ^1 t* P+ \; X
chmod -R 777 .  
# y& n) O( z9 J$ ~% D) ~1 p/ j6 R//该命令会产生Squid所有的缓存目录。0 y3 g! S/ }3 _* ~# I1 ], B
/usr/local/squid/sbin/squid -z' b+ x( \" r8 q3 V1 G( A
//如果你想前台执行Squid,接着执行命令：3 }5 X$ }/ ^8 E1 f' i5 b
/usr/local/squid/bin/squid -NCd1  $ @" A0 ]% E# p! B6 @5 i/ n
##该命令正式启动Squid。如果一切正常，你会看到一行输出
4 _6 Z7 u1 |  _1 y: g/ k. [5 h1 [3 e##Ready to serve requests. . I! I, |# U( ^
/usr/local/squid/sbin/squid -k check   3 P( ?% T8 X7 l+ }" I6 Y
//输出会告诉你Squid的当前状态。   * y* W# p8 p; x

. z+ _: q4 _- M! C/ K$ _4. SQUID启动脚本  9 H/ Y; I) O. B* }! ?6 t
# vi /etc/rc3.d/S78squid
7 N$ a4 a2 ?' ]====================== S78squid =====================- H4 P$ w8 j3 u9 i2 C
#!/sbin/sh; Y9 {& B8 K! V& V
#  n- X; h8 O" ]: E: @$ l
# Copyright (c) 2005 by llzqq Inc! p- W5 h* U! s
# All rights reserved.: X6 e8 O5 r, X' G- Q; E% }
#$ f6 i4 |. [& q4 A1 D! U3 f: s
#ident  "@(#)squid    1.1     04/05/24 SMI"  
7 A- V8 F) F- E1 L; V7 S6 Y2 Lcase "$1" in- C  D& j, [1 h
start); O' D2 t% h7 I# T" [
        /usr/local/squid/sbin/squid -D. \2 @7 S0 Q% J9 P4 I- E% m
        ;;% a0 L$ Q/ h6 ~% T
stop)9 q, {' ~3 e* {0 e
        /usr/local/squid/sbin/squid -k shutdown
5 d+ R6 n4 d$ R7 H* s2 i* S6 \5 I        pkill squid9 ~1 m9 Q& I( O
        ;;( G0 u6 }; c# |8 C8 N5 y9 x
restart)8 Y! R, X4 R: Y2 Y- C
        /usr/local/squid/sbin/squid –k reconfigure3 ?2 H7 }4 o% H/ g' _% W
        ;;( u3 Q4 Q- c5 k& z! q4 H
*)
+ x0 J% L) s+ B7 h        echo "Usage: $0 { start | stop | restart }"
* v+ u% }1 x3 t. \        exit 1
" J( M; }: N  m5 q        ;;
+ k: O2 P6 c  aesac6 T+ t% n$ Q" f* |. l' O
exit 0! t7 ^! S% z' ^# o' M" B
====================== S78squid =====================    d- z, N6 P3 ?6 {
# chown root:sys /etc/rc3.d/S78squid
3 O) I1 E3 A* T/ L' p) ^# chmod 744 /etc/rc3.d/S78squid
! g2 w8 J" @7 U+ q) t. |# ln -s /etc/rc3.d/S78squid /etc/rc2.d/K78squid  1 X- C* Q& ?; {& E

/ |! j5 j1 B1 S& o! }1．1安装防火墙IPF(FOR X86):  
7 _5 [3 z! D) x. i; A, o# wget http://archive.cert.uni-stuttgar ... il3.4.33pre2.tar.gz
& C, Q; T2 k! T7 g9 Q/ b5 w- b; N7 x# gzip -d ip-fil3.4.33pre2.tar.gz) o7 z5 S) y2 i: |, J
# tar vxf ip-fil3.4.33pre2.tar
# ?) R( t+ R5 q" N1 B' s9 [* p, ]; g# cd ip_fil3.4.33pre2; o0 I( I1 C, N) ?3 E8 q" E) `# n
# /usr/ccs/bin/make solaris
) N9 a9 P5 W, i3 k* F- Q, X" }" F# cd SunOS5
; t2 G9 L6 W  e  O# /usr/ccs/bin/make package
5 m! F6 L' P. a1 R1 l; P8 n# cd i386-5.9) Z( z2 b( X! v" y
# pkgadd -d ipf.pkg  
$ i: t: C' ]  h+ Y) [. D, d) B0 f   / h! D! X. L0 {4 h0 s; K# h
1 N! k# }% N* j7 f
1．2安装防火墙IPF(FOR SPARC):  # u; z9 u$ ]5 d8 H- y5 i
# wget http://anders.fix.no/solaris/pkg/ipf-3.4.33pre2-sol9-sparc.gz! Y9 g! Y/ y% ?, w& t
# gzip –d ipf-3.4.33pre2-sol9-sparc.gz0 N7 G9 _+ Z% n2 p9 B' p0 a
# pkgadd –d ipf-3.4.33pre2-sol9-sparc  
4 G( t- x5 @0 [0 V0 L  m% n! x
( O6 q) V1 b/ k: P1 \5 ~; _安装SQUID出错可以是没有安装必要的系统编译环境  " o. U7 `3 I* T7 t( M* d+ @
GCC工具：
$ k$ y1 X; ~6 _# gzip -d libiconv-1.8-sol9-sparc-local.gz, ?- m. }0 c$ f# m: J9 G; N
# gzip -d gcc-3.4.1-sol9-sparc-local.gz
7 ~/ d  g) M, [- e6 V# gzip -d libgcc-3.4.1-sol9-sparc-local.gz5 h( f' M  u1 N$ ~# S
# pkgadd -d gcc-3.4.1-sol9-sparc-local
' S0 E; Z* D6 \$ K( {" L8 m" W3 F$ t# pkgadd -d libiconv-1.8-sol9-sparc-local
% t1 D+ S# B/ D( P# pkgadd -d libgcc-3.4.1-sol9-sparc-local9 N0 m7 y1 i  k+ D
# ln –s /usr/local/bin/gcc /usr/bin/cc  
' ^/ d" s0 i8 |OTHERS:
. p& E- D% h5 t9 M2 C7 h. y+ U# pkgadd -d expat-1.95.5-sol9-sparc-local" N2 C, @! g, L4 A; p
# pkgadd -d gdbm-1.8.3-sol9-sparc-local
3 T" t0 g/ ?4 T' Z0 D& N! k& R  K# pkgadd -d openssl-0.9.7e-sol9-sparc-local
" g' ^) a# y* [! x1 o# `5 C& Q5 V1 Y5 X# pkgadd -d bison-1.875d-sol9-sparc-local
: l6 R. m& u2 B3 l3 h# pkgadd -d autoconf-2.59-sol9-sparc-local* m; z0 {. [9 l+ R
# pkgadd -d lsof-4.68-sol9-intel-local  
+ `* w9 d5 A" r2 l6 j3 l: P# J0 S8 vMAKE工具：
* r$ w8 ?: l' j6 g5 K& T5 D$ B# gzip -d make-3.80-sol9-sparc-local.gz
% I! c8 t" t$ N/ @( `# gzip -d automake-1.9-sol9-sparc-local.gz
6 s# ^- |7 O( e# e2 P$ ~# a# pkgadd -d make-3.80-sol9-sparc-local
* f6 m6 e+ a3 l6 [* n5 e& F" G4 n# pkgadd -d automake-1.9-sol9-sparc-local
6 h1 L9 }. p; g* t. K7 y+ a 配置IPF防火墙  
2 H9 S; w2 v* q4 M# vi /etc/opt/ipf/ipf.conf  
0 Q6 I8 _  E  F" V# ]: ^===============================ipf.conf============================$ |0 k/ S3 n5 p* y' x) ~- p( \4 G6 [
#- Z/ c. e! A% T
#  ------------------     ---------------------     ------------------
) C2 d% F$ s# w! c' V& O' A9 h% r7 a# | Internet Network |---| hme0  NAT IPF   rf0 |---| Internal Network |+ T3 I3 a$ I$ X* |3 [3 ]+ ~
#  ------------------     ---------------------     ------------------
' e  Q3 `& B  |6 K( J; {. b#6 }" a7 n8 `" g
#                                                                     
. j0 L  ~# D* o# Interface: all4 R# r4 y; O. y; `
# Block all incoming and outgoing packets unless they're allowed later.- U: ]( i3 O% Q+ G: ?& u/ j
#                                                                     * S. n1 `! D9 g+ Q6 w
# block all frist0 W1 w4 j9 t. k8 ]1 W& d
block in all: z7 B: H( B& C6 g% I4 e
block out all  
2 T5 O1 K% X) v0 S7 }7 t' M# packets with ip-options, short and fragmented packets
! x, s3 |2 d% C8 X& Vblock in quick all with short
9 C+ v' j" R% a  E0 ]block in quick all with ipopts% A5 _# d) R2 q, o0 ?) C. l# H
block in quick all with frag
: r6 @+ e( k- Tblock in quick all with opt lsrr
5 h0 Q% D1 l) E& `. m% u$ R( lblock in quick all with opt ssrr  9 Y/ ^6 M8 O) [6 c& J& S
# disable nmap scan
2 T- g/ Y6 X; G; D, C  ]4 }block in quick on hme0 proto tcp from any to any flags FUP
& {! T5 a) i' G3 mblock in quick on hme0 proto tcp from any to any flags SF/SFRA! H* H- U$ a* S. N7 M
block in quick on hme0 proto tcp from any to any flags /SFRA  4 j7 B$ M3 z, {) D4 }2 @& z- Z
# Local network traffic is allowed5 C$ h  r! r2 A2 U4 S" E- Q# X
pass out quick on lo0, M8 l9 W7 Q8 e* w
pass in quick on lo0
' L# x# b+ ?. k7 m# g1 Dpass in quick on rf0; ~/ g* M4 @1 N, d; r
pass out quick on rf0  
+ S0 [: p, ?, ^# The pass rules to enable Services
' k3 H) }0 g* ]) K0 o# hpass in on hme0 proto icmp from any to any icmp-type echo
( e/ g4 o- `7 w  o  t0 `9 dpass in on hme0 proto tcp from any to any port = 20 flags S keep state4 b1 o* \! |# k, q: ^4 L
pass in on hme0 proto tcp from any to any port = 21 flags S keep state8 v/ H  {9 E$ e
pass in on hme0 proto tcp from any to any port = 22 flags S keep state
; Q7 @  e. k9 t5 I, }pass in on hme0 proto tcp from any to any port = 80 flags S keep state" L0 ^! |7 y# Y3 L) S; Q. _
pass in on hme0 proto tcp from any to any port = 443 flags S keep state6 i& d- H/ X) M& z
pass in on hme0 proto tcp from any to any port 55000 >< 55100 flags S keep state  
0 |' {6 s3 |6 m6 r1 D. {& d# The general pass rules.0 N+ J; w# r3 s. s" @& ~! G4 \
pass out quick on hme0 proto tcp from any to any flags S/SAFR keep state keep frags9 \: s* O2 i5 C5 F5 c
pass out quick on hme0 proto udp from any to any keep state keep frags
! H8 o, x, m5 Y1 zpass out quick on hme0 proto icmp from any to any keep state keep frags7 M' w8 V& L7 g! d
===============================ipf.conf============================  # Z* }  T  _4 ~, M9 z% A
# vi /etc/opt/ipf/ipnat.conf  * i' ]* t" t( L. _1 r; g+ E
==============================ipnat.conf===========================
: \" z; h- e4 Emap hme0 192.168.100.0/24 -> 192.168.10.14/32 proxy port ftp ftp/tcp
+ d, d) L" ]# F8 Y8 u$ kmap hme0 192.168.100.0/24 -> 192.168.10.14/32 portmap tcp/udp auto7 k7 `* C- E/ }. X2 X6 }
map hme0 192.168.100.0/24 -> 192.168.10.14/32  ' Q+ Q2 ?: `" R# Y" [5 j4 |1 w: b
rdr rf0 0.0.0.0/0 port 80 -> 192.168.100.1 port 3128$ E- g5 V% E( L" G5 P
==============================ipnat.conf===========================  
0 X2 z( J% y. S- [" e# W! u. L6． 打开IP转发：  
2 p  a' a0 \0 l4 Z# touch /etc/gateways  . j% R# |; a7 m, Y
, A: U4 K  m& t! v  ?; M

! J7 @; m. |& D9 i; vTrackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=694139