RHEL5下Squid+IPtables经典案例(透明代理+防火墙配置)

本文涉及的产品
云防火墙,500元 1000GB
简介:
网络环境: 
Eth0 内网:192.168.42.194/24
Eth1 外网:接ADSL线路或外网固定IP(ADSL使用adsl-setup进行CONNECT)
PPP0拔号已设置
/etc/squid/squid.conf配置如下:
http_port 3128 transparert
cache_mem 1000 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /opt/cache/squid 8000 16 256
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
dns_nameservers 202.96.128.86
maximum_object_size 409600 KB
maximum_object_size_in_memory 64000 KB
emulate_httpd_log on
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
forwarded_for off
coredump_dir /opt/cache/squid/coredump
acl all src 0.0.0.0/0
http_access allow all
cache_effective_user squid
cache_effective_group squid
cache_mgr [url=mailto:33219947@163.com]33219947@163.com[/url]
IPTABLES防火墙设置:
加载SNAT模块
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
启用转发
echo 1 > /proc/sys/net/ipv4/ip_forward
把三个表清空,把自建的规则清空
iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat –X
设定INPUT、OUTPUT的默认策略为DROP,FORWARD为ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
打开“回环”
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
在所有网卡上打开ping功能
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
打开22端口,允许远程管理(设定了很多的附加条件:管理机器IP必须是19,并且必须从eth0网卡进入)
iptables -A INPUT -i eth0 -s 192.168.42.19 -d 192.168.42.194 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.42.19 -s 192.168.42.194 -p tcp --sport 22 -j ACCEPT
透明代理的关键,将客户端的请求NAT方式转给外网进行路由
iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -o PPP0 -j MASQUERADE(如果是使用PPP0即ADSL上网,使用MASQUERADE配置)

iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -o eth1 -j SNAT --to A.B.C.D
(如果是固定IP,使用SNAT配置)
透明代理的关键,将客户端请求是80端口的转向服务器3128端口即WEB请求通过SQUID出去
iptable s -t nat -A PREROUTING -s 192.168.42.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
内网计算机的TCP 80请求的三次TCP握手(NEW为新请求,ESTABLISHED为确认请求)通过
iptables -A INPUT -i eth0 -s 192.168.42.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.42.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
服务器的非服务端口请求通过(内网PC将请求给到LINUX,LINUX把自己当成CLIENT用非服务端口向外网发送INTERNET请求后得到结果再回送给内网计算机)
      iptables -A INPUT -i ppp0 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
开放DNS请求
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
日志管理
iptables -A INPUT -i eth+ -p tcp --dport 80 -j LOG --log-prefix "iptables_80_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 21 -j LOG --log-prefix "iptables_21_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 22 -j LOG --log-prefix "iptables_22_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 25 -j LOG --log-prefix "iptables_25_alert" --log-level info
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j LOG --log-prefix "iptables_icmp8_alert" --log-level info
保存IPTABLES规则到文件
iptables-save > /etc/sysconfig/iptables.save
启动后自动加载IPTABLES规则文件
vim /etc/rc.local                                      编辑此文件在后面加上以下语句
adsl-start                                             启动ADSL连接
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore < /etc/sysconfig/iptables.save
定制任务清空SQUID日志
使用crontab –e增加任务如下(每周将access.log和store.log删除,并重启一次服务) 
20 4 * * 0 rm -r -f /var/log/squid/access.log
20 4 * * 0 rm -r -f /var/log/squid/store.log

22 4 * * 0 service squid restart



本文转自gauyanm 51CTO博客,原文链接:http://blog.51cto.com/gauyanm/230096,如需转载请自行联系原作者

相关文章
|
7月前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
284 6
|
7月前
|
网络安全 数据中心
百度搜索:蓝易云【Proxmox软件防火墙的配置教程】
现在,你已经完成了Proxmox软件防火墙的配置。请确保你的防火墙规则设置正确,以保护你的Proxmox VE环境免受未经授权的访问和网络攻击。
193 5
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
3453 0
|
7月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
1010 0
|
2月前
|
网络协议 Ubuntu 网络安全
|
3月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
83 1
|
4月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
4月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
421 4
|
4月前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
125 2
|
4月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
52 1