当前位置:Linux教程 - Linux资讯 - Linux防火墙上的Apache反向代理

Linux防火墙上的Apache反向代理

一、测试环境与网络结构

本文所使用的测试环境是Redhat Linux 7.2、Apache 1.3.24,公司域名假设是company.com。公司的典型网络构造如附图所示。 

注意: 附图中的防火墙上安装了2块网卡,其中e0端口的外部公共地址为1.2.3.4,e1端口对应内部保留地址为192.168.2.1。局域网内部有3台Web服务器A、B和C,它们对应的域名分别为weba.company.com、webb.company.com和webc.company.com,均使用内部保留地址。

二、操作步骤

如附图所示,此公司通过专线连入互联网,安装了防火墙,局域网内部有3台Web服务器,均只有内部保留地址,但是希望他们能够提供对外的Web服务。

1.设置DNS 在防火墙(同时也是公司的DNS服务器)上设置内部3台Web服务器的DNS,IP地址均为1.2.3.4。这样,在Internet上解析weba.company.com、webb.company.com 和webc.company.com时,均指向同一IP地址即防火墙的外部接口地址1.2.3.4。

2.下载Apache 从Apache网站(http://www.apache.org)下载目前最新的版本apache 1.3.24到/root目录,下载地址为http://www.apache.org/dist/httpd/apache_1.3.24.tar.gz。

3. 更改源代码使最大允许的请求连接数超过256 由于Apache默认允许的最多连接数为256,而在一个繁忙的网站上这一连接数量也许不能满足需要,特别是本文介绍的通过防火墙上的Apache反向代理允许外部用户访问多个内部Web服务器的情况,可以采用更改src/include/httpd.h文件的方法,具体步骤如下。

#cd/root 切换目录到/root下 #tar xvfz apache_1.3.24.tar.gz 解开apache源文件到/root下 #cd apache_1.3.24 进入apache_1.3.24目录 #vi src/include/httpd.h 用vi编辑httpd.h文件 在输入“vi src/include/httpd.h”命令后,继续输入“/256”并按“回车”键搜索数字256,将其改为1024后保存并退出即可。

注意事项:

①要支持最多为1024个客户的同时请求,不仅需要更改上面提到的源文件,在编译安装后还需要设置/usr/local/apache/conf/httpd.conf文件,将其中的“MaxClients”一行后面的参数更改为“1024”。

②如果您仅仅为了进行测试,或者不会有很多人使用,可以不修改httpd.h文件。

4. 编译Apache 编译代码如代码1所示。

代码1 #cd apache_1.3.24 #./configure --prefix=/usr/local/apache --enable-module=most --enable-shared=max --enable-module=proxy--enable-shared=proxy --enable-module=rewrite--enable-shared=rewrite 设置安装默认目录 编译大多数模块 设置模块为DSO(动态共享对象)模式 启动代理模块 安装代理模块为DSO模式 启动重写功能模块 安装重写功能模块为DSO模式 

注意: 在编译Apache的时候,必须编译大多数模块,并将它们设置为DSO模式,同时启动proxy和rewrite模块,同时也将其设置为DSO模式。 #make #make install


[1] [2] 下一页 

将安装所有Apache所需文件到/usr/local/apache目录下。

5.在httpd.conf文件中设置基于域名的虚拟主机 在/usr/local/apache目录找到httpd.conf文件,并将下面的内容添加至此文件后。

NameVirtualHost 1.2.3.4:80 < VirtualHost 1.2.3.4:80 > ServerAdmin [email protected] DocumentRoot /usr/local/apache/htdocs ServerName default.company.com ErrorLog /usr/local/apache_http/logs/error_log CustomLog /usr/local/apache_http/logs/Access_log combined UseCanonicalName Off ProxyRequests Off RewriteEngine on RewriteCond %{HTTP_HOST}.*\.company\.com$ RewriteRule ^/(.*)$ http://%{HTTP_HOST}/$1 [P,L] < /VirtualHost > 注意事项:

①上面设置了基于域名的反向代理虚拟主机,这样当您从外部访问IP地址为1.2.3.4的主机,且URL地址后面部分的域名为“company.com”,Apache就可以把用户的请求转发到局域网内部的Web服务器上,并重写响应数据包去掉代理协议部分。

②“ServerName”一行可以任意指定。

③“ProxyRequest Off”一行用来禁止Apache在IP地址为1.2.3.4的主机和端口80上进行代理服务,在这里Apache作为一个透明的代理服务器来使用。

④“RewriteEngine on”一行用来启动Apache修改响应数据包的功能,否则下面的“RewriteCond”和“RewriteRule”将不起作用。

6.添加记录进入/etc/hosts文件 在上面的虚拟主机重写规则中,重写后的URL与您所请求的URL是一样的,我们的设想是将下面3个域名放到防火墙的/etc/hosts文件中,这样Apache将从内部3台Web服务器获得内容,并返回给外部用户,域名对应记录如下。

192.168.2.2 weba.company.com 192.168.2.3 webb.company.com 192.168.2.4 webc.company.com

三、总结

这样,当外部用户访问http://weba.company.com时,请求被送到防火墙的Apache上,而防火墙上的Apache反向代理将根据/etc/hosts文件中定义的记录直接从IP地址为192.168.2.2的Web服务器获取内容并返回给外部用户,从而完成内部Web服务器weba.company.com对外提供访问的功能。

在对Apache配置完毕后,如果还需要增加更多的内部Web服务器来提供外部访问服务,只需设置其DNS服务器的IP地址为1.2.3.4,并在/etc/hosts文件中增加相应记录即可。

(出处:http://www.sheup.com)


上一页 [1] [2] 

192.168.2.2 weba.company.com 192.168.2.3 webb.company.com 192.168.2.4 webc.company.com

三、总结

这样,当外部用户访问http://weba.company.com时,请求被送到防火墙的Apache上,而防火墙上的Apache反向代理将根据/etc/hosts文件中定义的记录直接从IP地址为192.168.2.2的Web服务器获取内容并返回给外部用户,从而完成内部Web服务器weba.company.com对外提供访问的功能。

在对Apache配置完毕后,如果还需要增加更多的内部Web服务器来提供外部访问服务,只需设置其DNS服务器的IP地址为1.2.3.4,并在/etc/hosts文件中增加相应记录即可。

(出处:http://www.sheup.com/)


上一页 [1] [2] [3]