科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道Linux系统代理防火墙的配置方法实例解析

Linux系统代理防火墙的配置方法实例解析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

首先下载iptables的最新源代码。编译安装,然后停止系统已安装的iptables,使用最新安装的iptables,使用最新安装的iptables工具。

作者:kit 来源:赛迪网 2007年10月6日

关键字: 配置 系统 防火墙 Linux

  • 评论
  • 分享微博
  • 分享邮件
 

首先下载iptables的最新源代码。编译安装,然后停止系统已安装的iptables,使用最新安装的iptables,使用最新安装的iptables工具。

实验一:安装

1、从http://www.netfilter.org/downloads.html#iptables-1.2.9下载最新的iptables源代码包,当前是iptables-1.2.9.tar.bz,下载后保存到/usr/local/src目录。

2、进入/usr/local/src目录,解开压缩包,进入iptables源代码目录,

#cd /usr/local/src

#bunzip2 iptables-1.2.9.tar.bz

#tar xf iptables-1.2.9.tar

#cd iptables-1.2.9

3、使用下面蝗命令编译和安装iptables源代码软件包

#make PREFIX=/usr

#make PREFIX=/usr install

注:使用PREFIX=/usr参数指定iptables安装相关的文件时以/usr目录为最上层目录,而不是默认的/usr/local,如iptables的文件会安装在/usr/sbin,/usr/lib,/usr/man等目录中,使用ls 命令查看这些目录,能够发现iptabels相关的可执行文件和库文件,

4、安装完成,使用默认安装的iptables命令和新安装的iptables命令,比较查看版本信息

#/sbin/iptables –v

5、为了使用新安装的iptables工具,需要停掉系统启动时执行的iptabels命令,把防火墙启动脚本从系统启动队列中去掉,

#chkconfig –level 2345 iptables off

#chkconfig –list iptables

然后用reboot重新启动系统。

实验二:用iptables设置本机拒绝按特定类型的连接

使用最新安装的iptables工具设置本机的防火墙。使本地防火墙能够拒绝外部对本机的telnet.ftp的连接。

1、继续上面的实验,重启后,以root用户登录。使用iptables命令查看当前的防火墙,显示没有防火墙设置,

#/usr/sbin/iptables –L

2、使用/etc/rc.d/init.d/vsftp脚本启动vsftp服务器

#/etc/rc.d/init.d/vsftp start

3、在局域网中的他客户端连接ftp服务器。显示连接成功!

如不成功!需他细检查以上的每一步骤是否正确。

4、使用vi命令编辑/etc/xinetd.d/telnet配置文件。将其中的“disable = yes” 更改为“disable = no”。存盘退出。重启服务。

#/etc/rc.d/init.d/xinetd restart

在另一台机中访问本机的telnet服务,显示连接成功。

如不成功!需他细检查以上的每一步骤是否正确

5、使用下面的iptalbes命令设置禁止外部的telnet连接

#/usr/sbin/iptables –A INPUT –P tcp –dport telnet -j DROP

6、设置完成后,使用iptables的“-L”选项查看防火墙设置,能够看到上面设置的防火墙规则在INPUT链中

#iptables –L

7、使用上现步骤中连接的外部主机telnet到本机,显示连接被拒绝,

但使用ftp连接。外部连接仍然有效。

8、使用同样的方法。设置拒绝FTP连接的防火墙规则

#/usr/sbin/iptables –A INPUT -p tcp --dport ftp -j DROP

使用iptables命令查看防火墙,显示刚才设置的防火墙规则已经被登记。

#iptables –L

9、使用iptables命令选项“-F”清除所有防火墙规则

#iptables –F

#iptables –L

实验三:安装squid

下载最新的squid源代码。然后编译安装。并检查安装的文件夹。

1、从http://www.squid-cache.org/versions/v2/2.5/下载squid源码,并把它保存在/usr/local/src目录。

#cd /usr/local/src

#tar xzf squid-2.5STABLE5.tar.gz

#cd squid-2.5.STABLE5

#./configure –prefix=/usr/local/squid

#make

#make install

2、进入/usr/local/squid目录。使用squid命令查看版本信息

#cd /usr/local/squid

#./sbin/squid –v

3、由于squid将配置为以非root身份运行。一般是Squid用户,如果系统在安装时选择了代理服务器。 一般是squid用户.如果系统在安装时选择了代理服务器,则会默认添加squid用户和用户组,如果系统中没有该用户和组,使用下面的命令既可同时添加squid用户和组,

#sueradd squid

安装完成.

实验四:配置squid实现正向和反向缓存代理

将使用最新安装的squid服务器,配置在局域 网中代理缓存其他客户端的www浏览请求,即正向缓相存代理,然后 启动本机的Apache服务器,并配置squed反向缓存局域网中对这个www服务器的访问请求,

1、上面步骤安装的squid服务器的配置文件在/usr/local/squid/etc/目录中,使用vi命令修改编辑squid.conf配置文件,

去掉cache_mem前的注释号,修改缓冲内存的大小,一般为主机内存的确1/3,这里设置为96M,

2、设置cache_dir。即缓存数据的保存目录。在此接受默认设置,

3、去掉cache_effective_user前面的注释号,并修改其值为squid用户。添加cache_dffetcive_group squid项,设置缓存数据的存取用户,

cache_effective_user squid

cache_effective_group squid

4、去除http_access配置项前面的注释号,改变其设置为“allow all”,即允许任意客户端访问;

改变/usr/local/squid目录的所有者为squid用户和组,以便squid用户能够对该目录进行打操作,

# chown –R squid.squid /usr/local/squid

5、使用squid –z 命令初如化缓存目录,

#./sbin/squid –z

6、启动squid后台服务进程。使用“-D”参数避免squid服务器进行ip地址到域名的反查,

#/usr/local/squid/sbin/squid –D

7、用PS查看squid启动进程信息。包括两个squid进程,一个unlinked进程

正向代理服务器启动完成,局域网中用户可以在浏览吕中设置代理服务器该服务器的地址,端口默认的3128。

8、验证完成后,使用squid命令关闭代理服务器,开始配置反向代理服务器,

#/usr/local/squid/sbin/squid –k shutdown

9、反向代理,须在系统中设置障碍Apache服务器,使用VI修改/etc/httpd/conf/httpd.conf文件,更改服务器在80端口监听http请求。以使squid能够在3128端口监听客户端的http请求。并为客户端提代理,要修改配置文件夹下面的项目:

listen 80

servername 192.168.0.6

存盘退出。然后用/etc/rc.d/init.d/apachectl脚本启动Apache服务器,并用ps查看。启动的进程。

#/etc/rc.d/init.d/apachect1 start

#ps –ax | grep httpd

10、使用vi命令修改/usr/local/squid/etc/squid.conf,把下面的选项更改为后面所列的值,并去掉配置项前面的注释号,

http_port 3128

#指定squid监听浏览器客户请求的端口号

icp_port 0

#指定squid从邻居(neighbour)服务器缓冲内发送和接收ICP请求的端口号,这里设置为0,是因为配置squid为内部WEB服务器的加速器,所以不需要使用邻居服务器的缓冲。

#emulate_httpd_log on

#使Squid仿照web服务器的格式创建访问记录。

Redirect_rewrites_host_header off

#因squid运行为加速器模式,不需要重定向特性,

httpd_accel_port 80

因为本机的WWW服务器在80端口监听,所以配置squid连接服务器的80端口来从Apache获取文件。

11、设置完毕后:存盘退出。然后启动squid代理。则开始为apache服务提供反向代理服务。

#/usr/local/squid/sbin/squid –D

12、局域网内,用户无需再去设置浏览器的代理选项,直接使用浏览器访问192.168.0.6的地址,浏览器会访问服务器的3128端口,即代理服务器监听的端口,然后,代理服务器接收客户端的请求,查找本地缓存中是否存在请求的数据,如果有,则直接向客户端返回,如果没有。则通过80端口向Apache服务器请求,对apache返回的数据首先保存中。然后客户端返回请求数据。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章