CentOS Squid双网卡如何配置实现内外网代理？

在企业或特定网络环境中,使用一台配备双网卡的CentOS服务器搭建Squid代理是一种常见且高效的架构，这种设置通常用于网络隔离、访问控制、内容缓存和提升安全性，服务器的一个网卡连接外部网络（如互联网），另一个网卡则连接内部局域网，充当内外网之间的网关和代理，本文将详细介绍如何在CentOS系统上，结合双网卡环境，安装、配置并运行Squid代理服务器。

场景与网络拓扑规划

在开始之前,明确网络拓扑至关重要，我们假设一个典型的场景：CentOS服务器作为网关和代理，连接内网与外网。

• 外网网卡 (eth0): 连接到互联网，获取公网IP地址。
• 内网网卡 (eth1): 连接到内部局域网，分配一个私有IP地址，作为内网客户端的网关和代理服务器地址。

为了更清晰地展示,我们可以规划如下网络配置表：

网卡	用途	IP地址	子网掩码	网关
eth0	外网 (WAN)	0.113.10	255.255.0	0.113.1
eth1	内网 (LAN)	168.1.1	255.255.0	(无需设置)

在这个架构中,内网客户端（如PC-1, IP: 192.168.1.100）将网关指向192.168.1.1，并在浏览器或系统设置中配置HTTP/HTTPS代理为192.168.1.1，端口为3128（Squid默认端口）。

CentOS系统网络配置

需要确保CentOS系统的双网卡配置正确并已启用,网络配置文件位于/etc/sysconfig/network-scripts/目录下。

1. 配置外网网卡 (eth0):
   编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件，确保其内容类似于：

   DEVICE=eth0
   BOOTPROTO=static
   ONBOOT=yes
   IPADDR=203.0.113.10
   NETMASK=255.255.255.0
   GATEWAY=203.0.113.1
   DNS1=8.8.8.8

2. 配置内网网卡 (eth1):
   编辑/etc/sysconfig/network-scripts/ifcfg-eth1如下：

   DEVICE=eth1
   BOOTPROTO=static
   ONBOOT=yes
   IPADDR=192.168.1.1
   NETMASK=255.255.255.0

   注意：内网网卡不需要设置网关。

3. 启用IP转发:
   为了让服务器能够转发内网客户端的请求到外网，必须开启内核的IP转发功能，编辑/etc/sysctl.conf文件，添加或修改以下行：

   net.ipv4.ip_forward = 1

   保存后,执行sysctl -p使配置立即生效。

4. 配置防火墙规则:
   使用firewalld或iptables设置NAT（网络地址转换），允许内网通过服务器访问外网，以firewalld为例：

   firewall-cmd --permanent --add-masquerade
   firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -o eth0 -j MASQUERADE
   firewall-cmd --permanent --add-port=3128/tcp
   firewall-cmd --reload

   这条规则将所有从eth1进入、从eth0发出的数据包的源地址伪装成eth0的公网IP。

   

Squid代理服务器安装与配置

系统网络环境准备就绪后,接下来安装和配置Squid。

1. 安装Squid:
   使用YUM包管理器可以轻松安装：

   yum install squid -y

2. 配置Squid:
   Squid的主配置文件是/etc/squid/squid.conf，在进行修改前，建议备份原文件，以下是核心配置项的说明：

   • 监听端口与地址:
     修改http_port，将其绑定到内网IP地址上，这可以防止外网直接访问你的代理服务器，增强安全性。

     # 原始配置可能是 http_port 3128
     # 修改为：
     http_port 192.168.1.1:3128

   • 定义访问控制列表 (ACL):
     ACL是Squid权限控制的核心，我们需要定义一个ACL来识别内网客户端。

     # 定义一个名为 'lan_clients' 的ACL，源IP为 192.168.1.0/24 网段
     acl lan_clients src 192.168.1.0/24

   • 设置访问权限:
     使用http_access指令来定义ACL的访问权限，规则的顺序很重要，Squid会自上而下匹配。

     # 允许 'lan_clients' ACL定义的客户端访问
     http_access allow lan_clients
     # 禁止其他所有访问（重要安全措施）
     http_access deny all

     这个“先允许后拒绝”的策略确保了只有内网用户可以使用代理。

   • 其他常用配置:

     # 设置缓存管理员邮箱，当错误发生时会显示
     cache_mgr admin@example.com
     # 设置代理服务器的可见主机名
     visible_hostname proxy-server

3. 初始化缓存并启动Squid:
   首次启动前，需要初始化Squid的缓存目录。

   squid -z

   然后启动Squid服务并设置为开机自启：

   systemctl start squid
   systemctl enable squid

   可以使用systemctl status squid检查服务状态，使用tail -f /var/log/squid/access.log实时查看访问日志。

   

启动、测试与验证

所有配置完成后,最后一步是测试。

1. 客户端配置:
   在内网的一台PC上（如192.168.1.100），将网络设置中的代理服务器手动配置为168.1.1，端口3128。

2. 验证:
   在该PC上打开浏览器，访问一个网站（如http://www.example.com），如果能正常打开，则说明代理设置基本成功。

3. 日志分析:
   登录CentOS服务器，查看Squid的访问日志：

   tail -f /var/log/squid/access.log

   你应该能看到来自168.1.100的访问记录，其中包含目标网址、请求状态（如TCP_MISS/200表示首次访问并成功获取）等信息，如果看到TCP_DENIED，则意味着访问控制规则可能配置有误。

至此,一个功能完备、结构清晰的双网卡CentOS+Squid代理服务器就已搭建完成，它不仅能有效管理内网用户的上网行为，还能通过缓存机制加速常用网站的访问，节省公网带宽。

---

相关问答FAQs

问题1：Squid服务启动失败，提示“Permission denied”或端口被占用，应该如何排查？

解答：这个问题通常由以下几个原因造成：

1. SELinux限制：CentOS默认开启SELinux，它可能会阻止Squid绑定到非标准端口或访问某些目录，可以尝试临时关闭SELinux（setenforce 0）来测试，如果问题解决，则需要正确配置SELinux策略，若使用非3128端口，需要使用semanage port -a -t squid_port_t -p tcp [你的端口号]来为SELinux添加规则。
2. 端口冲突：使用netstat -tulpn | grep 3128（或你配置的端口）检查是否有其他进程占用了该端口，如果有，需要停止该进程或为Squid更换一个端口。
3. 配置文件语法错误：在修改squid.conf后，可以使用squid -k parse命令来检查配置文件的语法是否正确，该命令会逐行解析配置并报告任何错误。
4. 防火墙拦截：检查firewalld或iptables规则，确保你配置的代理端口（如3128/tcp）已经对内网开放。

问题2：内网客户端通过代理访问HTTPS网站时出现证书错误或连接失败，是什么原因？

解答：这通常与Squid处理HTTPS流量的方式有关。

1. 默认“隧道”模式：默认情况下，Squid对于HTTPS请求采用的是CONNECT方法，即建立一个隧道，让客户端和目标服务器直接进行SSL/TLS握手，Squid本身不解密流量，因此不会产生证书错误，如果出现连接失败，可能是目标网站不允许来自代理服务器IP的连接，或网络防火墙阻止了CONNECT方法。
2. SSL拦截模式：如果为了审计或缓存目的，你配置了Squid的SSL拦截功能（ssl_bump），那么Squid会作为一个“中间人”解密HTTPS流量，这种情况下，Squid需要使用一个自签名的CA证书，并且这个CA证书必须被安装并信任到所有内网客户端的系统中，如果客户端没有信任这个CA证书，浏览器就会警告证书无效，解决方法是在客户端上导入并信任你为Squid生成的CA证书，如果不是此场景，请检查Squid的错误日志（/var/log/squid/cache.log），通常会有更详细的错误信息，帮助你定位是配置问题还是网络问题。