[测试]squid的透明代理

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
oldniu
帖子: 172
注册时间: 2006-08-10 16:01
送出感谢: 0
接收感谢: 0

[测试]squid的透明代理

#1

帖子 oldniu » 2007-09-25 14:47

测试squid2.6版本的透明代理

有些东西不知道自己理解的对不对,请指正。

host:7.04, squid2.6,pppoe上网
squid设置了
http_port 192.168.0.102:3128 transparent
dns_nameservers 202.96.209.5



测试情况:
1、在设定了dns_nameservers 202.96.209.5情况下,host的/etc/resolv.conf内容不正确也没有关系。应该squid负责了dns解析。(非透明代理)。好像host自身是没有办法搞成透明代理的。

2、内网计算机非透明代理。内网计算机无须设定dns,squid会作解析的。

3、透明代理设定。
首先内网计算机要nat出去
iptables -t nat -A POSTROUTING -s your.local-area.network/netmask -j MASQUERADE
然后将所有访问80端口的转向3128端口。
iptables -t nat -A PREROUTING -s your.local-area.network/netmask -p tcp --dport 80 -j REDIRECT --to-ports 3128
内网计算机的dns、网关指向host都要设定正确,host和squid在透明代理时不负责dns解析,这也是为什么一定要nat出去的原因,否则内网计算机无法解析域名。如果不想nat出去的话,那host恐怕要自己起一个dns服务才行。

在透明代理情况下,域名无法解析,重点要查dns是否设定正确,是否nat出去,iptables防火墙设定是否允许dns解析的进出。

以上都是用tail /var/log/squid/access.log, 观察主机是否经过了squid服务得来的。

非透明代理内网计算机没有nat出去,适用于只开放web浏览,其他bt,msn自然全部封住,下载的话squid可以管住。

透明代理要考虑的就多了。要封住bt等ptp的应用恐怕要iptables,配合l7filter或是ipp2p,还没有测试过。
螺钉头虽然愚笨但总想在坚实的生活里钻出自己的天地来。
回复

回到 “服务器基础应用”