《電子技術(shù)應用》
您所在的位置:首頁 > 嵌入式技術(shù) > 設計應用 > 基于Linux內(nèi)核的透明代理配置方案
基于Linux內(nèi)核的透明代理配置方案
摘要: 基于Linux內(nèi)核的透明代理配置方案,先解釋為什么要配置透明代理。其實只配置squid就可以實現(xiàn)代理功能,但是對于客戶端,就必須在瀏覽器中設置proxyserver,對于其他的工具,,比如FlashGet,CuteFTP等等,也必須一一設置,這一點非常麻煩。但是如果
Abstract:
Key words :

先解釋為什么要配置透明代理,。

  其實只配置squid就可以實現(xiàn)代理功能,,但是對于客戶端,,就必須在瀏覽器中設置proxy server,對于其他的工具,,比如FlashGet, CuteFTP等等,,也必須一一設置,這一點非常麻煩,。但是如果設置了透明代理,,那么在客戶端只需要在網(wǎng)絡配置中設置一個網(wǎng)關(guān)就可以了,其他的任何程序都不用另行設置,。這是設置透明代理最大的誘惑,,當然這只是對我而言,其實iptables有更強大的防火墻功能,,這才是它最大的用處,。但是,此次配置不涉及防火墻,,如果有興趣的請看上貼的iptables howto,。

  1。假設我們的linux內(nèi)已經(jīng)將防火墻支持選項編譯進去,,這一點可以進入kernel source目錄,,用make menuconfig確認。

  2,。安裝squid,,一般對于各個Linux發(fā)行版,完全安裝的話應該已經(jīng)安裝過了,,當然也可以從以下網(wǎng)址下載安裝:

  http://www.squid-cache.org/

  3,。無論是重新安裝的還是系統(tǒng)中原來就有的,因為對于各個發(fā)行版可能squid的配置文件所在的位置各不相同,,用find命令確認squid.conf文件的確切位置,。如果是rpm安裝,也可以用rpm命令來確認:rpm -ql [squidrpmname.rpm] | grep squid.conf

  4。編輯squid.conf文件,,確保以下內(nèi)容存在:

  httpd_accel_host virtual

  httpd_accel_port 80

  httpd_accel_with_proxy on

  httpd_accel_uses_host_header on

  cache_effective_user nobody

  cache_effective_group nobody

  http_access allow all

  cache_dir ufs /usr/local/squid/cache 100 16 256

  注:最后一句為cache目錄,,需要在下面創(chuàng)建,可以改為你本機squid的所在目錄,。倒數(shù)第二句,,表示我們允許所有的請求,這是很不安全的,,可以自己創(chuàng)建一個組,,然后allow這個組,并且deny all,,具體的設置仔細看一下squid.conf就可以了,,有很詳細的解釋和例子

  5。創(chuàng)建cache目錄(如果沒有的話),,修改該目錄所有者為nobody

  chown nobody:nobody /pathname/cache

  6,。查看配置文件中默認的log目錄,將那個目錄的所有者修改為nobody,,以確保log可以寫入

  7,。創(chuàng)建cache: squid -z

  8。啟動squid: squid -D

  squid的站點維護了一份很詳細的FAQ,,基本上你需要問的問題都有答案,,比如你可以先用squid -NCd1來以debug模式啟動,這樣如果有錯誤會報出來,,一般如果是ADSL撥號的,,那么在沒有撥號之前就啟動squid的話是會出錯的(FATAL: ipcache_init: DNS name lookup tests failed),因為squid啟動時會去檢查一些常用的DNS,,但是這時候你并沒有接入internet,,自然就出錯了,所以我們需要在啟動的時候不檢查DNS,,這就需要用加上-D選項來啟動squid

  9,。啟動成功之后,我們就可以去客戶端的瀏覽器里面設置proxy來測試一下了,,如果可以接入internet,,那么squid就算設置成功了

  10。還有一個后續(xù)工作,,就是確認squid是不是開機就自動啟動了,,一般在/etc/init.d中已經(jīng)有了squid腳本,我們需要做的就是將它ln到適當?shù)膔c.d目錄中,,比如我默認是runlevel5啟動的,,那么我執(zhí)行:

  ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid

  ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid

  這是在SuSE下面,,如果是RedHat,那么rc.d目錄是在/etc下面,,而不是在/etc/init.d下面,。

  OK,squid設置結(jié)束了,,下面我們開始配置iptables

  可以用前面所提到的配置工具,,但是我沒有試過,所以是直接用iptables命令來做的,。

  可以man iptables來查看幫助

  我們把iptables的設置命令存在一個腳本文件中,,假設腳本文件名為firewall,然后將此文件存放在/etc/init.d中,,并且在啟動文件中運行此腳本,。以下為操作步驟

  1。touch /etc/init.d

  2,。vi /etc/init.d

  加入以下內(nèi)容:

  #!/bin/sh

  echo "Enabling IP Forwarding..."

  echo 1 > /proc/sys/net/ipv4/ip_forward

  echo "Starting iptables rules..."

  #Refresh all chains

  /sbin/iptables -F -t nat

  iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp

  --dport 80 -j REDIRECT --to-ports 3128

  iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o

  ppp0 -j MASQUERADE

  對于以上命令的解釋如下:

  /proc/sys/net/ipv4/ip_forward必須設置為1(默認是0)才可以使用路由功能,。

  /sbin/iptables -F -t nat將nat table中的所有現(xiàn)存規(guī)則清空,。

  eth0:為Linux機器中的網(wǎng)卡,。

  3128:為squid中默認的監(jiān)聽端口。

  ppp0:為linux中的ADSL設備(在SuSE中為ppp0,,在redhat中可能是dsl0),。

  MASQUERADE:適用于撥號上網(wǎng)的服務器,因為沒有靜態(tài)IP地址,,對于有靜態(tài)IP的服務器,,可以用SNAT --to-source ipadress來替代。

  注:以上的命令沒有涉及防火墻,,請自行參考配置,,以上命令也沒有刪除filter table中的規(guī)則,也就是如果以前設置過防火墻,,那么不會受到影響,。

  3。chmod u+x firewall,,更改文件屬性,,使其可以被執(zhí)行

  4。編輯/etc/init.d/boot.local文件,,在最后加上/etc/init.d/firewall這一句,,確保開機就執(zhí)行此腳本。

  注:SuSE中是boot.local,,對于redhat,,則需要編輯/etc/rc.d/rc.local文件,。

  5。運行firewall,,規(guī)則立刻生效,。

  到此為止,所有配置結(jié)束,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。