当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 1 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [测试]squid的透明代理
帖子发表于 : 2007-09-25 14:47 

注册: 2006-08-10 16:01
帖子: 172
送出感谢: 0 次
接收感谢: 0 次
测试squid2.6版本的透明代理

有些东西不知道自己理解的对不对,请指正。

host:7.04, squid2.6,pppoe上网
squid设置了
http_port 192.168.0.102:3128 transparent
dns_nameservers 202.96.209.5



测试情况:
1、在设定了dns_nameservers 202.96.209.5情况下,host的/etc/resolv.conf内容不正确也没有关系。应该squid负责了dns解析。(非透明代理)。好像host自身是没有办法搞成透明代理的。

2、内网计算机非透明代理。内网计算机无须设定dns,squid会作解析的。

3、透明代理设定。
首先内网计算机要nat出去
iptables -t nat -A POSTROUTING -s your.local-area.network/netmask -j MASQUERADE
然后将所有访问80端口的转向3128端口。
iptables -t nat -A PREROUTING -s your.local-area.network/netmask -p tcp --dport 80 -j REDIRECT --to-ports 3128
内网计算机的dns、网关指向host都要设定正确,host和squid在透明代理时不负责dns解析,这也是为什么一定要nat出去的原因,否则内网计算机无法解析域名。如果不想nat出去的话,那host恐怕要自己起一个dns服务才行。

在透明代理情况下,域名无法解析,重点要查dns是否设定正确,是否nat出去,iptables防火墙设定是否允许dns解析的进出。

以上都是用tail /var/log/squid/access.log, 观察主机是否经过了squid服务得来的。

非透明代理内网计算机没有nat出去,适用于只开放web浏览,其他bt,msn自然全部封住,下载的话squid可以管住。

透明代理要考虑的就多了。要封住bt等ptp的应用恐怕要iptables,配合l7filter或是ipp2p,还没有测试过。


_________________
螺钉头虽然愚笨但总想在坚实的生活里钻出自己的天地来。


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 1 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译