環(huán)境:
服務(wù)器: SuSE Linux 8.2 + ADSL
客戶端: Windows2000
局域網(wǎng): 用8口10-100M集線器連接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1)
使用squid+iptables,,大部分經(jīng)驗(yàn)從www.linuxaid.com得到,只是在這里總結(jié)一下,。
關(guān)于iptables的詳細(xì)說明,,請看:
IPTABLES HOWTO
http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html
關(guān)于iptables配置工具,請看:
knetfilter:
http://expansa.sns.it/knetfilter
g-Shield:
http://muse.linuxmafia.org/gshield.html
關(guān)于squid優(yōu)化,,請看:
squid優(yōu)化完全手冊1:
http://www.linuxaid.com.cn/articles/2/8/289179080.shtml
squid優(yōu)化完全手冊2:
http://www.linuxaid.com.cn/articles/5/4/546967373.shtml
關(guān)于iptables防火墻的配置,,請看:
用iptales實(shí)現(xiàn)包過慮型防火墻(一):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm
用iptales實(shí)現(xiàn)包過慮型防火墻(二):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm
好,下面開始配置,。
先解釋為什么要配置透明代理,。
其實(shí)只配置squid就可以實(shí)現(xiàn)代理功能,但是對于客戶端,,就必須在瀏覽器中設(shè)置proxy server,,對于其他的工具,比如FlashGet, CuteFTP等等,,也必須一一設(shè)置,,這一點(diǎn)非常麻煩。但是如果設(shè)置了透明代理,,那么在客戶端只需要在網(wǎng)絡(luò)配置中設(shè)置一個網(wǎng)關(guān)就可以了,,其他的任何程序都不用另行設(shè)置。這是設(shè)置透明代理最大的誘惑,,當(dāng)然這只是對我而言,,其實(shí)iptables有更強(qiáng)大的防火墻功能,這才是它最大的用處,。但是,,此次配置不涉及防火墻,如果有興趣的請看上貼的iptables howto,。
1,。假設(shè)我們的linux內(nèi)已經(jīng)將防火墻支持選項(xiàng)編譯進(jìn)去,這一點(diǎn)可以進(jìn)入kernel source目錄,,用make menuconfig確認(rèn),。
2。安裝squid,,一般對于各個Linux發(fā)行版,,完全安裝的話應(yīng)該已經(jīng)安裝過了,當(dāng)然也可以從以下網(wǎng)址下載安裝:
http://www.squid-cache.org/
3,。無論是重新安裝的還是系統(tǒng)中原來就有的,,因?yàn)閷τ诟鱾€發(fā)行版可能squid的配置文件所在的位置各不相同,用find命令確認(rèn)squid.conf文件的確切位置,。如果是rpm安裝,,也可以用rpm命令來確認(rèn):rpm -ql [squidrpmname.rpm] | grep squid.conf
4。編輯squid.conf文件,,確保以下內(nèi)容存在:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_effective_user nobody
cache_effective_group nobody
http_access allow all
cache_dir ufs /usr/local/squid/cache 100 16 256
注:最后一句為cache目錄,,需要在下面創(chuàng)建,可以改為你本機(jī)squid的所在目錄,。倒數(shù)第二句,,表示我們允許所有的請求,,這是很不安全的,可以自己創(chuàng)建一個組,,然后allow這個組,,并且deny all,具體的設(shè)置仔細(xì)看一下squid.conf就可以了,,有很詳細(xì)的解釋和例子
5,。創(chuàng)建cache目錄(如果沒有的話),修改該目錄所有者為nobody
chown nobody:nobody /pathname/cache
6,。查看配置文件中默認(rèn)的log目錄,,將那個目錄的所有者修改為nobody,以確保log可以寫入
7,。創(chuàng)建cache: squid -z
8,。啟動squid: squid -D
squid的站點(diǎn)維護(hù)了一份很詳細(xì)的FAQ,基本上你需要問的問題都有答案,,比如你可以先用squid -NCd1來以debug模式啟動,,這樣如果有錯誤會報出來,一般如果是ADSL撥號的,,那么在沒有撥號之前就啟動squid的話是會出錯的(FATAL: ipcache_init: DNS name lookup tests failed),,因?yàn)閟quid啟動時會去檢查一些常用的DNS,但是這時候你并沒有接入internet,,自然就出錯了,,所以我們需要在啟動的時候不檢查DNS,這就需要用加上-D選項(xiàng)來啟動squid
9,。啟動成功之后,,我們就可以去客戶端的瀏覽器里面設(shè)置proxy來測試一下了,如果可以接入internet,,那么squid就算設(shè)置成功了
10,。還有一個后續(xù)工作,就是確認(rèn)squid是不是開機(jī)就自動啟動了,,一般在/etc/init.d中已經(jīng)有了squid腳本,,我們需要做的就是將它ln到適當(dāng)?shù)膔c.d目錄中,比如我默認(rèn)是runlevel5啟動的,,那么我執(zhí)行:
ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid
ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid
這是在SuSE下面,,如果是RedHat,那么rc.d目錄是在/etc下面,,而不是在/etc/init.d下面,。
OK,squid設(shè)置結(jié)束了,,下面我們開始配置iptables
可以用前面所提到的配置工具,,但是我沒有試過,,所以是直接用iptables命令來做的。
可以man iptables來查看幫助
我們把iptables的設(shè)置命令存在一個腳本文件中,,假設(shè)腳本文件名為firewall,,然后將此文件存放在/etc/init.d中,并且在啟動文件中運(yùn)行此腳本,。以下為操作步驟
1,。touch /etc/init.d
2,。vi /etc/init.d
加入以下內(nèi)容:
#!/bin/sh
echo "Enabling IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
#Refresh all chains
/sbin/iptables -F -t nat
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp
--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o
ppp0 -j MASQUERADE
對于以上命令的解釋如下:
/proc/sys/net/ipv4/ip_forward必須設(shè)置為1(默認(rèn)是0)才可以使用路由功能,。
/sbin/iptables -F -t nat將nat table中的所有現(xiàn)存規(guī)則清空。
eth0:為Linux機(jī)器中的網(wǎng)卡,。
3128:為squid中默認(rèn)的監(jiān)聽端口,。
ppp0:為linux中的ADSL設(shè)備(在SuSE中為ppp0,在redhat中可能是dsl0),。
MASQUERADE:適用于撥號上網(wǎng)的服務(wù)器,,因?yàn)闆]有靜態(tài)IP地址,對于有靜態(tài)IP的服務(wù)器,,可以用SNAT --to-source ipadress來替代,。
注:以上的命令沒有涉及防火墻,請自行參考配置,,以上命令也沒有刪除filter table中的規(guī)則,,也就是如果以前設(shè)置過防火墻,那么不會受到影響,。
3,。chmod u+x firewall,更改文件屬性,,使其可以被執(zhí)行
4,。編輯/etc/init.d/boot.local文件,在最后加上/etc/init.d/firewall這一句,,確保開機(jī)就執(zhí)行此腳本,。
注:SuSE中是boot.local,對于redhat,,則需要編輯/etc/rc.d/rc.local文件,。
5。運(yùn)行firewall,,規(guī)則立刻生效,。
到此為止,所有配置結(jié)束,。