Squid+IPtables经典案例(透明代理+防火墙配置)
 
网络环境:
Eth0 内网:192.168.0.0/24
Eth1 外网:接ADSL线路或外网固定IP
1、squid配置如下:
/etc/squid/squid.conf配置如下:
http_port 3128 transparert
cache_mem 1000 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /opt/cache/squid 8000 16 256
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
dns_nameservers 202.106.0.20
maximum_object_size 409600 KB
maximum_object_size_in_memory 64000 KB
emulate_httpd_log on
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
forwarded_for off
coredump_dir /opt/cache/squid/coredump
acl all src 0.0.0.0/0
http_access allow all
cache_effective_user squid
cache_effective_group squid
cache_mgr [url=mailto:[email protected]][email protected][/url]

2、IPTABLES防火墙设置:
加载SNAT模块
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
启用转发
echo 1 > /proc/sys/net/ipv4/ip_forward
把三个表清空,把自建的规则清空
iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat –X
设定INPUT、OUTPUT的默认策略为DROP,FORWARD为ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
打开“回环”
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
在所有网卡上打开ping功能
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
打开22端口,允许远程管理(设定了很多的附加条件:管理机器IP必须是10,并且必须从eth0网卡进入)
iptables -A INPUT -i eth0 -s 192.168.0.10 -d 192.168.0.100 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.10  -s 192.168.0.100 -p tcp --sport 22 -j ACCEPT
透明代理的关键,将客户端的请求NAT方式转给外网进行路由
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o PPP0 -j MASQUERADE(如果是使用PPP0即ADSL上网,使用MASQUERADE配置)

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to A.B.C.D
(如果是固定IP,使用SNAT配置)
透明代理的关键,将客户端请求是80端口的转向服务器3128端口即WEB请求通过SQUID出去
iptable s -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
内网计算机的TCP 80请求的三次TCP握手(NEW为新请求,ESTABLISHED为确认请求)通过
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
服务器的非服务端口请求通过(内网PC将请求给到LINUX,LINUX把自己当成CLIENT用非服务端口向外网发送INTERNET请求后得到结果再回送给内网计算机)
      iptables -A INPUT -i ppp0 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
开放DNS请求
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
日志管理
iptables -A INPUT -i eth+ -p tcp --dport 80 -j LOG --log-prefix "iptables_80_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 21 -j LOG --log-prefix "iptables_21_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 22 -j LOG --log-prefix "iptables_22_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 25 -j LOG --log-prefix "iptables_25_alert" --log-level info
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j LOG --log-prefix "iptables_icmp8_alert" --log-level info
保存IPTABLES规则到文件
iptables-save > /etc/sysconfig/iptables.save
启动后自动加载IPTABLES规则文件
vim /etc/rc.local                                      编辑此文件在后面加上以下语句
adsl-start                                             启动ADSL连接
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore < /etc/sysconfig/iptables.save
定制任务清空SQUID日志
使用crontab –e增加任务如下(每周将access.log和store.log删除,并重启一次服务)
20 4 * * 0 rm -r -f /var/log/squid/access.log
20 4 * * 0 rm -r -f /var/log/squid/store.log
22 4 * * 0 service squid restart
 本文出自 51CTO.COM技术博客