会员控制台 会员登陆 会员注册 最后更新 高级搜索 会员投稿 退出登陆
设为首页
收藏本站
留言给我
  首页 | 操作系统类 | 程序设计类 | 数据库类 | 应用服务类 | 网络及硬件类 | 其他技术 | GBunix论坛
操作系统类
程序设计类
数据库类
应用服务类
网络及硬件类
其他技术
Unix中文 / 应用服务类 / 其他应用 / 用IPTABLES+SQUID实现透明代理和防火墙
用IPTABLES+SQUID实现透明代理和防火墙
2004-07-29    jackylau    unix.wanxu.net    点击:
用IPTABLES+SQUID实现透明代理和防火墙
用RH9+IPTABLES+SQUID实现透明代理和防火墙
介绍此透明代理和防火墙:
1,可以防止DOS,PING OF DEATH,FLOOD攻击;
2,可以防止IP欺骗。通过IPTABLES来实现; 可防止局域网外部使用此代理和防火墙,用SQUID来实现
3,让客户上网的速度更快。SQUID是一个高性能的代理缓存服务器,实现http和ftp代理,而iptables实现其它代理,大大提高了带宽的利用率。从而使上网速度大大提高
4,可以使客户端感觉不到代理服务器的存在。在客户端的IE浏览器不用任何设置,像自已申请一个真实的IP地址一样。
5,可以利用瑞口映射技术实现公司网络服务器在代理服务器内部,大大的保护了公司网络服务的安全。
6,大家知道。红帽是一个稳定的中端服务哭。稳定性类似于UNIX。
7,此服务器可完全在命令行模试下运行。不用图形界面,从而大大降低了对系统资源的要求。
8,若此服务器坏掉,可在一个小时内让系统恢复好。
9,此服务器除用做代理和防火墙外,其它服务全部停止。提高了系统的安全性,也降低了对系统资源的要求。

装上SQUID

#vi /etc/squid/squid.conf

http_port 169.254.1.189:8080
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_log /dev/null
cache_store_log none
acl zzvcom src 169.254.1.0/24
acl zzvcom1 dstdomain .zzvcom.com
acl zzvcom2 dst 61.163.221.98-61.163.221.112/32
acl hotmail dstdomain .passport.com
http_access allow zzvcom1
http_access allow zzvcom2
http_access allow hotmail
http_access allow zzvcom
visible_hostname proxy

#squid –z
#/etc/rc.d/init.d/squid start&
#touch /etc/rc.d/firewall

#vi /etc/rc.d/firewall

echo "1">/proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -s 169.254.1.0/24 --dport 80 -j REDIRECT --to-ports 8080
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 169.254.1.0/24 -j SNAT --to-source 61.163.221.99
/sbin/iptables -t nat -A PREROUTING -p tcp -d 61.163.221.99 -dport 8000 -j DNAT --to 169.254.1.139:8000
/sbin/iptables -A INPUT -d 169.254.1.0/24 -i eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#vi /etc/rc.d/rc.local

/etc/rc.d/init.d/squid start
/etc/rc.d/firewall
了解更多详情,参与讨论,请进入GBUNIX论坛

http://www.gbunix.com/bbs/index.php
责任编辑: trotter
发表评论 查看评论 加入收藏 Email给朋友 打印本文
给该文章评分
1 2 3 4 5 6 7 8 9 10
平均得分 0, 共 0 人评分
1 2 3 4 5 6 7 8 9 10
发表评论
标题:
内容:
声明:本站资讯均来自互联网,所有文章版权归原作者和出版者所有,如涉及版权问题,请来信告知!
Copyright © 2002-2004 GBunix.com. All rights reserved.