| « | October 2025 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | |
|
公告 |
| 我不去想是否能够成功,既然选择了远方,便只能风雨兼程; 我不去想,身后会不会袭来寒风冷雨,既然目标是地平线,留给世界的只能是背影!人生短短几十年,不要给自己留下了什么遗憾,想笑就笑,想哭就哭,爱就爱得轰轰烈烈,狠就狠的刻骨铭心! |
| Blog信息 |
|
blog名称:Rabbit's Blog--我的blog我做主
日志总数:52
评论数量:41
留言数量:-10
访问次数:239346
建立时间:2005年12月7日 |
| |
|
 [Linux]redhat linux 下实现 squid的透明代理
文章收藏, 软件技术
开心兔子 发表于 2007/1/28 16:53:45 |
| 关于在LINUX下实现SQUID的透明代理,相信大家也看过不少文章,可大家在架设它时一定遇到过不少问题!
先解释为什么要配置透明代理。 其实只配置squid就可以实现代理功能,但是对于客户端,就必须在浏览器中设置proxy server,对于其他的工具,比如FlashGet, CuteFTP等等,也必须一一设置,这一点非常麻烦。但是如果设置了透明代理,那么在客户端只需要在网络配置中设置一个网关就可以了,其他的任何程序都不用另行设置。这是设置透明代理最大的诱惑,当然这只是对我而言,其实iptables有更强大的防火墙功能,这才是它最大的用处。但是,此次配置不涉及防火墙,如果有兴趣的请查找iptables howto,了解更多。
1。假设我们的linux内已经将防火墙支持选项编译进去,这一点可以进入kernel source目录,用make menuconfig确认。
2。安装squid,一般对于各个Linux发行版,完全安装的话应该已经安装过了,当然也可以从以下网址下载安装: http://www.squid-cache.org/
3。无论是重新安装的还是系统中原来就有的,因为对于各个发行版可能squid的配置文件所在的位置各不相同,用find命令确认squid.conf文件的确切位置。如果是rpm安装,也可以用rpm命令来确认:rpm -ql [squidrpmname.rpm] | grep squid.conf
4。在这之前,你有件事不要忘了做件事,你最好把/etc/squid/squid.conf.default CP 到/etc/squid/squid.conf,不然可能会不成功的! 编辑squid.conf文件,确保以下内容存在: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on cache_effective_user nobody cache_effective_group nobody http_access allow all cache_dir ufs /usr/local/squid/cache 100 16 256 注:最后一句为cache目录,需要在下面创建,可以改为你本机squid的所在目录。倒数第二句,表示我们允许所有的请求,这是很不安全的,可以自己创建一个组,然后allow这个组,并且deny all,具体的设置仔细看一下squid.conf就可以了,有很详细的解释和例子
5。创建cache目录(如果没有的话),修改该目录所有者为nobody chown nobody:nobody /pathname/cache
6。查看配置文件中默认的log目录,将那个目录的所有者修改为nobody,以确保log可以写入
7。创建cache: squid -z
8。启动squid: service squid start squid的站点维护了一份很详细的FAQ,基本上你需要问的问题都有答案,比如你可以先用squid -NCd1来以debug模式启动,这样如果有错误会报出来,一般如果是ADSL拨号的,那么在没有拨号之前就启动squid的话是会出错的(FATAL: ipcache_init: DNS name lookup tests failed),因为squid启动时会去检查一些常用的DNS,但是这时候你并没有接入internet,自然就出错了,所以我们需要在启动的时候不检查DNS,这就需要用加上-D选项来启动squid
9。启动成功之后,我们就可以去客户端的浏览器里面设置proxy来测试一下了,如果可以接入internet,那么squid就算设置成功了
10。还有一个后续工作,就是确认squid是不是开机就自动启动了,一般在/etc/init.d中已经有了squid脚本,我们需要做的就是将它ln到适当的rc.d目录中,比如我默认是runlevel5启动的,那么我执行: ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid 这是在SuSE下面,如果是RedHat,那么rc.d目录是在/etc下面,而不是在/etc/init.d下面。
OK,squid设置结束了,下面我们开始配置iptables可以用前面所提到的配置工具,但是我没有试过,所以是直接用iptables命令来做的。 可以man iptables来查看帮助
我们把iptables的设置命令存在一个脚本文件中,假设脚本文件名为firewall,然后将此文件存放在/etc/init.d中,并且在启动文件中运行此脚本。以下为操作步骤
1。touch /etc/init.d
2。vi /etc/init.d 加入以下内容:#!/bin/shecho "Enabling IP Forwarding..."echo 1 > /proc/sys/net/ipv4/ip_forwardecho "Starting iptables rules..."#Refresh all chains/sbin/iptables -F -t natiptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp--dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
对于以上命令的解释如下: /proc/sys/net/ipv4/ip_forward必须设置为1(默认是0)才可以使用路由功能。 /sbin/iptables -F -t nat将nat table中的所有现存规则清空。 eth0:为Linux机器中的网卡。 3128:为squid中默认的监听端口。 ppp0:为linux中的ADSL设备(在SuSE中为ppp0,在redhat中可能是dsl0)。 MASQUERADE:适用于拨号上网的服务器,因为没有静态IP地址,对于有静态IP的服务器,可以用SNAT --to-source ipadress来替代。
注:以上的命令没有涉及防火墙,请自行参考配置,以上命令也没有删除filter table中的规则,也就是如果以前设置过防火墙,那么不会受到影响。
3。chmod u+x firewall,更改文件属性,使其可以被执行
4。编辑/etc/init.d/boot.local文件,在最后加上/etc/init.d/firewall这一句,确保开机就执行此脚本。 注:SuSE中是boot.local,对于redhat,则需要编辑/etc/rc.d/rc.local文件。
5。运行firewall,规则立刻生效。
到此为止,所有配置结束 |
|
|