RHEL版-项目 防火墙与squid代理服务器的搭建

上传人:dus****log 文档编号:161636249 上传时间:2022-10-14 格式:PPT 页数:74 大小:1.33MB
返回 下载 相关 举报
RHEL版-项目 防火墙与squid代理服务器的搭建_第1页
第1页 / 共74页
RHEL版-项目 防火墙与squid代理服务器的搭建_第2页
第2页 / 共74页
RHEL版-项目 防火墙与squid代理服务器的搭建_第3页
第3页 / 共74页
点击查看更多>>
资源描述
第第1 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一Red Hat Enterprise Linux 6.4(RHEL 6.4)教材附带的教材附带的第第2 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第3 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一14.1 项目背景项目背景第第4 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一14.2 项目知识准备项目知识准备第第5 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第7 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一Console口4个10/100/1000口 CheckPoint UTM-1 570 第第8 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一1Linux防火墙的历史防火墙的历史第第9 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一2Linux防火墙的架构防火墙的架构第第10 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一表表链链规则规则的分层结构来组织规则的分层结构来组织规则第第11 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一1表(表(tables)专表专用专表专用filter表表包过滤包过滤含含INPUT、FORWARD、OUTPUT三个链,三个链,nat表表包地址修改包地址修改:用于修改数据包的:用于修改数据包的IP地址和端口地址和端口号,即进行网络地址转换。号,即进行网络地址转换。含含PREROUTING、POSTROUTING、OUTPUT三个链,三个链,mangle表表包重构:修改包的服务类型、生存周期以包重构:修改包的服务类型、生存周期以及为数据包设置及为数据包设置Mark标记,以实现标记,以实现Qos(服务质量)、策(服务质量)、策略路由和网络流量整形等特殊应用。略路由和网络流量整形等特殊应用。含含PREROUTING、POSTROUTING、INPUT、OUTPUT和和FORWARD五个链,五个链,raw表表数据跟踪数据跟踪:用于数据包是否被状态跟踪机制处:用于数据包是否被状态跟踪机制处理理包含包含PREROUTING、OUTPUT两个链。两个链。第第12 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一2链(链(chains)处理的数据包流向的不同处理的数据包流向的不同INPUT链链当数据包源自外界并前往防火墙所在的本机(当数据包源自外界并前往防火墙所在的本机(入站)时,即数据包的目的地址是本机时,则应用此链中的入站)时,即数据包的目的地址是本机时,则应用此链中的规则。规则。OUTPUT链链当数据包源自防火墙所在的主机并要向外发当数据包源自防火墙所在的主机并要向外发送(出站)时,即数据包的源地址是本机时,则应用此链中送(出站)时,即数据包的源地址是本机时,则应用此链中的规则。的规则。FORWARD链链当数据包源自外部系统,并经过防火墙当数据包源自外部系统,并经过防火墙所在主机前往另一个外部系统(转发)时,则应用此链中的所在主机前往另一个外部系统(转发)时,则应用此链中的规则。规则。PREROUTING链链当数据包到达防火墙所在的主机在作当数据包到达防火墙所在的主机在作路由选择之前,且其源地址要被修改(源地址转换)时,则路由选择之前,且其源地址要被修改(源地址转换)时,则应用此链中的规则。应用此链中的规则。POSTROUTING链链当数据包在路由选择之后即将离开当数据包在路由选择之后即将离开防火墙所在主机,且其目的地址要被修改(目的地址转换)防火墙所在主机,且其目的地址要被修改(目的地址转换)时,则应用此链中的规则。时,则应用此链中的规则。用户自定义链用户自定义链第第13 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第14 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一表间的优先顺序表间的优先顺序依次为:依次为:raw、mangle、nat、filter链间的匹配顺序链间的匹配顺序入站数据:入站数据:PREROUTING、INPUT出站数据:出站数据:OUTPUT、POSTROUTING转发数据:转发数据:PREROUTING、FORWARD、POSTROUTING链内规则的匹配顺序链内规则的匹配顺序按顺序依次进行检查,找到相匹配的规则即停止(按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)策略会有例外)若在该链内找不到相匹配的规则,则按该链的默认策略若在该链内找不到相匹配的规则,则按该链的默认策略处理处理第第15 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一Squid除了具有防火墙的代理、共享上网等功能外除了具有防火墙的代理、共享上网等功能外,还有以下还有以下特别的作用特别的作用:加快访问速度加快访问速度,节约通信带宽节约通信带宽多因素限制用户访问多因素限制用户访问,记录用户行为记录用户行为 第第16 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一3Squid代理服务器的分类及特点代理服务器的分类及特点Squid代理服务器按照代理的设置方式可以分为以代理服务器按照代理的设置方式可以分为以下三种下三种:普通普通(标准标准)代理服务器代理服务器这种代理服务器需要在客户端的浏览器中设置代理服务器的地址这种代理服务器需要在客户端的浏览器中设置代理服务器的地址和端口号。和端口号。透明代理服务器透明代理服务器透明代理是透明代理是NAT和代理的完美结合和代理的完美结合,之所以称为透明之所以称为透明,是因为在这是因为在这种方式下用户感觉不到代理服务器的存在种方式下用户感觉不到代理服务器的存在,不需要在浏览器或其不需要在浏览器或其它客户端工具它客户端工具(如网络快车、如网络快车、QQ、迅雷等、迅雷等)中作任何设置中作任何设置,客户机客户机只需要将默认网关设置为代理服务器的只需要将默认网关设置为代理服务器的IP地址便可。地址便可。反向代理服务器反向代理服务器普通代理和透明代理是为局域网用户访问普通代理和透明代理是为局域网用户访问Internet中的中的Web站点站点提供缓存代理提供缓存代理,而反向代理恰恰相反而反向代理恰恰相反,是为是为Internet中的用户访问企中的用户访问企业局域网内的业局域网内的Web站点提供缓存加速。站点提供缓存加速。第第17 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一14.3 项目实施项目实施rootdyzx#rpm -qa|grep iptablesiptables-ipv6-1.4.7-9.el6.i686iptables-1.4.7-9.el6.i686第第18 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第19 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第20 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第21 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第22 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一网络层的网络层的IP数据包、传输层数据包、传输层TCP数据包数据包第第23 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第24 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一1添加、插入规则添加、插入规则#iptables -t filter -A INPUT -p tcp -j ACCEPT#iptables -I I INPUT -p udp -j ACCEPT#iptables -I-I INPUT 2 -p icmp -j ACCEPT2查看规则查看规则#iptables -t filter-L INPUT-line-numbersChain INPUT(policy ACCEPT)num target prot opt source destination1 ACCEPT udp -anywhere anywhere2 ACCEPT icmp-anywhere anywhere3 ACCEPT tcp -anywhere anywhere#iptables-vnL INPUTL选项要放在选项要放在vn后,否则会将后,否则会将vn当成链名当成链名第第25 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一3创建、删除用户自定义链创建、删除用户自定义链#iptables -t filter -N hnwy在在filter表中创建一条用户自定义的链,链名为表中创建一条用户自定义的链,链名为hnwy。#iptables -t filter -X 清空清空filter表中所有自定义的链。表中所有自定义的链。4删除、清空规则删除、清空规则#iptables -D INPUT 3#iptables -F#iptables -t nat -F 第第26 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第27 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第28 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一隐含条件匹配隐含条件匹配以以协议匹配为前提协议匹配为前提端口匹配端口匹配以协议匹配为以协议匹配为前提前提,不能单独使用端口匹配,不能单独使用端口匹配#iptables-I-I FORWARD -p tcp-dport 20:21-j DROP禁止内网的禁止内网的10.10.1.0/24子网里所有的客户机使用子网里所有的客户机使用FTP协议下载协议下载TCP标记匹配标记匹配用于检查数据包的用于检查数据包的TCP标记位(标记位(-tcp-flags),以便有选择的以便有选择的过滤不同类型的过滤不同类型的TCP数据包数据包使用格式为使用格式为“-tcp-flags 检查范围检查范围 被设置的标记被设置的标记”。“检查范围检查范围”用于指定要检查哪些标记(可识别的标记有:用于指定要检查哪些标记(可识别的标记有:SYN,ACK,FIN,RST,URG,PSH)“被设置的标记被设置的标记”指定在指定在“检查范围检查范围”中出现过且被设为中出现过且被设为1(即状(即状态是打开的)的标记。态是打开的)的标记。#iptables-I I INPUT-p tcp -tcp-flags !SYN,FIN,ACK SYN -j DROP禁止那些禁止那些FIN和和ACK标记被设置而标记被设置而SYN标记未设置的数据包标记未设置的数据包第第29 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第30 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第31 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第32 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一命令命令2:iptables-save 将配置信息显示到标准输出将配置信息显示到标准输出(屏幕屏幕)中中命令命令3:iptables-save 路径路径/文件名文件名将显示到标准输出(屏幕)中的当前正在运行的防火墙将显示到标准输出(屏幕)中的当前正在运行的防火墙规则配置信息重定向保存到指定目录的指定文件中。规则配置信息重定向保存到指定目录的指定文件中。service iptables save命令等效于命令等效于iptables-save /etc/sysconfig/iptables命令;使用命令;使用iptables-save命令命令可以将多个版本的配置保存到不同的文件中。可以将多个版本的配置保存到不同的文件中。#iptables-save /etc/sysconfig/ipt.v1.0#service iptables save将当前运行的防火墙规则先后保存到用户指定的配置文件和系统将当前运行的防火墙规则先后保存到用户指定的配置文件和系统默认的配置文件。默认的配置文件。第第33 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一恢复防火墙规则恢复防火墙规则命令:命令:iptables-restore /etc/sysconfig/iptables#service iptables restart第第34 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一实例实例1管理管理icmp第第35 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一实例实例2设置远程登录限制设置远程登录限制第第36 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一实例实例3第第37 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第38 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一第第39 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第40 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第41 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一目前几乎所有防火墙的软硬件产品都集成了目前几乎所有防火墙的软硬件产品都集成了NAT功功能,能,iptables也不例外。也不例外。根据根据NAT替换数据包头部中地址的不同,替换数据包头部中地址的不同,NAT分为分为源地址转换源地址转换SNAT(IP伪装)伪装)目的地址转换目的地址转换DNAT两大类。两大类。第第42 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一SNAT策略的原理策略的原理未使用未使用SNAT策略时的情况策略时的情况源地址:源地址:10.10.1.1目标地址:目标地址:218.29.30.29HTTP请求请求HTTP请求HTTP应答应答源地址:源地址:10.10.1.1目标地址:目标地址:218.29.30.29源地址:源地址:218.29.30.29目标地址:目标地址:10.10.1.1eth0:218.29.30.31Internet中的中的Web服务器服务器218.29.30.29无无法法正正确确路路由由路路由由转转发发局局域网客户端域网客户端10.10.1.1eth1:10.10.1.254Linux网关服务器网关服务器 第第43 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一SNAT策略的原理策略的原理在网关中使用在网关中使用SNAT策略以后策略以后源地址:源地址:10.10.1.1目标地址:目标地址:218.29.30.29HTTP请求请求HTTP应答应答源地址:源地址:218.29.30.31目标地址:目标地址:218.29.30.29源地址:源地址:218.29.30.29目标地址:目标地址:218.29.30.31Linux网关服务器网关服务器Internet中的中的Web服务器服务器218.29.30.29SNAT转换局域网客户端局域网客户端10.10.1.1源地址:源地址:218.29.30.29目标地址:目标地址:10.10.1.1HTTP请求请求eth1:10.10.1.254eth0:218.29.30.31 第第44 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一局域网用户的访问请求报文中的源地址是私网地址局域网用户的访问请求报文中的源地址是私网地址,报文在进入因特网后,将被因特网中的路由器丢,报文在进入因特网后,将被因特网中的路由器丢弃。弃。利用网络地址转换技术,在报文离开局域网的边界利用网络地址转换技术,在报文离开局域网的边界路由器进入因特网之前,对报文中的源地址进行替路由器进入因特网之前,对报文中的源地址进行替换修改,将其替换修改为某一个合法的公网地址,换修改,将其替换修改为某一个合法的公网地址,这样报文就能在因特网中被正常路由和转发了,访这样报文就能在因特网中被正常路由和转发了,访问就会获得成功。问就会获得成功。这种对报文中的源地址或目的地址进行替换修改的这种对报文中的源地址或目的地址进行替换修改的操作,就称为网络地址转换。操作,就称为网络地址转换。第第45 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第46 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第47 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第48 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一DNAT策略的原理策略的原理在网关中使用在网关中使用DNAT策略发布内网服务器策略发布内网服务器源地址:源地址:218.29.30.29目标地址:目标地址:218.29.30.31HTTP请求请求Internet中的中的客户机客户机218.29.30.29Linux网关服务器网关服务器局域网内的局域网内的Web服务器服务器10.10.1.1HTTP应答应答源地址:源地址:218.29.30.31目标地址:目标地址:218.29.30.29DNAT转转换换HTTP请求请求HTTP应答应答源地址:源地址:218.29.30.29目标地址:目标地址:10.10.1.1源地址:源地址:10.10.1.1目标地址:目标地址:218.29.30.29eth0:218.29.30.31eth0:218.29.30.31 第第49 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第50 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一NAT配置案例配置案例 第第51 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一需求分析需求分析 第第52 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一解决方案解决方案 第第53 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第54 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第55 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第56 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第57 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第58 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第59 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第60 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第61 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一任务任务14-5 squid服务器的安装服务器的安装 rootdyzx#mount /dev/cdrom /mntrootdyzx#rpm -ivh/mnt/Packages/squid-3.1.10-16.el6.i686.rpm第第62 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第63 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一5设置硬盘缓存的大小设置硬盘缓存的大小cache_dir ufs/var/spool/squid 4096 16 256 6设置设置DNS服务器的地址服务器的地址dns_nameservers 61.144.56.101 7设置运行设置运行Squid主机的名称主机的名称visible_hostname 10.10.1.254 8设置访问控制设置访问控制acl 列表名称列表名称 列表类型列表类型-i 列表值列表值1 列表值列表值2 第第64 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一 第第65 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一Squid最重要的日志文件是最重要的日志文件是“/var/log/squid/access.log”,该该日志文件记录了客户使用代理服务器的许多有用信息日志文件记录了客户使用代理服务器的许多有用信息,共包含共包含10个字段个字段,每个字段的含义如表每个字段的含义如表14-5所示。所示。字段字段描述描述timetime记录客户访问代理服务器的时间记录客户访问代理服务器的时间,从从19701970年年1 1月月1 1日到访日到访问时所经历的秒数问时所经历的秒数,精确到毫秒精确到毫秒eclapsedeclapsed记录处理缓存所花费的时间记录处理缓存所花费的时间,以毫秒计数以毫秒计数remotehostremotehost记录访问客户端的记录访问客户端的IPIP地址或者域名地址或者域名code/statuscode/status结果信息编码结果信息编码/状态信息编码状态信息编码,如如TCP_MISS/205TCP_MISS/205bytesbytes缓存字节数缓存字节数methodmethodHTTPHTTP请求方法请求方法:GET:GET或者或者POSTPOSTURLURL访问的目的地址的访问的目的地址的URL,URL,如如rfc931rfc931默认的默认的,暂未使用暂未使用peerstatus/peerhostpeerstatus/peerhost缓存级别缓存级别/目的目的IPIP地址地址,如如DIRECT/211.163.21.19DIRECT/211.163.21.19typetype缓存对象类型缓存对象类型,如如text/htmltext/html 第第66 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一10初始化初始化Squid缓存目录缓存目录 成功安装并配置好成功安装并配置好Squid服务器后服务器后,为了能够使为了能够使Squid在硬盘中缓存用户访问目标服务器的内容在硬盘中缓存用户访问目标服务器的内容,在初次运行在初次运行Squid之前之前,或者修改了或者修改了cache_dir设置后设置后,都必须对都必须对Squid初始化。初始化的实质就是按配置项初始化。初始化的实质就是按配置项cache_dir ufs/var/spool/squid 4096 16 256的要求的要求,在指定目录在指定目录下自动建立指定数量的一级和二级子目录。下自动建立指定数量的一级和二级子目录。Squid初始化的命令格式为初始化的命令格式为:squid zX其中其中:-X选项的作用是网管员可观察到初始化的过程。选项的作用是网管员可观察到初始化的过程。初始化完成后初始化完成后,可以看到在可以看到在/var/spool/squid/目录下建目录下建立了相应的两级子目录。立了相应的两级子目录。第第67 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一【例例14-18】代理服务器配置两块网卡代理服务器配置两块网卡,内网卡内网卡eth0(10.10.1.254/24)、能访问公网的外网卡、能访问公网的外网卡eth1(210.42.198.207/24),代理服务器内存代理服务器内存2G,SCSI硬盘容量硬盘容量200GB,设置设置10GB空间为硬盘缓存空间为硬盘缓存,要求内要求内网网段网网段(10.10.1.0/24)中所有客户端都可以上网。中所有客户端都可以上网。配置普通代理服务器的步骤如下配置普通代理服务器的步骤如下:第第68 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一步骤步骤1:按照图按照图14-5所示要求配置各主机的网络参数所示要求配置各主机的网络参数,其中内网其中内网中的中的Web服务器及测试客户机的网关应设为代理服务器的内服务器及测试客户机的网关应设为代理服务器的内网卡网卡eth1的的IP地址地址10.10.1.254。步骤步骤2:在作为代理服务器的主机上安装在作为代理服务器的主机上安装Squid软件包。默认软件包。默认Squid未安装未安装,安装安装RHEL6.4自带的自带的squid便可。便可。步骤步骤3:修改主配置文件修改主配置文件/etc/squid/squid.conf。rootproxy#vim /etc/squid/squid.conf/在文件尾添加以下各配置行http_port 10.10.1.254:8080 /在内网卡的8080端口监听来自内网客户机的http请求cache_mem 256 MB /设置内存缓存为512MBcache_dir ufs/var/spool/squid 10240 16 256/设置10GB硬盘缓存大小及目录visible_hostname 10.10.1.254/设置squid可见的主机名dns_nameservers 222.246.129.80 58.20.127.170 /设置DNS服务器的IP地址第第69 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一步骤步骤4:初始化初始化Squid缓存目录并启动缓存目录并启动Squid服务服务,为方便测试可停止代理为方便测试可停止代理服务器防火墙的功能。服务器防火墙的功能。rootproxy#squid -zrootproxy#service squid startrootproxy#chkconfig squid on /开启2、3、4、5运行级别下的自动启动rootproxy#service iptables stop步骤步骤5:设置内网中客户机网卡及设置内网中客户机网卡及IE代理。代理。步骤步骤6:测试内网中的客户机访问公网中的测试内网中的客户机访问公网中的Web服务器。服务器。第第70 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一任务任务14-8 透明代理服务器的配置透明代理服务器的配置 步骤步骤1:清空清空filter表和表和nat表中的配置策略表中的配置策略添加添加iptables的的重定向规则重定向规则,使得内网用户访问外网的使得内网用户访问外网的Web服务器的服务器的80端口端口转换为代理服务器设置的端口转换为代理服务器设置的端口8080设置设置Linux作为网关服作为网关服务器务器,使得内网所有使得内网所有IP地址如果访问外网都映射为代理服务地址如果访问外网都映射为代理服务区的外网卡的区的外网卡的IP地址与外网联络。地址与外网联络。rootproxy#iptables -Frootproxy#iptables -t nat -Frootproxy#iptables -t nat-A PREROUTING-i eth0 -s 10.10.1.0/24-p tcp-dport 80-j REDIRECT -to-ports 8080rootproxy#iptables-t nat-A POSTROUTING-s 10.10.1.0/24-j SNAT-to-source 210.42.198.207rootproxy#service iptables save /保存保存iptables设置设置第第71 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一任务任务14-8 透明代理服务器的配置透明代理服务器的配置 步骤步骤2:在代理服务器上开启内核路由功能在代理服务器上开启内核路由功能rootproxy#echo 1/proc/sys/net/ipv4/ip_forward步骤步骤3:修改修改squid.conf配置文件配置文件,添加对透明代理的支持添加对透明代理的支持(其他配置项与其他配置项与普通代理相同普通代理相同)。rootproxy#vim /etc/squid/squid.confhttp_port 10.10.1.254:8080 transparent步骤步骤4:检查检查squid.conf配置文件配置文件(当更改过配置文件后最好验证一下配置当更改过配置文件后最好验证一下配置文件的语法正确性文件的语法正确性)Squid服务初始化服务初始化(若前面在普通代理服务中已初若前面在普通代理服务中已初始化始化,在此可省略在此可省略)重新加载修改后的配置文件。重新加载修改后的配置文件。rootproxy#squid -k parserootproxy#squid -zXrootproxy#squid -k reconfigure步骤步骤5:测试。客户端只要设置测试。客户端只要设置IP地址、子网掩码、默认网关地址、子网掩码、默认网关(设置成设置成squid的内部网卡的的内部网卡的IP)及及DNS的的IP地址就可以直接上网了地址就可以直接上网了(浏览器中不要浏览器中不要设置代理设置代理)。第第72 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一任务任务14-9 反向代理服务器的配置反向代理服务器的配置【例例14-19】学校搭建了学校搭建了Web服务器服务器(10.10.1.1/24),希望让互希望让互联网上的客户能通过反向代理服务器访问校园网内的联网上的客户能通过反向代理服务器访问校园网内的Web服服务器。务器。步骤步骤1:在内网使用在内网使用RHEL6搭建好搭建好Web服务器服务器(10.10.1.1/24),并开放其并开放其80端口。端口。步骤步骤2:在代理服务器上修改在代理服务器上修改squid.conf配置文件配置文件,添加对反向代理的支持添加对反向代理的支持,并指定反向代理后台真实的并指定反向代理后台真实的Web服务器的位置参数等服务器的位置参数等(其他配置项与透明其他配置项与透明代理相同代理相同)。rootwebserver#service httpd start /RHEL6已默认安装httpd,在此只需启动服务rootwebserver#iptables -I INPUT -p tcp -dport 80 -j ACCEPTrootproxy#vim /etc/squid/squid.confhttp_port 210.42.198.207:80 vhost vport /支持主机映射cache_peer 10.10.1.1 parent 80 0 originserver weight=5 max-conn=30visible_hostname 210.42.198.207/注意与普通代理的IP区别,此处是外网卡的IP来代表主机可见第第73 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一任务任务14-9 反向代理服务器的配置反向代理服务器的配置 步骤步骤3:重新加载修改后的配置文件。重新加载修改后的配置文件。步骤步骤4:在代理服务器上开启内核路由功能。在代理服务器上开启内核路由功能。rootproxy#squid -k reconfigurerootproxy#echo 1/proc/sys/net/ipv4/ip_forward步骤步骤5:清空清空filter表和表和nat表中的配置策略表中的配置策略将内网将内网Web服务器的服务器的IP地址映地址映射到代理服务器外网卡的射到代理服务器外网卡的IP地址上地址上,使得外网用户可以通过使得外网用户可以通过80端口访问代端口访问代理服务器的外网卡的理服务器的外网卡的IP地址地址,并能够将目的并能够将目的IP地址转换为内网地址转换为内网Web服务器服务器的的IP地址地址放行转发访问内网放行转发访问内网Web服务器的数据包服务器的数据包,使得外网用户可以通使得外网用户可以通过过80端口访问代理服务器外网卡的端口访问代理服务器外网卡的IP地址地址,并且能够将外网并且能够将外网IP地址映射为地址映射为内网内网Web服务器的服务器的IP地址地址,进而访问内部进而访问内部Web服务器。服务器。rootproxy#iptables -Frootproxy#iptables -t nat -Frootproxy#iptables -t nat -A PREROUTING -p tcp -d 210.42.198.207 -dport 80 -j DNAT -to-destination 10.10.1.1rootproxy#iptables -A FORWARD -p tcp -d 10.10.1.1-dport 80 -j ACCEPTrootproxy#service iptables save步骤步骤6:测试。在测试。在Internet中的客户端上中的客户端上,使用浏览器访问反向代理服务器使用浏览器访问反向代理服务器连接外部网络接口的地址连接外部网络接口的地址(如如:http:/210.42.198.207)。第第74 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年10月月3日星期一日星期一项目小结项目小结
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!