Linux代理服务器和防火墙配置详细解析

iptables -A OUTPUT -p TCP -j bad_tcp_packets

对于过滤通过的TCP包和其他类型的包，均会放行：

iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -p ALL -s 192.168.1.1 -j ACCEPT

iptables -A OUTPUT -p ALL -s 10.25.0.7 -j ACCEPT

限制过滤规则的检测频率为每分钟平均流量3各网络数据包（超过上限的网络数据包将暂停检测），并将瞬间流量设定为一次最多处理3个数据包（超过上限的网络数据包将被丢弃不予处理），这类网络数据包通常是黑客用来进行拒绝服务攻击：

iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died:"

4.NAT配置

1) 目的NAT(DNAT)

DNAT在外部数据包进入防火墙后且路由之前进行，他把该数据包的目的地址改为内部局域网的地址，然后路由该数据包进入到局域网内部主机。

举例：

iptables -t nat -A PREROUTING -t tcp -d 10.25.0.7 --dport 80 -i eth1 -j DNAT --to 192.168.1.2:80

说明：可以路由到达防火墙的访问80端口（即WWW服务器）的数据包的目的地址改为192.168.1.2。

2) 源NAT(SNAT)

SNAT主要用来更改从防火墙发出的数据包的源地址，使得来自局域网的私有地址通过防火墙后，更改为防火墙具有的外部地址，以便数据接收方接收数据后，能够找到正确的回复地址。

举例：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to10.25.0.7

说明：更改所有来自192.168.1.0/24的数据包的源IP地址为10.25.0.7

注意：系统在经过路由及过滤等处理后，直到数据包要送出时，才进行SNAT，有一种SANT的特殊情况是IP伪装，通常建议在用拨号上网时使用，也就是在合法IP地址不固定的情况下使用。

举例：

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

说明：这样可以保证局域网内部的用户能够所有通过拨号服务器连接到INTERNET。

5.缓存代理squid

1) 安装包

squid-2.5.STABLE1-2

2) 主要配置文件

/etc/squid/squid.conf

内容：

http_port：指定了squid监听客户请求的端口，默认值是3128。要使用代理，建议这个端口值和运行squid的机器ip地址一起使用；

举例：http_port 192.168.0.2:3128

说明：squid绑定在ip地址192.168.0.2上，端口为3128。

cache_mgr：当代理页面发生错误时，代理服务器将向这个配置项登记的用户发送邮件消息，将它配置为管理员的实际邮件地址；

举例：cache_mgr shuke@shuke.com

说明：当代理页面发生错误，给shuke@shuke.com发送消息。

http_access：允许HTTP访问，这个是主要的访问控制列表。默认拒绝所有的访问。

举例：http_access allow all

说明：接受所有访问。

cache_dir：定义磁盘缓存空间，以存储访问过的页面或其他资源的拷贝。

格式：cache_dir Type Directory-Name Fs-specific-data [options]

说明：

Type：存储类型，一般设置为ufs；

Directory-Name：代表缓存的位置，默认的设置是cache_dir ufs /var/spool/squid 100 16 256，其中，100代表缓存空间最大为100M；16到256代表缓存目录下的一级和二级目录数目。

启动命令：/etc/rc.d/init.d/squid start

客户端需要进行的设置：

IE浏览器选项-局域网设置-选中代理服务器和对本地地址不使用代理服务器，填写代理的IP地址和端口号。

3) squid.conf的13个配置选项：

NETWORK OPTIONS （有关的网络选项） ：

OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM （作用于邻居选择算法的有关选项） ：

OPTIONS WHICH AFFECT THE CACHE SIZE （定义cache大小的有关选项）：

LOGFILE PATHNAMES AND CACHE DIRECTORIES (定义日志文件的路径及cache的目录）

OPTIONS FOR EXTERNAL SUPPORT PROGRAMS （外部支持程序选项）

OPTIONS FOR TUNING THE CACHE （调整cache的选项）

TIMEOUTS （超时）

ACCESS CONTROLS （访问控制）

ADMINISTRATIVE PARAMETERS （管理参数）

OPTIONS FOR THE CACHE REGISTRATION SERVICE （cache注册服务选项）

HTTPD-ACCELERATOR OPTIONS （HTTPD加速选项）

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<