基于Linux2.4内核的透明代理配置方案

Author: Kamus(张乐奕)

Mail: kamus@itpub.net

Date: 2003.08

 

环境：

服务器： SuSE Linux 8.2 + ADSL

客户端： Windows2000

局域网： 用8口10-100M集线器连接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1)

 

使用squid+iptables，大部分经验从www.linuxaid.com得到，只是在这里总结一下。

 

关于iptables的详细说明，请看：

IPTABLES HOWTO

http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html

 

关于iptables配置工具，请看：

knetfilter：

http://expansa.sns.it/knetfilter

g-Shield：

http://muse.linuxmafia.org/gshield.html

 

关于squid优化，请看：

squid优化完全手册1：

http://www.linuxaid.com.cn/articles/2/8/289179080.shtml

squid优化完全手册2：

http://www.linuxaid.com.cn/articles/5/4/546967373.shtml

 

关于iptables防火墙的配置，请看：

用iptales实现包过虑型防火墙(一)：

http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm

用iptales实现包过虑型防火墙(二)：

http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm

 

好，下面开始配置。

 

先解释为什么要配置透明代理。

其实只配置squid就可以实现代理功能，但是对于客户端，就必须在浏览器中设置proxy server，对于其他的工具，比如FlashGet, CuteFTP等等，也必须一一设置，这一点非常麻烦。但是如果设置了透明代理，那么在客户端只需要在网络配置中设置一个网关就可以了，其他的任何程序都不用另行设置。这是设置透明代理最大的诱惑，当然这只是对我而言，其实iptables有更强大的防火墙功能，这才是它最大的用处。但是，此次配置不涉及防火墙，如果有兴趣的请看上贴的iptables howto。

 

1。假设我们的linux内已经将防火墙支持选项编译进去，这一点可以进入kernel source目录，用make menuconfig确认。

 

2。安装squid，一般对于各个Linux发行版，完全安装的话应该已经安装过了，当然也可以从以下网址下载安装：

http://www.squid-cache.org/

 

3。无论是重新安装的还是系统中原来就有的，因为对于各个发行版可能squid的配置文件所在的位置各不相同，用find命令确认squid.conf文件的确切位置。如果是rpm安装，也可以用rpm命令来确认：rpm -ql [squidrpmname.rpm] | grep squid.conf

 

4。编辑squid.conf文件，确保以下内容存在：

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

cache_effective_user nobody

cache_effective_group nobody

http_access allow all

cache_dir ufs /usr/local/squid/cache 100 16 256

注：最后一句为cache目录，需要在下面创建，可以改为你本机squid的所在目录。倒数第二句，表示我们允许所有的请求，这是很不安全的，可以自己创建一个组，然后allow这个组，并且deny all，具体的设置仔细看一下squid.conf就可以了，有很详细的解释和例子

 

5。创建cache目录（如果没有的话），修改该目录所有者为nobody

chown nobody:nobody /pathname/cache

 

6。查看配置文件中默认的log目录，将那个目录的所有者修改为nobody，以确保log可以写入

 

7。创建cache： squid -z

 

8。启动squid： squid -D

squid的站点维护了一份很详细的FAQ，基本上你需要问的问题都有答案，比如你可以先用squid -NCd1来以debug模式启动，这样如果有错误会报出来，一般如果是ADSL拨号的，那么在没有拨号之前就启动squid的话是会出错的(FATAL: ipcache_init: DNS name lookup tests failed)，因为squid启动时会去检查一些常用的DNS，但是这时候你并没有接入internet，自然就出错了，所以我们需要在启动的时候不检查DNS，这就需要用加上-D选项来启动squid

 

9。启动成功之后，我们就可以去客户端的浏览器里面设置proxy来测试一下了，如果可以接入internet，那么squid就算设置成功了

 

10。还有一个后续工作，就是确认squid是不是开机就自动启动了，一般在/etc/init.d中已经有了squid脚本，我们需要做的就是将它ln到适当的rc.d目录中，比如我默认是runlevel5启动的，那么我执行:

ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid

ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid

这是在SuSE下面，如果是RedHat，那么rc.d目录是在/etc下面，而不是在/etc/init.d下面。

 

OK，squid设置结束了，下面我们开始配置iptables

可以用前面所提到的配置工具，但是我没有试过，所以是直接用iptables命令来做的。

可以man iptables来查看帮助

 

我们把iptables的设置命令存在一个脚本文件中，假设脚本文件名为firewall，然后将此文件存放在/etc/init.d中，并且在启动文件中运行此脚本。以下为操作步骤

 

1。touch /etc/init.d

 

2。vi /etc/init.d

加入以下内容：

#!/bin/sh

echo "Enabling IP Forwarding..."

echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F -t nat

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp

      --dport 80 -j REDIRECT --to-ports 3128

 

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o

      ppp0 -j MASQUERADE

 

对于以上命令的解释如下：

/proc/sys/net/ipv4/ip_forward必须设置为1（默认是0）才可以使用路由功能。

/sbin/iptables -F -t nat将nat table中的所有现存规则清空。

eth0：为Linux机器中的网卡。

3128：为squid中默认的监听端口。

ppp0：为linux中的ADSL设备（在SuSE中为ppp0，在redhat中可能是dsl0）。

MASQUERADE：适用于拨号上网的服务器，因为没有静态IP地址，对于有静态IP的服务器，可以用SNAT --to-source ipadress来替代。

 

注：以上的命令没有涉及防火墙，请自行参考配置，以上命令也没有删除filter table中的规则，也就是如果以前设置过防火墙，那么不会受到影响。

 

3。chmod u+x firewall，更改文件属性，使其可以被执行

 

4。编辑/etc/init.d/boot.local文件，在最后加上/etc/init.d/firewall这一句，确保开机就执行此脚本。

注：SuSE中是boot.local，对于redhat，则需要编辑/etc/rc.d/rc.local文件。

 

5。运行firewall，规则立刻生效。

 

到此为止，所有配置结束。