当前位置: 技术问答>linux和unix
三块网卡,配置 squid 和 iptables问题
来源: 互联网 发布时间:2016-05-16
本文导语: 本人新人,遇到如下问题:一台linux服务器,三张网卡 eth0 接电信网 eth1 接校园网,ip为172.18.17.181 255.255.255.192 172.18.17.129 eth2接实验室内部局域网 现在希望通过配置squid和iptables实验透明代理。最终实验室内...
本人新人,遇到如下问题:一台linux服务器,三张网卡
eth0 接电信网
eth1 接校园网,ip为172.18.17.181 255.255.255.192 172.18.17.129
eth2接实验室内部局域网
现在希望通过配置squid和iptables实验透明代理。最终实验室内部的ip为服务器自动分配的地址(最后使得ip和eth1的ip处于同一个网段),相当于服务器作为二级DHCP服务器,同时实现访问校园网和电信。
本人新人,可能表述不太清楚,希望高手知道一下如何用命令行通过ssh远程配置,最好有详细的教程和截图。万分感谢了!!
eth0 接电信网
eth1 接校园网,ip为172.18.17.181 255.255.255.192 172.18.17.129
eth2接实验室内部局域网
现在希望通过配置squid和iptables实验透明代理。最终实验室内部的ip为服务器自动分配的地址(最后使得ip和eth1的ip处于同一个网段),相当于服务器作为二级DHCP服务器,同时实现访问校园网和电信。
本人新人,可能表述不太清楚,希望高手知道一下如何用命令行通过ssh远程配置,最好有详细的教程和截图。万分感谢了!!
|
在网上翻了很多资料。都是squid2.6的,真正用squid3.0的很少或根本就是错误的。
所以想写一个以备忘及抛砖引玉。其中可能有手误之处。
环境:CentOS 5.2
iptables为系统自带(版本是:iptables v1.3.5)。
三张网卡
其中eth0(192.168.0.2),eth1(192.168.10.11为内网。eth2为外网.
squid:squid-3.0.STABLE10.tar.gz
下载地址:http://www.squid-cache.org/
wget -c http://www.squid-cache.org/Versi ... 3.0.STABLE10.tar.gz
下载的文件放在/usr/local/src目录中
#cd /usr/local/src
#wget -c http://www.squid-cache.org/Versi ... 3.0.STABLE10.tar.gz
#tar -zxvf squid-3.0.STABLE10.tar.gz
# cd squid-3.0.STABLE10
我是把configure写成一个批处理
这里的configure注意要增加--enable-linux-tproxy --enable-linux-netfilter支持透明正向代理
要不会在安装后启动时中的cache,提示不支持transparent
#vi config.sh
复制以下内容到config.sh
#!/bin/bash
./configure --prefix=/usr/local/squid
--enable-gnuregex --enable-carp --enable-async-io=80
--enable-storeio=aufs,diskd,ufs,null --enable-removal-policies=heap,lru
--enable-icmp --enable-delay-pools --enable-useragent-log --enable-snmp
--enable-arp-acl --enable-htcp --enable-underscores --enable-auth
--enable-external-acl-helpers=ip_user,ldap_group --enable-x-accelerator-vary
--enable-ssl --enable-cache-digests --enable-poll
--enable-linux-tproxy --enable-linux-netfilter --with-pthreads
--with-aio --with-filedescriptors=65536
--enable-err-languages="Simplify_Chinese English"
--enable-default-err-language="Simplify_Chinese"
#chmod 775 config.sh
#./config.sh
#make
#make install
squid3.0安装完毕。
现在设置squid.conf
#cd /usr/local/squid
建立squid的用户及组
#groupadd squid
#useradd squid -g squid -m -s /sbin/nologin
#vi etc/squid.conf
squid.conf 配置文件如下:
#http_port 3128 transparent vhost vport(这一个在上面的配置里面有,只是要改成这样)
cache_mem 1000 MB
cache_swap_low 90
cache_swap_high 95
#cache_dir ufs /opt/cache/squid 8000 16 256
cache_dir ufs /usr/local/squid/var/cache 1000 16 256
cache_access_log /var/log/squid/access.log
#cache_store_log /var/log/squid/store.log
cache_store_log /usr/local/squid/var/logs/store.log
dns_nameservers 218.104.128.106
maximum_object_size 409600 KB
maximum_object_size_in_memory 64000 KB
emulate_httpd_log on
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
forwarded_for off
#coredump_dir /opt/cache/squid/coredump
#coredump_dir /usr/local/squid/var/cache
#acl all src 0.0.0.0/0
acl normal src 192.168.0.0/24
acl wluser src 192.168.10.0/24
acl my src 192.168.0.9
http_access allow my
http_access allow normal
http_access allow wluser
http_access deny all
cache_effective_user squid
cache_effective_group squid
cache_mgr edward@hi-bit.net
visible_hostname No1.proxy
上面要注意的是:
1.http_port 3128 transparent vhost vport(这一行写的才是支持透明代理的,写2.6的五行写法不一样)
在squid.conf的875行.我的写法如下,增加accel(加速),具体参数说明见squid.conf中的875行以上的几行,有说明。
http_port 3128 transparent accel vhost vport
(以下是squid 2.6的写法
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_single_host off
httpd_accel_uses_host_header on
原来的squid.conf默认有 http_port 3128这一行。在后面加上transparent这一个参数)
2.有注释掉的几行是在squid.conf本来有的。可以查找到之后更改后面的参数就可以了。
3.#acl all src 0.0.0.0/0把这行注释掉。要不好像会监听0.0.0.0,没有测试过,只不过我是把他给注释掉了。
具本的每一行的意思。可以见网上的文章,很多就不啰嗦了,或见squid.conf.
建立squid的cache的目录及更改权限。要不会运行不了。
#mkdir /var/log/squid
#chown -R squid:squid /var/log/squid
#chown -R squid:squid /usr/local/squid/var/
#mkdir /usr/local/squid/var/cache
#chmod -R 777 var/cache
#chmod -R 777 /usr/local/squid/var/
第一次启动时要创建缓存目录
#/usr/local/squid/sbin/squid -z
成功会提示:
Creating Swap Directories
然后出现每个文件及目录的位置
测试Squid运行状况
#/usr/local/squid/sbin/squid -NCd1
成功后将出现"Ready to serve requests",否则请检查配置文件.
如下:
2008/11/24 22:59:27| Starting Squid Cache version 3.0.STABLE10 for i686-pc-linux-gnu...
2008/11/24 22:59:27| Process ID 13445
2008/11/24 22:59:27| With 1024 file descriptors available
2008/11/24 22:59:27| Performing DNS Tests...
2008/11/24 22:59:27| Successful DNS name lookup tests...
或提示:
2008/11/25 19:39:05| Squid is already running! Process ID 2356
那么就说明squid已经安装成功了
或
#ps -aux| grep squid
看下squid进程在不。
iptables中的设置注意打开3128端口和加入以下几句
iptables -t nat -A PREROUTING -s 192.168.0.2 -i eth0
#以下$INET_IP为外网的IP地址,进行内网地址到外网地址的转换
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth2 -j SNAT --to $INET_IP
129 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j SNAT --to $INET_IP
#把从eth0.eth1 目的80端口的数据包重定向到3128端口,其中第一行为我内网的网关地址。可有可无。
#iptables -t nat -A PREROUTING -s 192.168.0.2 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
上面这四句比较重要,是进行透明代理的关键。前两句的作用是进行“源地址转换”,也就是说要进行内网地址到外网地址的转换。执行了这两句,即使没有squid,内网机器也可以上网了。
后面两句是对从两个内网网卡进入的、tcp协议的、目的端口号是80的,做“端口重定向”。重定向到3128端口。这样,squid就可以接到这个数据包了。
OK!如果你的squid没有问题,而且你也执行了上面的语句,并且没有报错。那就恭喜你,一个iptables+squid的透明代理做成了。如果你不相信,有两个方法可以测试:一是登录:http://ipid.shat.net ,这是一个国外网站,可以显示你的外网ip地址,还有是否被代理过。
#外网eth2 IP伪装
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
另外要注意载入的模块:
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
所以想写一个以备忘及抛砖引玉。其中可能有手误之处。
环境:CentOS 5.2
iptables为系统自带(版本是:iptables v1.3.5)。
三张网卡
其中eth0(192.168.0.2),eth1(192.168.10.11为内网。eth2为外网.
squid:squid-3.0.STABLE10.tar.gz
下载地址:http://www.squid-cache.org/
wget -c http://www.squid-cache.org/Versi ... 3.0.STABLE10.tar.gz
下载的文件放在/usr/local/src目录中
#cd /usr/local/src
#wget -c http://www.squid-cache.org/Versi ... 3.0.STABLE10.tar.gz
#tar -zxvf squid-3.0.STABLE10.tar.gz
# cd squid-3.0.STABLE10
我是把configure写成一个批处理
这里的configure注意要增加--enable-linux-tproxy --enable-linux-netfilter支持透明正向代理
要不会在安装后启动时中的cache,提示不支持transparent
#vi config.sh
复制以下内容到config.sh
#!/bin/bash
./configure --prefix=/usr/local/squid
--enable-gnuregex --enable-carp --enable-async-io=80
--enable-storeio=aufs,diskd,ufs,null --enable-removal-policies=heap,lru
--enable-icmp --enable-delay-pools --enable-useragent-log --enable-snmp
--enable-arp-acl --enable-htcp --enable-underscores --enable-auth
--enable-external-acl-helpers=ip_user,ldap_group --enable-x-accelerator-vary
--enable-ssl --enable-cache-digests --enable-poll
--enable-linux-tproxy --enable-linux-netfilter --with-pthreads
--with-aio --with-filedescriptors=65536
--enable-err-languages="Simplify_Chinese English"
--enable-default-err-language="Simplify_Chinese"
#chmod 775 config.sh
#./config.sh
#make
#make install
squid3.0安装完毕。
现在设置squid.conf
#cd /usr/local/squid
建立squid的用户及组
#groupadd squid
#useradd squid -g squid -m -s /sbin/nologin
#vi etc/squid.conf
squid.conf 配置文件如下:
#http_port 3128 transparent vhost vport(这一个在上面的配置里面有,只是要改成这样)
cache_mem 1000 MB
cache_swap_low 90
cache_swap_high 95
#cache_dir ufs /opt/cache/squid 8000 16 256
cache_dir ufs /usr/local/squid/var/cache 1000 16 256
cache_access_log /var/log/squid/access.log
#cache_store_log /var/log/squid/store.log
cache_store_log /usr/local/squid/var/logs/store.log
dns_nameservers 218.104.128.106
maximum_object_size 409600 KB
maximum_object_size_in_memory 64000 KB
emulate_httpd_log on
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
forwarded_for off
#coredump_dir /opt/cache/squid/coredump
#coredump_dir /usr/local/squid/var/cache
#acl all src 0.0.0.0/0
acl normal src 192.168.0.0/24
acl wluser src 192.168.10.0/24
acl my src 192.168.0.9
http_access allow my
http_access allow normal
http_access allow wluser
http_access deny all
cache_effective_user squid
cache_effective_group squid
cache_mgr edward@hi-bit.net
visible_hostname No1.proxy
上面要注意的是:
1.http_port 3128 transparent vhost vport(这一行写的才是支持透明代理的,写2.6的五行写法不一样)
在squid.conf的875行.我的写法如下,增加accel(加速),具体参数说明见squid.conf中的875行以上的几行,有说明。
http_port 3128 transparent accel vhost vport
(以下是squid 2.6的写法
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_single_host off
httpd_accel_uses_host_header on
原来的squid.conf默认有 http_port 3128这一行。在后面加上transparent这一个参数)
2.有注释掉的几行是在squid.conf本来有的。可以查找到之后更改后面的参数就可以了。
3.#acl all src 0.0.0.0/0把这行注释掉。要不好像会监听0.0.0.0,没有测试过,只不过我是把他给注释掉了。
具本的每一行的意思。可以见网上的文章,很多就不啰嗦了,或见squid.conf.
建立squid的cache的目录及更改权限。要不会运行不了。
#mkdir /var/log/squid
#chown -R squid:squid /var/log/squid
#chown -R squid:squid /usr/local/squid/var/
#mkdir /usr/local/squid/var/cache
#chmod -R 777 var/cache
#chmod -R 777 /usr/local/squid/var/
第一次启动时要创建缓存目录
#/usr/local/squid/sbin/squid -z
成功会提示:
Creating Swap Directories
然后出现每个文件及目录的位置
测试Squid运行状况
#/usr/local/squid/sbin/squid -NCd1
成功后将出现"Ready to serve requests",否则请检查配置文件.
如下:
2008/11/24 22:59:27| Starting Squid Cache version 3.0.STABLE10 for i686-pc-linux-gnu...
2008/11/24 22:59:27| Process ID 13445
2008/11/24 22:59:27| With 1024 file descriptors available
2008/11/24 22:59:27| Performing DNS Tests...
2008/11/24 22:59:27| Successful DNS name lookup tests...
或提示:
2008/11/25 19:39:05| Squid is already running! Process ID 2356
那么就说明squid已经安装成功了
或
#ps -aux| grep squid
看下squid进程在不。
iptables中的设置注意打开3128端口和加入以下几句
iptables -t nat -A PREROUTING -s 192.168.0.2 -i eth0
#以下$INET_IP为外网的IP地址,进行内网地址到外网地址的转换
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth2 -j SNAT --to $INET_IP
129 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j SNAT --to $INET_IP
#把从eth0.eth1 目的80端口的数据包重定向到3128端口,其中第一行为我内网的网关地址。可有可无。
#iptables -t nat -A PREROUTING -s 192.168.0.2 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
上面这四句比较重要,是进行透明代理的关键。前两句的作用是进行“源地址转换”,也就是说要进行内网地址到外网地址的转换。执行了这两句,即使没有squid,内网机器也可以上网了。
后面两句是对从两个内网网卡进入的、tcp协议的、目的端口号是80的,做“端口重定向”。重定向到3128端口。这样,squid就可以接到这个数据包了。
OK!如果你的squid没有问题,而且你也执行了上面的语句,并且没有报错。那就恭喜你,一个iptables+squid的透明代理做成了。如果你不相信,有两个方法可以测试:一是登录:http://ipid.shat.net ,这是一个国外网站,可以显示你的外网ip地址,还有是否被代理过。
#外网eth2 IP伪装
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
另外要注意载入的模块:
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward