传统代理，透明代理，反向代理，IP伪装,端口转发

第一部分 各种代理方式的特点和包重写过程

Squid传统代理和透明代理：

在Linux上用得最广泛的传统代理和透明代理是Squid.默认的Squid配置成传统代理的方式。
在这种方式下，windows客户端要在浏览器中设置代理服务器的地址和端口号，客户端所要做的
工作其实很少。只需要指定代理服务器的IP地址和端口号即可，其它剩下的一切都交给代理服务
器去做。在这种方式下的一个明显特点是windows客户机浏览网页，打入一个URL时，DNS也由代理
服务器去做。解析DNS的过程是根据Linux服务器中设置的/etc/host.conf文件中的解析顺序进行的。
一般的顺序是先查找/etc/hosts，然后找DNS数据库bind。在这种情况下的有趣例子是如果你设置了
某一站点的域名为你内部网中的一台服务器，则先去访问内部网服务器了。如你设置
192.168.11.3 www.yahoo.com 则你的浏览器就不可能去访问互联网上的yahoo站点了。
但假若你设置了透明代理的话，则解析的DNS顺序便变为
\windows\hosts然后再Linux的DNS数据库。不再可能检查Linux服务器上的/etc/hosts文件了。
关于透明代理的介绍，见文章荟萃中的另一篇文章《如何在Linux中设置透明代理》

传统代理和透明代理的包重写过程：见下图

[PC] A [Linux squid server] B
__192.168.11.12_|_____192.168.11.5__|___1.2.3.4_________Inte.net

(图一)

在A机用户的浏览器上设置代理为192.168.11.5，端口号为3128，通过B上网。
假如访问www.linuxforum.net,实际上只要你设定了代理的话，用户端的浏览器只是和Linux Squid
服务器进行通信而决不和互联网上的www.linuxforum.net服务器交谈,首先由squid代理服务器对
www.linuxforum.net进行解析（查找/etc/host.conf中的解析顺序，先是/etc/hosts然后是DNS查找）

进行到IP地址为202.106.124.185，最后由代理服务器代替用户端对该IP地址进行HTTP访问，回复回来
的信息先缓存到squid cache中，同时拷贝一份到用户端。下次若该用户或其它用户访问同样的页面时
则可以从squid cache中调用节省时间。
透明代理的过程和传统代理差不多，区别在
1。DNS解析过程不同，前面已经说过
2。用透明代理网关必须设置为squid代理服务器的IP地址，而传统代理不需要。
3。透明代理需要设置防火链的input规则
其余的和squid传统代理方式相同。

plug-gw:
plug-gw是FWTK中所带的通用代理程序。可用来代理象POP3,HTTP等应用层服务。

[PC] A [Linux POP3] C [Linux plug-gw]B
__192.168.11.12_|______|192.168.11.1____192.168.11.5__|___1.2.3.4__Internet

(图二)

假如内部网段上有一台Linux POP3服务器C(192.168.11.1),希望外部用户能收取邮件
可在机器B上设定plug-gw的POP3代理如下：

放下面的行到/etc/rc.d/rc.local
/usr/local/etc/plug-gw -daemon 1.2.3.4:110 -name plug-gw-pop3 &
文件/usr/local/etc/netperm-table中有下面一行

plug-gw-pop3: port 110 * -plug-to 192.168.11.1 -port 110

则用户设定outlook express中的POP3服务器地址为1.2.3.4.当收邮件时对B机的外部
接口而言，是在1.2.3.4的110端口接受用户请求，随后被plug-gw处理，在内部网段上,
由192.168.11.5对192.168.11.1的110端口发出请求。把所得的数据由1.2.3.4接口拷贝给
外部用户。

Apache反向代理。
包重写过程与plug-gw类似

注意：上面所讲的三种情况下，请求过程被分开两次，中间一般是squid代理服务器或者
plug-gw,Apache服务器，数据在服务器的两块网卡中间做拷贝的动作，但是两次请求过程
的源地址是随机分配的高端地址，是不同的。在1024 和65535之间。但是一般而言，TCP/IP
分配的随机高端地址大多数是在1024--5000之间分配。例如：对于plug-gw来说：
如果某外部拨号用户的IP地址为5.6.7.8。假如地址和端口如下：
源地址和端口号和目标地址端口与为：
5.6.7.8 1038 1.2.3.4 110
被plug-gw改写请求为：
192.168.11.5 1045 192.168.11.1 110

被192.168.11.1回复的数据被拷贝给外部客户。

但是并非所有情况下源高端随机分配的地址都在1024--5000之间。IP伪装就是例外：

IP伪装：

[PC] A [Linux MASQ server] B
__192.168.11.12_|_____192.168.11.5__|___1.2.3.4_________Internet

(图三)

如上图，PC A要通过B伪装上网。如要访问www.linuxforum.net，则伪装时的包重写过程如下：

源地址／端口号和目标地址／端口号为：
192.168.11.12 1047 202.106.124.185 80
被伪装后的
源地址和端口号和目标地址／端口号为：
1.2.3.4 62334 202.106.124.185 80

反回的包为
202.106.124.185 80 -- 1.2.3.4 62334
再被重写给PC A为：
202.106.124.185 80 -- 192.168.11.12 1047

一般来说，IP伪装后的源地址通常>60000，且在61000--64999之间。
在防火墙上维护着一张IP伪装的对照表。用命令/sbin/ipchains -M -L -n可以看到
如：
[root@proxy etc]# /sbin/ipchains -M -L -n
IP masquerading entries
prot expire source destination ports
UDP 02:18.86 192.168.11.12 205.188.179.41 1215 (62615) -> 4000
TCP 17:03.20 192.168.11.12 205.188.248.57 1049 (62584) -> 80

从ports栏你可以对照两次源地址的匹配。

端口转发(port forwarding):
见文章荟萃中另一篇文章《利用端口转发由内部网对外提供网络服务》

第二部分 各种代理方式的适用情况和优缺点

各种代理方式的作用：
1. IP伪装,Squid传统代理和透明代理适合让局域网上无真实IP地址的用户访问Internet.
2. Apache反向代理，plug-gw通用代理,端口转发适合让外部用户访问局域网内无真实IP
地址的服务器。

各种代理方式的优缺点：
1. Squid的优点是对客户端要求很少，只要能连通squid服务器即可。
但是需要每台机器都设置代理服务器IP地址和端口号
2. Squid透明代理的优点是不需要每个客户机都设置代理地址和端口与，简化了用户端
配置。但是需要每台客户机的默认网关都设为squid代理服务器，且需要客户端来做
DNS解析
3. IP伪装可适合大多数应用层服务，不象squid仅支持http和ftp.但也需要客户的默认
网关设为防火墙的地址。且不象squid有cache功能
4. plug-gw可代理各种服务器象HTTP,POP3等。但Apache反向代理则只能代理http反向请求

5. 端口转发适合大多数服务。与具体的应用无关。且速度快，在内核IP层实现,无需要特别的

应用层服务在运行。但可能需要重新编译内核。