基于Linux內(nèi)核的透明代理配置方案

先解釋為什么要配置透明代理。

　　其實(shí)只配置squid就可以實(shí)現(xiàn)代理功能，但是對(duì)于客戶端，就必須在瀏覽器中設(shè)置proxy server，對(duì)于其他的工具，比如FlashGet, CuteFTP等等，也必須一一設(shè)置，這一點(diǎn)非常麻煩。但是如果設(shè)置了透明代理，那么在客戶端只需要在網(wǎng)絡(luò)配置中設(shè)置一個(gè)網(wǎng)關(guān)就可以了，其他的任何程序都不用另行設(shè)置。這是設(shè)置透明代理最大的誘惑，當(dāng)然這只是對(duì)我而言，其實(shí)iptables有更強(qiáng)大的防火墻功能，這才是它最大的用處。但是，此次配置不涉及防火墻，如果有興趣的請(qǐng)看上貼的iptables howto。

　　1。假設(shè)我們的linux內(nèi)已經(jīng)將防火墻支持選項(xiàng)編譯進(jìn)去，這一點(diǎn)可以進(jìn)入kernel source目錄，用make menuconfig確認(rèn)。

　　2。安裝squid，一般對(duì)于各個(gè)Linux發(fā)行版，完全安裝的話應(yīng)該已經(jīng)安裝過了，當(dāng)然也可以從以下網(wǎng)址下載安裝：

　　http://www.squid-cache.org/

　　3。無論是重新安裝的還是系統(tǒng)中原來就有的，因?yàn)閷?duì)于各個(gè)發(fā)行版可能squid的配置文件所在的位置各不相同，用find命令確認(rèn)squid.conf文件的確切位置。如果是rpm安裝，也可以用rpm命令來確認(rèn)：rpm -ql [squidrpmname.rpm] | grep squid.conf

　　4。編輯squid.conf文件，確保以下內(nèi)容存在：

　　httpd_accel_host virtual

　　httpd_accel_port 80

　　httpd_accel_with_proxy on

　　httpd_accel_uses_host_header on

　　cache_effective_user nobody

　　cache_effective_group nobody

　　http_access allow all

　　cache_dir ufs /usr/local/squid/cache 100 16 256

　　注：最后一句為cache目錄，需要在下面創(chuàng)建，可以改為你本機(jī)squid的所在目錄。倒數(shù)第二句，表示我們?cè)试S所有的請(qǐng)求，這是很不安全的，可以自己創(chuàng)建一個(gè)組，然后allow這個(gè)組，并且deny all，具體的設(shè)置仔細(xì)看一下squid.conf就可以了，有很詳細(xì)的解釋和例子

　　5。創(chuàng)建cache目錄(如果沒有的話)，修改該目錄所有者為nobody

　　chown nobody:nobody /pathname/cache

　　6。查看配置文件中默認(rèn)的log目錄，將那個(gè)目錄的所有者修改為nobody，以確保log可以寫入

　　7。創(chuàng)建cache： squid -z

　　8。啟動(dòng)squid： squid -D

　　squid的站點(diǎn)維護(hù)了一份很詳細(xì)的FAQ，基本上你需要問的問題都有答案，比如你可以先用squid -NCd1來以debug模式啟動(dòng)，這樣如果有錯(cuò)誤會(huì)報(bào)出來，一般如果是ADSL撥號(hào)的，那么在沒有撥號(hào)之前就啟動(dòng)squid的話是會(huì)出錯(cuò)的(FATAL: ipcache_init: DNS name lookup tests failed)，因?yàn)閟quid啟動(dòng)時(shí)會(huì)去檢查一些常用的DNS，但是這時(shí)候你并沒有接入internet，自然就出錯(cuò)了，所以我們需要在啟動(dòng)的時(shí)候不檢查DNS，這就需要用加上-D選項(xiàng)來啟動(dòng)squid

　　9。啟動(dòng)成功之后，我們就可以去客戶端的瀏覽器里面設(shè)置proxy來測(cè)試一下了，如果可以接入internet，那么squid就算設(shè)置成功了

　　10。還有一個(gè)后續(xù)工作，就是確認(rèn)squid是不是開機(jī)就自動(dòng)啟動(dòng)了，一般在/etc/init.d中已經(jīng)有了squid腳本，我們需要做的就是將它ln到適當(dāng)?shù)膔c.d目錄中，比如我默認(rèn)是runlevel5啟動(dòng)的，那么我執(zhí)行:

　　ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid

　　ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid

　　這是在SuSE下面，如果是RedHat，那么rc.d目錄是在/etc下面，而不是在/etc/init.d下面。

　　OK，squid設(shè)置結(jié)束了，下面我們開始配置iptables

　　可以用前面所提到的配置工具，但是我沒有試過，所以是直接用iptables命令來做的。

　　可以man iptables來查看幫助

　　我們把iptables的設(shè)置命令存在一個(gè)腳本文件中，假設(shè)腳本文件名為firewall，然后將此文件存放在/etc/init.d中，并且在啟動(dòng)文件中運(yùn)行此腳本。以下為操作步驟

　　1。touch /etc/init.d

　　2。vi /etc/init.d

　　加入以下內(nèi)容：

　　#!/bin/sh

　　echo "Enabling IP Forwarding..."

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　echo "Starting iptables rules..."

　　#Refresh all chains

　　/sbin/iptables -F -t nat

　　iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp

　　--dport 80 -j REDIRECT --to-ports 3128

　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o

　　ppp0 -j MASQUERADE

　　對(duì)于以上命令的解釋如下：

　　/proc/sys/net/ipv4/ip_forward必須設(shè)置為1(默認(rèn)是0)才可以使用路由功能。

　　/sbin/iptables -F -t nat將nat table中的所有現(xiàn)存規(guī)則清空。

　　eth0：為Linux機(jī)器中的網(wǎng)卡。

　　3128：為squid中默認(rèn)的監(jiān)聽端口。

　　ppp0：為linux中的ADSL設(shè)備(在SuSE中為ppp0，在redhat中可能是dsl0)。

　　MASQUERADE：適用于撥號(hào)上網(wǎng)的服務(wù)器，因?yàn)闆]有靜態(tài)IP地址，對(duì)于有靜態(tài)IP的服務(wù)器，可以用SNAT --to-source ipadress來替代。

　　注：以上的命令沒有涉及防火墻，請(qǐng)自行參考配置，以上命令也沒有刪除filter table中的規(guī)則，也就是如果以前設(shè)置過防火墻，那么不會(huì)受到影響。

　　3。chmod u+x firewall，更改文件屬性，使其可以被執(zhí)行

　　4。編輯/etc/init.d/boot.local文件，在最后加上/etc/init.d/firewall這一句，確保開機(jī)就執(zhí)行此腳本。

　　注：SuSE中是boot.local，對(duì)于redhat，則需要編輯/etc/rc.d/rc.local文件。

　　5。運(yùn)行firewall，規(guī)則立刻生效。

　　到此為止，所有配置結(jié)束。