歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

基於Linux2.4內核的透明代理配置方案之一

  摘要 基於Linux2.4內核的透明代理配置方案(2003-09-22 09:50:55) By seraphim Author: Seraphim(張樂奕) Mail: [email protected] Date: 2003.08 環境: 服務器: SuSE Linux 8.2 + ADSL 客戶端: Windows2000 局域網: 用8口10-100M集線器連接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1) 使用squid+iptables,大部分經驗從www.linuxaid.com得到,只是在這裡總結一下。 關於iptables的詳細說明,請看: IPTABLES HOWTO http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/ LinuxSem/downloads/netfilter/iptables-HOWTO.Html 關於iptables配置工具,請看: knetfilter: http://eXPansa.sns.it/knetfilter g-Shield: http://muse.linuxmafia.org/gshield.html 關於squid優化,請看: squid優化完全手冊1: http://www.linuxaid.com.cn/articles/2/8/289179080.shtml squid優化完全手冊2: http://www.linuxaid.com.cn/articles/5/4/546967373.shtml 關於iptables防火牆的配置,請看: 用iptales實現包過慮型防火牆(一): http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm 用iptales實現包過慮型防火牆(二): http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm 好,下面開始配置。 先解釋為什麼要配置透明代理。 其實只配置squid就可以實現代理功能,但是對於客戶端,就必須在浏覽器中設置proxy server,對於其他的工具,比如FlashGet, CuteFTP等等,也必須一一設置,這一點非常麻煩。但是如果設置了透明代理,那麼在客戶端只需要在網絡配置中設置一個網關就可以了,其他的任何程序都不用另行設置。這是設置透明代理最大的誘惑,當然這只是對我而言,其實iptables有更強大的防火牆功能,這才是它最大的用處。但是,此次配置不涉及防火牆,如果有興趣的請看上貼的iptables howto。 1。假設我們的linux內已經將防火牆支持選項編譯進去,這一點可以進入kernel source目錄,用make menUConfig確認。 2。安裝squid,一般對於各個Linux發行版,完全安裝的話應該已經安裝過了,當然也可以從以下網址下載安裝: http://www.squid-cache.org/ 3。無論是重新安裝的還是系統中原來就有的,因為對於各個發行版可能squid的配置文件所在的位置各不相同,用find命令確認squid.conf文件的確切位置。如果是rpm安裝,也可以用rpm命令來確認:rpm -ql [squidrpmname.rpm] grep squid.conf 4。編輯squid.conf文件,確保以下內容存在: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on cache_effective_user nobody


cache_effective_group nobody http_Access allow all cache_dir ufs /usr/local/squid/cache 100 16 256 注:最後一句為cache目錄,需要在下面創建,可以改為你本機squid的所在目錄。倒數第二句,表示我們允許所有的請求,這是很不安全的,可以自己創建一個組,然後allow這個組,並且deny all,具體的設置仔細看一下squid.conf就可以了,有很詳細的解釋和例子 5。創建cache目錄(如果沒有的話),修改該目錄所有者為nobody chown nobody:nobody /pathname/cache 6。查看配置文件中默認的log目錄,將那個目錄的所有者修改為nobody,以確保log可以寫入 7。創建cache: squid -z 8。啟動squid: squid -D squid的站點維護了一份很詳細的FAQ,基本上你需要問的問題都有答案,比如你可以先用squid -NCd1來以debug模式啟動,這樣如果有錯誤會報出來,一般如果是ADSL撥號的,那麼在沒有撥號之前就啟動squid的話是會出錯的 (FATAL: ipcache_init: DNS name lookup tests failed),因為squid啟動時會去檢查一些常用的DNS,但是這時候你並沒有接入internet,自然就出錯了,所以我們需要在啟動的時候不檢查DNS,這就需要用加上-D選項來啟動squid 9。啟動成功之後,我們就可以去客戶端的浏覽器裡面設置proxy來測試一下了,如果可以接入internet,那麼squid就算設置成功了 10。還有一個後續工作,就是確認squid是不是開機就自動啟動了,一般在/etc/init.d中已經有了squid腳本,我們需要做的就是將它ln到適當的rc.d目錄中,比如我默認是runlevel5啟動的,那麼我執行: ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid 這是在SuSE下面,如果是RedHat,那麼rc.d目錄是在/etc下面,而不是在/etc/init.d下面。 OK,squid設置結束了,下面我們開始配置iptables 可以用前面所提到的配置工具,但是我沒有試過,所以是直接用iptables命令來做的。 可以man iptables來查看幫助 我們把iptables的設置命令存在一個腳本文件中,假設腳本文件名為firewall,然後將此文件存放在/etc/init.d中,並且在啟動文件中運行此腳本。以下為操作步驟 1。touch /etc/init.d 2。vi /etc/init.d 加入以下內容: #!/bin/sh echo "Enabling IP Forwarding..." echo 1 > /proc/sys/net/ipv4/ip_forward echo "Starting iptables rules..." #Refresh all chains /sbin/iptables -F -t nat iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE 對於以上命令的解釋如下: /proc/sys/net/ipv4/ip_forward必須設置為1(默認是0)才可以使用路由功能。 /sbin/iptables -F -t nat將nat table中的所有現存規則清空。 eth0:為Linux機器中的網卡。 3128:為squid中默認的監聽端口。 ppp0:為linux中的ADSL設備(在SuSE中為ppp0,在redhat中可能是dsl0)。 MASQUERADE:適用於撥號上網的服務器,因為沒有靜態IP地址,對於有靜態IP的服務器,可以用SNAT --to-source ipadress來替代。 注:以上的命令沒有涉及防火牆,請自行參考配置,以上命令也沒有刪除filter table中的規則,也就是如果以前設置過防火牆,那麼不會受到影響。 3。chmod u+x firewall,更改文件屬性,使其可以被執行 4。編輯/etc/init.d/boot.local文件,在最後加上/etc/init.d/firewall這一句,確保開機就執行此腳本。

注:SuSE中是boot.local,對於redhat,則需要編輯/etc/rc.d/rc.local文件。 5。運行firewall,規則立刻生效。 到此為止,所有配置結束。



Copyright © Linux教程網 All Rights Reserved