Linux防火墙上的Apache反向代理

一、测试环境与网络结构 mk`?"!Q  
U.+2^?]  
本文所使用的测试环境是Redhat Linux 7.2、Apache 1.3.24，公司域名假设是company.com。公司的典型网络构造如附图所示。 "i/s,G>  
A3M ~WFM  
pfYNx9:k;  
*TLsmGGQf  
注意: 附图中的防火墙上安装了2块网卡，其中e0端口的外部公共地址为1.2.3.4，e1端口对应内部保留地址为192.168.2.1。局域网内部有3台Web服务器A、B和C，它们对应的域名分别为weba.company.com、webb.company.com和webc.company.com，均使用内部保留地址。 by!C-bhdA  
^iqmfs  
二、操作步骤 u2q7ZUA  
}P&y{
3k  
如附图所示，此公司通过专线连入互联网，安装了防火墙，局域网内部有3台Web服务器，均只有内部保留地址，但是希望他们能够提供对外的Web服务。 i\j Ai^T  
d-tTX?us  
1．设置DNS @AWaL ~s:  
Py8M#?sT  
在防火墙(同时也是公司的DNS服务器)上设置内部3台Web服务器的DNS，IP地址均为1.2.3.4。这样，在Internet上解析weba.company.com、webb.company.com 和webc.company.com时，均指向同一IP地址即防火墙的外部接口地址1.2.3.4。 e
~Nm '  
6&5%4?.1ea  
2．下载Apache
0wb6/  
.UTn+dT'  
从Apache网站(http://www.apache.org)下载目前最新的版本apache 1.3.24到/root目录，下载地址为http://www.apache.org/dist/httpd/apache_1.3.24.tar.gz。 v~v#?:  
uzHcxfqf  
3. 更改源代码使最大允许的请求连接数超过256 /N=p)A~"%  
9_A^ 6  
由于Apache默认允许的最多连接数为256，而在一个繁忙的网站上这一连接数量也许不能满足需要，特别是本文介绍的通过防火墙上的Apache反向代理允许外部用户访问多个内部Web服务器的情况，可以采用更改src/include/httpd.h文件的方法，具体步骤如下。 ^%^294  
2q- P <J  
#cd/root 切换目录到/root下 ;UcRZ  
5?735@ME  
#tar xvfz apache_1.3.24.tar.gz 解开apache源文件到/root下 kTq@4L9
w  
92H|-O  
#cd apache_1.3.24 进入apache_1.3.24目录 xAK4%7($S  
{SV"tz  
#vi src/include/httpd.h 用vi编辑httpd.h文件 i."Bx  
,-5B-bI;
 
在输入“vi src/include/httpd.h”命令后，继续输入“/256”并按“回车”键搜索数字256，将其改为1024后保存并退出即可。 <kJ _  
QL7#L,  
注意事项: $_; ,8MjQ  
cIo[VXSNK  
①要支持最多为1024个客户的同时请求，不仅需要更改上面提到的源文件，在编译安装后还需要设置/usr/local/apache/conf/httpd.conf文件，将其中的“MaxClients”一行后面的参数更改为“1024”。 q~f[] ]N  
$$<['  
②如果您仅仅为了进行测试，或者不会有很多人使用，可以不修改httpd.h文件。 %5I>k#~-],  
C!
#7H=On  
4. 编译Apache |6[^  
9zh_@,
T  
编译代码如代码1所示。 d{_0>&:  
;Z]2 kCk5  
代码1 9G* t|vS  
)l5G>NNa<  
#cd apache_1.3.24 y8T,(MO89  
-j-"g.6Ou  
#./configure --prefix=/usr/local/apache , &9-4  
yxD&6p  
--enable-module=most 3)boiZ6
 
2Na@eK0?>B  
--enable-shared=max MqA*gCB  
4&'}  
--enable-module=proxy z[*\!2$_  
W:$&mV%}H  
--enable-shared=proxy XWV$4cX'  
|u zC'b  
--enable-module=rewrite w+e xPMRgT  
4J 0ZH$?  
--enable-shared=rewrite 设置安装默认目录 (q*.*|y  
:I mxs~  
编译大多数模块 yhkZMOr  
Z[MDEeyh|  
设置模块为DSO(动态共享对象)模式 %!=![~iH  
`Rv=$?  
启动代理模块 5AGPL|/g  
O]b%/c=h  
安装代理模块为DSO模式 vA~Q4@  
rU]YW.pC(^  
启动重写功能模块 |KIU   
s+:E*]Rj  
安装重写功能模块为DSO模式　 F*N O8u  
FhP:_&(v~  
注意: 在编译Apache的时候，必须编译大多数模块，并将它们设置为DSO模式，同时启动proxy和rewrite模块，同时也将其设置为DSO模式。 (oM9b n/  
!}G1 JvF2q  
#make i[_De~W  
:](^ H+0A  
#make install
wNI,gd  
/K$z&E8  
将安装所有Apache所需文件到/usr/local/apache目录下。 [{T@O@  
^z8 ZQz/{  
5．在httpd.conf文件中设置基于域名的虚拟主机 {Rw&9}@p 4  
t f(/V  
在/usr/local/apache目录找到httpd.conf文件，并将下面的内容添加至此文件后。 H]>&7B%Yz2  
0ALj|`[[  
NameVirtualHost 1.2.3.4:80 3dGd{\  
nAu>, $<  
< VirtualHost 1.2.3.4:80 > 8)]`fL   
eIiaI  
ServerAdmin root@company.com T\F- 2t"S  
681EP_ f  
DocumentRoot /usr/local/apache/htdocs __hf'dyP  
63P4L8TJ  
ServerName default.company.com Y
qDg%*  
nAjMw3/3p  
ErrorLog /usr/local/apache_http/logs/error_log XQ72i c[uu  
905$i@3.D  
CustomLog /usr/local/apache_http/logs/access_log combined }Qg2a{&Jr  
UseCanonicalName Off H+\YD\hG2  
%/i7sG,  
ProxyRequests Off X8_' b{  
0C'\+gu  
RewriteEngine on 5uJ0-5 =  
5B  yYy  
RewriteCond %{HTTP_HOST}.*/.company/.com$ o"^Y %xPv  
(RyJbB_  
RewriteRule ^/(.*)$ http://%{HTTP_HOST}/$1 [P，L] 6jEY)  
,=bhrt;  
< /VirtualHost > ]%#m@~+H(  
?q1JI:cP  
注意事项: bQ_\P
4Zn  
@srCD{2|"  
i\mH~r!  
①上面设置了基于域名的反向代理虚拟主机，这样当您从外部访问IP地址为1.2.3.4的主机，且URL地址后面部分的域名为“company.com”，Apache就可以把用户的请求转发到局域网内部的Web服务器上，并重写响应数据包去掉代理协议部分。 B@ s{Iif  
A#}T8ZQI&  
②“ServerName”一行可以任意指定。 ##QT+t9'  

GV|dQL  
③“ProxyRequest Off”一行用来禁止Apache在IP地址为1.2.3.4的主机和端口80上进行代理服务，在这里Apache作为一个透明的代理服务器来使用。 N-EeR'F  
&#+>>q+^V  
④“RewriteEngine on”一行用来启动Apache修改响应数据包的功能，否则下面的“RewriteCond”和“RewriteRule”将不起作用。 f<U
\GG,  
A6G,~n xa  
6．添加记录进入/etc/hosts文件 oRkY}QM#}  
/CBVg8$M  
在上面的虚拟主机重写规则中，重写后的URL与您所请求的URL是一样的，我们的设想是将下面3个域名放到防火墙的/etc/hosts文件中，这样Apache将从内部3台Web服务器获得内容，并返回给外部用户，域名对应记录如下。 b b,R)U  
 !z|arc  
192.168.2.2 weba.company.com =-w7K~OeyC  
5UM_?|?@Z  
192.168.2.3 webb.company.com h^\Ex>Nzm  
NZ -l 3  
192.168.2.4 webc.company.com [RP"A:V  
Fegj | SH;  
三、总结 CB'mIbRn_  
sIjH.:n1  
这样，当外部用户访问http://weba.company.com时，请求被送到防火墙的Apache上，而防火墙上的Apache反向代理将根据/etc/hosts文件中定义的记录直接从IP地址为192.168.2.2的Web服务器获取内容并返回给外部用户，从而完成内部Web服务器weba.company.com对外提供访问的功能。 H/1A{}2)  
UC..CG}%5  
在对Apache配置完毕后，如果还需要增加更多的内部Web服务器来提供外部访问服务，只需设置其DNS服务器的IP地址为1.2.3.4，并在/etc/hosts文件中增加相应记录即可。