Linux下Squid透明代理配置教程

本文深入解析了Linux下配置Squid透明代理的完整技术链条，强调其绝非仅修改squid.conf即可生效的简单操作，而是必须同步满足四大硬性条件：内核需启用IP_TRANSPARENT/TPROXY相关模块（如CONFIG_NETFILTER_TPROXY_CORE）、squid.conf中http_port必须显式添加transparent标志并正确配置SSL拦截、iptables结合TPROXY与ip rule/route实现无感知流量重定向、以及网关级IP转发开启且反向路径过滤（rp_filter）彻底关闭；任何一环缺失都会导致Squid启动失败、请求无法抵达或客户端完全无感知——尤其提醒DNS需独立配置，否则网页加载将卡死在解析阶段，堪称一份避坑指南级的实战教程。

确认内核是否启用 IP_TRANSPARENT 和 NETFILTER

Linux 2.6.28+ 内核默认开启部分 netfilter 功能，但 IP_TRANSPARENT（透明套接字）和 TCP_TRANSPARENT 必须显式编译进内核或作为模块加载。运行以下命令检查：

zcat /proc/config.gz | grep -i "transparent\|tproxy"

或查看 /boot/config-$(uname -r)。关键项应为 y 或 m：

• CONFIG_NETFILTER_TPROXY_CORE=m
• CONFIG_IP_NF_TARGET_REDIRECT=m
• CONFIG_NETFILTER_XT_TARGET_TPROXY_INET=m
• CONFIG_NETFILTER_XT_MATCH_SOCKET=m

若全为 n，需重新编译内核或换发行版（如 CentOS 7+/Ubuntu 18.04+ 默认已含）。Debian/Ubuntu 用户可直接安装 linux-image-extra-$(uname -r) 补全模块。

squid.conf 中必须启用 http_port 的 transparent 标志

仅写 http_port 3128 是传统代理模式，客户端必须手动设代理。透明模式要求 Squid 监听在原始目的端口（如 80/443），并允许绑定非本机 IP —— 这靠 transparent 关键字触发：

http_port 3128 transparent<br>http_port 443 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB

注意两点：

• HTTPS 透明代理必须配 ssl-bump + CA 证书，否则只透传不解密，无法做内容过滤或缓存
• visible_hostname 和 cache_effective_user（如 proxy）必须显式设置，否则 squid -k parse 会失败
• 旧版 Squid（intercept 替代 transparent，但已被弃用，不要混用

iptables + TPROXY 重定向 HTTP/HTTPS 流量到 Squid

单纯用 REDIRECT 只能处理本机发包（如网关自身访问），透明代理需捕获**经过网关的转发流量**，必须用 TPROXY 目标配合 socket 匹配：

iptables -t mangle -N DIVERT<br>iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null || true<br>iptables -t mangle -A DIVERT -p tcp -m tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3128<br>iptables -t mangle -A DIVERT -p tcp -m tcp --dport 443 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 443<br>ip rule add fwmark 0x1 lookup 100<br>ip route add local 0.0.0.0/0 dev lo table 100

这段规则的核心逻辑是：

• 用 socket 模块识别已建立连接的包（避免重复重定向）
• TPROXY 不改包头，只让 squid 以原始目的 IP:PORT 接收，这是透明的关键
• ip rule/route 确保回包走本地 loopback，绕过路由决策

漏掉 ip rule 或标记不匹配，squid 会收不到 SYN 包，日志里只有 accept() failed。

网关机器必须开启 IP 转发且关闭反向路径过滤

透明代理本质是网关行为，net.ipv4.ip_forward=1 是硬性前提。但更隐蔽的坑是 rp_filter：

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter<br>echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter<br>echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter

若任一网卡 rp_filter=1，内核会丢弃“入接口与路由返回接口不一致”的包（比如流量从 eth1 进、却要从 eth0 出），而透明代理恰恰需要这种“非对称路径”。这个值必须为 0，且建议写入 /etc/sysctl.conf 持久化。

本篇关于《Linux下Squid透明代理配置教程》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！