资料介绍
环境:
服务器: SuSE Linux 8.2 + ADSL
客户端: Windows2000
局域网: 用8口10-100M集线器连接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1)
使用squid+iptables,大部分经验从www.linuxaid.com得到,只是在这里总结一下。
关于iptables的详细说明,请看:
IPTABLES HOWTO
http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html
关于iptables配置工具,请看:
knetfilter:
http://expansa.sns.it/knetfilter
g-Shield:
http://muse.linuxmafia.org/gshield.html
关于squid优化,请看:
squid优化完全手册1:
http://www.linuxaid.com.cn/articles/2/8/289179080.shtml
squid优化完全手册2:
http://www.linuxaid.com.cn/articles/5/4/546967373.shtml
关于iptables防火墙的配置,请看:
用iptales实现包过虑型防火墙(一):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm
用iptales实现包过虑型防火墙(二):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm
好,下面开始配置。
先解释为什么要配置透明代理。
其实只配置squid就可以实现代理功能,但是对于客户端,就必须在浏览器中设置proxy server,对于其他的工具,比如FlashGet, CuteFTP等等,也必须一一设置,这一点非常麻烦。但是如果设置了透明代理,那么在客户端只需要在网络配置中设置一个网关就可以了,其他的任何程序都不用另行设置。这是设置透明代理最大的诱惑,当然这只是对我而言,其实iptables有更强大的防火墙功能,这才是它最大的用处。但是,此次配置不涉及防火墙,如果有兴趣的请看上贴的iptables howto。
1。假设我们的linux内已经将防火墙支持选项编译进去,这一点可以进入kernel source目录,用make menuconfig确认。
2。安装squid,一般对于各个Linux发行版,完全安装的话应该已经安装过了,当然也可以从以下网址下载安装:
http://www.squid-cache.org/
3。无论是重新安装的还是系统中原来就有的,因为对于各个发行版可能squid的配置文件所在的位置各不相同,用find命令确认squid.conf文件的确切位置。如果是rpm安装,也可以用rpm命令来确认:rpm -ql [squidrpmname.rpm] | grep squid.conf
4。编辑squid.conf文件,确保以下内容存在:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_effective_user nobody
cache_effective_group nobody
http_access allow all
cache_dir ufs /usr/local/squid/cache 100 16 256
注:最后一句为cache目录,需要在下面创建,可以改为你本机squid的所在目录。倒数第二句,表示我们允许所有的请求,这是很不安全的,可以自己创建一个组,然后allow这个组,并且deny all,具体的设置仔细看一下squid.conf就可以了,有很详细的解释和例子
5。创建cache目录(如果没有的话),修改该目录所有者为nobody
chown nobody:nobody /pathname/cache
6。查看配置文件中默认的log目录,将那个目录的所有者修改为nobody,以确保log可以写入
7。创建cache: squid -z
8。启动squid: squid -D
squid的站点维护了一份很详细的FAQ,基本上你需要问的问题都有答案,比如你可以先用squid -NCd1来以debug模式启动,这样如果有错误会报出来,一般如果是ADSL拨号的,那么在没有拨号之前就启动squid的话是会出错的(FATAL: ipcache_init: DNS name lookup tests failed),因为squid启动时会去检查一些常用的DNS,但是这时候你并没有接入internet,自然就出错了,所以我们需要在启动的时候不检查DNS,这就需要用加上-D选项来启动squid
9。启动成功之后,我们就可以去客户端的浏览器里面设置proxy来测试一下了,如果可以接入internet,那么squid就算设置成功了
10。还有一个后续工作,就是确认squid是不是开机就自动启动了,一般在/etc/init.d中已经有了squid脚本,我们需要做的就是将它ln到适当的rc.d目录中,比如我默认是runlevel5启动的,那么我执行:
ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid
ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid
这是在SuSE下面,如果是RedHat,那么rc.d目录是在/etc下面,而不是在/etc/init.d下面。
OK,squid设置结束了,下面我们开始配置iptables
可以用前面所提到的配置工具,但是我没有试过,所以是直接用iptables命令来做的。
可以man iptables来查看帮助
我们把iptables的设置命令存在一个脚本文件中,假设脚本文件名为firewall,然后将此文件存放在/etc/init.d中,并且在启动文件中运行此脚本。以下为操作步骤
1。touch /etc/init.d
2。vi /etc/init.d
加入以下内容:
#!/bin/sh
echo “Enabling IP Forwarding.。.”
echo 1 》 /proc/sys/net/ipv4/ip_forward
echo “Starting iptables rules.。.”
#Refresh all chains
/sbin/iptables -F -t nat
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp
--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o
ppp0 -j MASQUERADE
对于以上命令的解释如下:
/proc/sys/net/ipv4/ip_forward必须设置为1(默认是0)才可以使用路由功能。
/sbin/iptables -F -t nat将nat table中的所有现存规则清空。
eth0:为Linux机器中的网卡。
3128:为squid中默认的监听端口。
ppp0:为linux中的ADSL设备(在SuSE中为ppp0,在redhat中可能是dsl0)。
MASQUERADE:适用于拨号上网的服务器,因为没有静态IP地址,对于有静态IP的服务器,可以用SNAT --to-source ipadress来替代。
注:以上的命令没有涉及防火墙,请自行参考配置,以上命令也没有删除filter table中的规则,也就是如果以前设置过防火墙,那么不会受到影响。
3。chmod u+x firewall,更改文件属性,使其可以被执行
4。编辑/etc/init.d/boot.local文件,在最后加上/etc/init.d/firewall这一句,确保开机就执行此脚本。
注:SuSE中是boot.local,对于redhat,则需要编辑/etc/rc.d/rc.local文件。
5。运行firewall,规则立刻生效。
到此为止,所有配置结束。
服务器: SuSE Linux 8.2 + ADSL
客户端: Windows2000
局域网: 用8口10-100M集线器连接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1)
使用squid+iptables,大部分经验从www.linuxaid.com得到,只是在这里总结一下。
关于iptables的详细说明,请看:
IPTABLES HOWTO
http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html
关于iptables配置工具,请看:
knetfilter:
http://expansa.sns.it/knetfilter
g-Shield:
http://muse.linuxmafia.org/gshield.html
关于squid优化,请看:
squid优化完全手册1:
http://www.linuxaid.com.cn/articles/2/8/289179080.shtml
squid优化完全手册2:
http://www.linuxaid.com.cn/articles/5/4/546967373.shtml
关于iptables防火墙的配置,请看:
用iptales实现包过虑型防火墙(一):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm
用iptales实现包过虑型防火墙(二):
http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm
好,下面开始配置。
先解释为什么要配置透明代理。
其实只配置squid就可以实现代理功能,但是对于客户端,就必须在浏览器中设置proxy server,对于其他的工具,比如FlashGet, CuteFTP等等,也必须一一设置,这一点非常麻烦。但是如果设置了透明代理,那么在客户端只需要在网络配置中设置一个网关就可以了,其他的任何程序都不用另行设置。这是设置透明代理最大的诱惑,当然这只是对我而言,其实iptables有更强大的防火墙功能,这才是它最大的用处。但是,此次配置不涉及防火墙,如果有兴趣的请看上贴的iptables howto。
1。假设我们的linux内已经将防火墙支持选项编译进去,这一点可以进入kernel source目录,用make menuconfig确认。
2。安装squid,一般对于各个Linux发行版,完全安装的话应该已经安装过了,当然也可以从以下网址下载安装:
http://www.squid-cache.org/
3。无论是重新安装的还是系统中原来就有的,因为对于各个发行版可能squid的配置文件所在的位置各不相同,用find命令确认squid.conf文件的确切位置。如果是rpm安装,也可以用rpm命令来确认:rpm -ql [squidrpmname.rpm] | grep squid.conf
4。编辑squid.conf文件,确保以下内容存在:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_effective_user nobody
cache_effective_group nobody
http_access allow all
cache_dir ufs /usr/local/squid/cache 100 16 256
注:最后一句为cache目录,需要在下面创建,可以改为你本机squid的所在目录。倒数第二句,表示我们允许所有的请求,这是很不安全的,可以自己创建一个组,然后allow这个组,并且deny all,具体的设置仔细看一下squid.conf就可以了,有很详细的解释和例子
5。创建cache目录(如果没有的话),修改该目录所有者为nobody
chown nobody:nobody /pathname/cache
6。查看配置文件中默认的log目录,将那个目录的所有者修改为nobody,以确保log可以写入
7。创建cache: squid -z
8。启动squid: squid -D
squid的站点维护了一份很详细的FAQ,基本上你需要问的问题都有答案,比如你可以先用squid -NCd1来以debug模式启动,这样如果有错误会报出来,一般如果是ADSL拨号的,那么在没有拨号之前就启动squid的话是会出错的(FATAL: ipcache_init: DNS name lookup tests failed),因为squid启动时会去检查一些常用的DNS,但是这时候你并没有接入internet,自然就出错了,所以我们需要在启动的时候不检查DNS,这就需要用加上-D选项来启动squid
9。启动成功之后,我们就可以去客户端的浏览器里面设置proxy来测试一下了,如果可以接入internet,那么squid就算设置成功了
10。还有一个后续工作,就是确认squid是不是开机就自动启动了,一般在/etc/init.d中已经有了squid脚本,我们需要做的就是将它ln到适当的rc.d目录中,比如我默认是runlevel5启动的,那么我执行:
ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid
ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid
这是在SuSE下面,如果是RedHat,那么rc.d目录是在/etc下面,而不是在/etc/init.d下面。
OK,squid设置结束了,下面我们开始配置iptables
可以用前面所提到的配置工具,但是我没有试过,所以是直接用iptables命令来做的。
可以man iptables来查看帮助
我们把iptables的设置命令存在一个脚本文件中,假设脚本文件名为firewall,然后将此文件存放在/etc/init.d中,并且在启动文件中运行此脚本。以下为操作步骤
1。touch /etc/init.d
2。vi /etc/init.d
加入以下内容:
#!/bin/sh
echo “Enabling IP Forwarding.。.”
echo 1 》 /proc/sys/net/ipv4/ip_forward
echo “Starting iptables rules.。.”
#Refresh all chains
/sbin/iptables -F -t nat
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp
--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o
ppp0 -j MASQUERADE
对于以上命令的解释如下:
/proc/sys/net/ipv4/ip_forward必须设置为1(默认是0)才可以使用路由功能。
/sbin/iptables -F -t nat将nat table中的所有现存规则清空。
eth0:为Linux机器中的网卡。
3128:为squid中默认的监听端口。
ppp0:为linux中的ADSL设备(在SuSE中为ppp0,在redhat中可能是dsl0)。
MASQUERADE:适用于拨号上网的服务器,因为没有静态IP地址,对于有静态IP的服务器,可以用SNAT --to-source ipadress来替代。
注:以上的命令没有涉及防火墙,请自行参考配置,以上命令也没有删除filter table中的规则,也就是如果以前设置过防火墙,那么不会受到影响。
3。chmod u+x firewall,更改文件属性,使其可以被执行
4。编辑/etc/init.d/boot.local文件,在最后加上/etc/init.d/firewall这一句,确保开机就执行此脚本。
注:SuSE中是boot.local,对于redhat,则需要编辑/etc/rc.d/rc.local文件。
5。运行firewall,规则立刻生效。
到此为止,所有配置结束。
下载该资料的人也在下载
下载该资料的人还在阅读
更多 >
- STM32MP157 Linux系统移植开发篇8:Linux内核配置方法及编译
- 嵌入式Linux系统移植(Linux内核配置)
- Linux内核文件Cache机制
- 嵌入式LINUX系统内核和内核模块调试
- Linux内核的编译与运行 11次下载
- Linux内核配置的网络资料说明 14次下载
- 如何才能编译Linux的内核 8次下载
- 嵌入式Linux与物联网软件开发C语言内核深度解析书籍的介绍
- Linux入门教程之Linux的内核详细资料概述 10次下载
- 关于Linux 2.6内核Makefile的分析 1次下载
- Linux内核配置系统详解 4次下载
- Linux内核的透明代理配置解析 0次下载
- 基于Linux 2.6内核Makefile分析 0次下载
- netlink 套接字在系统通信中的应用研究
- Linux的内核教程 0次下载
- Linux内核内存管理架构解析 539次阅读
- 获取Linux内核源码的方法 514次阅读
- T507开发板如何修改和保存内核配置 440次阅读
- Android上基于透明代理对特定APP抓包技巧 2300次阅读
- Linux系统内核与Linux发行套件的区别 1092次阅读
- Linux内核到底是什么应该如何学习 1840次阅读
- Linux:QEMU调试内核的步骤 3040次阅读
- 深入linux内核架构 Linux内核架构分析解读 3604次阅读
- Linux 5.4.1内核已经发布你期待使用吗 3193次阅读
- Linux内核与Android的关系 4504次阅读
- 基于嵌入式Linux内核的系统设备驱动程序开发设计 1113次阅读
- Linux内核地址映射模型与Linux内核高端内存详解 3397次阅读
- petalinux(二)开启petalinux内核调试模式 1w次阅读
- PowerPC平台Linux的移植(二) 1194次阅读
- Linux内核开发工具介绍 4641次阅读
下载排行
本周
- 1TC358743XBG评估板参考手册
- 1.36 MB | 330次下载 | 免费
- 2开关电源基础知识
- 5.73 MB | 6次下载 | 免费
- 3100W短波放大电路图
- 0.05 MB | 4次下载 | 3 积分
- 4嵌入式linux-聊天程序设计
- 0.60 MB | 3次下载 | 免费
- 5基于FPGA的光纤通信系统的设计与实现
- 0.61 MB | 2次下载 | 免费
- 6基于FPGA的C8051F单片机开发板设计
- 0.70 MB | 2次下载 | 免费
- 751单片机窗帘控制器仿真程序
- 1.93 MB | 2次下载 | 免费
- 8基于51单片机的RGB调色灯程序仿真
- 0.86 MB | 2次下载 | 免费
本月
- 1OrCAD10.5下载OrCAD10.5中文版软件
- 0.00 MB | 234315次下载 | 免费
- 2555集成电路应用800例(新编版)
- 0.00 MB | 33564次下载 | 免费
- 3接口电路图大全
- 未知 | 30323次下载 | 免费
- 4开关电源设计实例指南
- 未知 | 21548次下载 | 免费
- 5电气工程师手册免费下载(新编第二版pdf电子书)
- 0.00 MB | 15349次下载 | 免费
- 6数字电路基础pdf(下载)
- 未知 | 13750次下载 | 免费
- 7电子制作实例集锦 下载
- 未知 | 8113次下载 | 免费
- 8《LED驱动电路设计》 温德尔著
- 0.00 MB | 6653次下载 | 免费
总榜
- 1matlab软件下载入口
- 未知 | 935054次下载 | 免费
- 2protel99se软件下载(可英文版转中文版)
- 78.1 MB | 537796次下载 | 免费
- 3MATLAB 7.1 下载 (含软件介绍)
- 未知 | 420026次下载 | 免费
- 4OrCAD10.5下载OrCAD10.5中文版软件
- 0.00 MB | 234315次下载 | 免费
- 5Altium DXP2002下载入口
- 未知 | 233046次下载 | 免费
- 6电路仿真软件multisim 10.0免费下载
- 340992 | 191185次下载 | 免费
- 7十天学会AVR单片机与C语言视频教程 下载
- 158M | 183278次下载 | 免费
- 8proe5.0野火版下载(中文版免费下载)
- 未知 | 138040次下载 | 免费
评论
查看更多