当前位置:Linux教程 - Linux资讯 - 基于Linux2.4内核的透明代理解决方案之二

基于Linux2.4内核的透明代理解决方案之二

  摘要 该文讨论了如何在Linux2.4环境下如何通过iptables和squid实现透明代理。(2002-06-24 12:55:35) By 处处   摘要:该文讨论了如何在Linux2.4环境下如何通过iptables和squid实现透明代理。   硬件环境:联想奔月 双网卡   软件环境:kernel 2.4.7 squid-2.4.STABLE1 1.什么是代理服务器?    所谓代理服务器是指代表内部私有网中的客户连接互联网www资源的外部服务器的程序。客户与代理服务器对话,它们接收客户请求,然后连接真实的服务器,请求得到数据并将响应数据返回给客户。代理服务器发挥了中间转接作用。   在代理方式下,私有网络的数据包从来不能直接进入互联网,而是需要经过代理的处理。同样,外部网的数据也不能直接进入私有网,而是要经过代理处理以后才能到达私有网,因此在代理上就可以进行访问控制,地址转换等功能。目前,代理服务器软件有很多,如Netscape Suit Proxy,MS Proxy,Wingate,squid等。这些代理服务器不仅能起到防火墙的作用,而且还可以加速局域网用户对INTERNET的访问,因为代理服务器有一个大的缓冲器,将每次浏览的网页都保存起来,在下一次访问该页时就直接从缓冲器里调出,而无需再次访问原始服务器。 2.什么是透明代理?   透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行有一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据然后拷贝给客户端。理论上透明代理可以对任何协议通用。   但是在这种情况下客户端必须正确设置DNS服务器。因为现在浏览器不设置任何代理。则DNS查询必须由browser来解析,也就是要由客户端必须在TCP/IP中设置的正确的DNS服务器,其完成dns解析。   例如: 从私有网络上访问因特网上的 web 站点。   私有网地址为192.168.1.*, 其中客户机是192.168.1.100,防火墙机器网卡是192.168.1.1。透明web代理被安装在防火墙机器上并配置端口为8080。内核使用 iptables把与防火墙端口80的连接重定向到代理服务。私有网上的Netscape被配置为直接连接方式。私有网络的客户机需要设置DNS服务器。私有网络上机器的默认路由(别名网关)指向防火墙机器。客户机机器上的 Netscape 访问 http://slashdot.org。   1.Netscape通过查找"slashdot.org", 得到它的地址为207.218.152.131. 然后它使用端口1050与此地址建立一个连接,并向web站点发出请求。   2.当包由客户机 (port 1050)通过防火墙送往slashdot.org(port 80)时, 它们重定向到代理服务重定的8080端口。透明代理使用端口1025与207.218.152.131的端口80(这是原始包的目的地址)建立一个连接。   3. 当代理服务收到从 web 站点传来的页面后, 通过已经建立的连接把它复制给 Netscape。   4. Netscape 显示此页面。   5. 从slashdot.org 的角度来看,连接是由1.2.3.4(防火墙的拨号连接IP地址)的端口1025到 207.218.152.131的端口80。从客户机的角度来看,连接是从192.168.1.100(客户机)端口1050连接到 207.218.152.131(slashdot.org)的端口80, 但是, 它实际是在与透明代理服务器对话。   这就是透明代理的操作流程。 3.内核编译    一般来讲,透明代理所在机器往往是带动整个局域网联入互联网的入口,因此该机器往往需要配置防火墙规则以对内部网络进行防护。因此在编译内核时也许要考虑将防火墙支持选项编译进去。一般来说需要在使用make menUConfig命令配置时打开如下选项: [*]Networking support [*]Sysctl support [*]Network packet filtering [*]TCP/IP networking
[1] [2] [3] 下一页 

[*]/proc filesystem support [*] Kernel/User netlink socket [*] Netlink device emulation [*] Connection tracking (required for masq/NAT) [*] FTP protocol support [*] IP tables support (required for filtering/masq/NAT) <*> limit match support [*] MAC address match support [*] Netfilter MARK match support [*] Multiple port match support [*] TOS match support [*] Connection state match support [*] Packet filtering [*] REJECT target support [*] Full NAT [*] MASQUERADE target support [*] REDIRECT target support [*] Packet mangling [*] TOS target support [*] MARK target support [*] LOG target support   然后make dep ; make clean ;make bzImage命令来编译内核。如果使用到了模块,还需要使用下面命令生成和安装模块make modules;make modules-install。   将System.map复制到/boot目录中,将 /usr/src/linux/arch/i386/boot/bzImage复制到 /boot目录中并改名为 vmlinuz-2.4.7。最后安装新内核并重新起动:lilo;shutdown -r now即可。 4.squid的安装配置   下载:   可以从squid主网站下载: http://www.squid-cache.org/Versions/v2/2.4/squid-2.4.STABLE1-src.tar.gz   也可以从本地下载: http://www.linuxaid.com.cn/download/solution/squid-2.4.STABLE1-src.tar.gz   编辑安装: [root@proxy src]# tar xvfz squid-2.4.STABLE1-src.tar.gz [root@proxy src]# cd squid-2.4.STABLE1 [root@proxy src]# ./configure [root@proxy src]# make all [root@proxy src]# make install   配置:   编辑/usr/local/squid/etc/squid.conf,修改以下内容,确保以下配置: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on cache_effective_user nobody cache_effective_group nobody http_Access allow all   (所有的http_access命令都注释掉,只留下这条,其实严格上来说应该限制只允许局域网用户使用代理,具体可以参考squid手册中关于Access Control Lists的内容来限制访问代理) cache_dir ufs /usr/local/squid/cache 100 16 256 cache_dir type Directory-Name Mbytes Level-1 Level2   (说明:指定squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个这样的交换空间,并且这些交换空间可以分布不同的磁盘分区。"directory "指明了该交换空间的顶级目录。如果你想用整个磁盘来作为交换空间,那么你可以将该目录作为装载点将整个磁盘mount上去。缺省值为 /var/spool/squid。"Mbytes"定义了可用的空间总量。需要注意的是,squid进程必须拥有对该目录的读写权力。"Level- 1"是可以在该顶级目录下建立的第一级子目录的数目,缺省值为16。同理,"Level-2"是可以建立的第二级子目录的数目,缺省值为256。为什么要定义这么多子目录呢?这是因为如果子目录太少,则存储在一个子目录下的文件数目将大大增加,这也会导致系统寻找某一个文件的时间大大增加,从而使系统的整体性能急剧降低。所以,为了减少每个目录下的文件数量,我们必须增加所使用的目录的数量。如果仅仅使用一级子目录则顶级目录下的子目录数目太大了,所以我们使用两级子目录结构。
上一页 [1] [2] [3] 下一页 

  那么,怎么来确定你的系统所需要的子目录数目呢?我们可以用下面的公式来估算。   已知量:   DS = 可用交换空间总量(单位KB)/ 交换空间数目   OS = 平均每个对象的大小= 20k   NO = 平均每个二级子目录所存储的对象数目 = 256   未知量:   L1 = 一级子目录的数量   L2 = 二级子目录的数量   计算公式:   L1 x L2 = DS / OS / NO   (注意这是个不定方程,可以有多个解)   然后创建cache子目录,并修改该目录所有者为nobody: [root@proxy squid]# /usr/local/squid/cache [root@proxy squid]# chown nobody:nobody /usr/local/squid/cache   修改squid记录目录的所有者以允许squid访问: [root@proxy squid]# chown nobody:nobody /usr/local/squid/logs   最后启动squid: [root@iptable logs]# /usr/local/squid/bin/RunCache &   查看进程列表: [root@iptable logs]# ps ax   应该出现如下几个进程: 1372 pts/0 S 0:00 /bin/sh /usr/local/squid/bin/RunCache 1375 pts/0 S 0:00 squid -NsY 1376 ? S 0:00 (unlinkd)   并且系统中应该有如下几个端口被监听: [root@proxy logs]# netstat -ln tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN udp 0 0 0.0.0.0:3130 0.0.0.0:*   这些说明squid已经正常启动了。   然后/etc/rc.d/rc.local文件最后添加 /usr/local/squid/bin/RunCache & 以使得系统启动时自动启动squid服务器。 5.iptables的设置   在/etc/rc.d/目录下用touch命令建立firewall文件,执行chmod u+x firewll以更改文件属性,编辑/etc/rc.d/rc.local文件,在末尾加上/etc/rc.d/firewall以确保开机时能自动执行该脚本。   firewall文件内容为: #!/bin/sh echo "Enabling IP Forwarding..." echo 1 > /proc/sys/net/ipv4/ip_forward echo "Starting iptables rules..." #Refresh all chains /sbin/iptables -F -t nat iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to-source 200.200.200.200   如果需要还可以添加一些防火墙规则以增强安全性,具体参考: http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm

(出处:http://www.sheup.com)


上一页 [1] [2] [3] 

5.iptables的设置   在/etc/rc.d/目录下用touch命令建立firewall文件,执行chmod u+x firewll以更改文件属性,编辑/etc/rc.d/rc.local文件,在末尾加上/etc/rc.d/firewall以确保开机时能自动执行该脚本。   firewall文件内容为: #!/bin/sh echo "Enabling IP Forwarding..." echo 1 > /proc/sys/net/ipv4/ip_forward echo "Starting iptables rules..." #Refresh all chains /sbin/iptables -F -t nat iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to-source 200.200.200.200   如果需要还可以添加一些防火墙规则以增强安全性,具体参考: http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm

(出处:http://www.sheup.com)


上一页 [1] [2] [3] [4] 

http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm

(出处:http://www.sheup.com/)


上一页 [1] [2] [3] [4] [5]