基于Linux2.4內核的透明代理配置方案

環境：
　　服務器： SuSE Linux 8.2 + ADSL
　　客戶端： Windows2000
　　局域網： 用8口10-100M集線器連接SuSE(192.168.1.3), Windows(192.168.1.5), ADSL(192.168.1.1)
　　
　　使用squid+iptables，大部分經驗從www.linuxaid.com得到，只是在這里總結一下。
　　
　　關于iptables的詳細說明，請看：
　　IPTABLES HOWTO
　　http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html
　　
　　關于iptables配置工具，請看：
　　knetfilter：
　　http://expansa.sns.it/knetfilter
　　g-Shield：
　　http://muse.linuxmafia.org/gshield.html
　　
　　關于squid優化，請看：
　　squid優化完全手冊1：
　　http://www.linuxaid.com.cn/articles/2/8/289179080.shtml
　　squid優化完全手冊2：
　　http://www.linuxaid.com.cn/articles/5/4/546967373.shtml
　　
　　關于iptables防火墻的配置，請看：
　　用iptales實現包過慮型防火墻(一)：
　　http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables1.htm
　　用iptales實現包過慮型防火墻(二)：
　　http://www.linuxaid.com.cn/engineer/bye2000/doc/iptables2.htm
　　
　　好，下面開始配置。
　　
　　先解釋為什么要配置透明代理。
　　其實只配置squid就可以實現代理功能，但是對于客戶端，就必須在瀏覽器中設置proxy server，對于其他的工具，比如FlashGet, CuteFTP等等，也必須一一設置，這一點非常麻煩。但是如果設置了透明代理，那么在客戶端只需要在網絡配置中設置一個網關就可以了，其他的任何程序都不用另行設置。這是設置透明代理最大的誘惑，當然這只是對我而言，其實iptables有更強大的防火墻功能，這才是它最大的用處。但是，此次配置不涉及防火墻，如果有興趣的請看上貼的iptables howto。
　　
　　1。假設我們的linux內已經將防火墻支持選項編譯進去，這一點可以進入kernel source目錄，用make menuconfig確認。
　　
　　2。安裝squid，一般對于各個Linux發行版，完全安裝的話應該已經安裝過了，當然也可以從以下網址下載安裝：
　　http://www.squid-cache.org/
　　
　　3。無論是重新安裝的還是系統中原來就有的，因為對于各個發行版可能squid的配置文件所在的位置各不相同，用find命令確認squid.conf文件的確切位置。如果是rpm安裝，也可以用rpm命令來確認：rpm -ql [squidrpmname.rpm] | grep squid.conf
　　
　　4。編輯squid.conf文件，確保以下內容存在：
　　httpd_accel_host virtual
　　httpd_accel_port 80
　　httpd_accel_with_proxy on
　　httpd_accel_uses_host_header on
　　cache_effective_user nobody
　　cache_effective_group nobody
　　http_access allow all
　　cache_dir ufs /usr/local/squid/cache 100 16 256
　　注：最后一句為cache目錄，需要在下面創建，可以改為你本機squid的所在目錄。倒數第二句，表示我們允許所有的請求，這是很不安全的，可以自己創建一個組，然后allow這個組，并且deny all，具體的設置仔細看一下squid.conf就可以了，有很詳細的解釋和例子
　　
　　5。創建cache目錄（如果沒有的話），修改該目錄所有者為nobody
　　chown nobody:nobody /pathname/cache
　　
　　6。查看配置文件中默認的log目錄，將那個目錄的所有者修改為nobody，以確保log可以寫入
　　
　　7。創建cache： squid -z
　　
　　8。啟動squid： squid -D
　　squid的站點維護了一份很詳細的FAQ，基本上你需要問的問題都有答案，比如你可以先用squid -NCd1來以debug模式啟動，這樣如果有錯誤會報出來，一般如果是ADSL撥號的，那么在沒有撥號之前就啟動squid的話是會出錯的(FATAL: ipcache_init: DNS name lookup tests failed)，因為squid啟動時會去檢查一些常用的DNS，但是這時候你并沒有接入internet，自然就出錯了，所以我們需要在啟動的時候不檢查DNS，這就需要用加上-D選項來啟動squid
　　
　　9。啟動成功之后，我們就可以去客戶端的瀏覽器里面設置proxy來測試一下了，如果可以接入internet，那么squid就算設置成功了
　　
　　10。還有一個后續工作，就是確認squid是不是開機就自動啟動了，一般在/etc/init.d中已經有了squid腳本，我們需要做的就是將它ln到適當的rc.d目錄中，比如我默認是runlevel5啟動的，那么我執行:
　　ln -s /etc/init.d/squid /etc/init.d/rc5.d/S99squid
　　ln -s /etc/init.d/squid /etc/init.d/rc5.d/K01squid
　　這是在SuSE下面，如果是RedHat，那么rc.d目錄是在/etc下面，而不是在/etc/init.d下面。
　　
　　OK，squid設置結束了，下面我們開始配置iptables
　　可以用前面所提到的配置工具，但是我沒有試過，所以是直接用iptables命令來做的。
　　可以man iptables來查看幫助
　　
　　我們把iptables的設置命令存在一個腳本文件中，假設腳本文件名為firewall，然后將此文件存放在/etc/init.d中，并且在啟動文件中運行此腳本。以下為操作步驟
　　
　　1。touch /etc/init.d
　　
　　2。vi /etc/init.d
　　加入以下內容：
　　#!/bin/sh
　　echo Enabling IP Forwarding...
　　echo 1 > /proc/sys/net/ipv4/ip_forward
　　echo Starting iptables rules...
　　#Refresh all chains
　　/sbin/iptables -F -t nat
　　iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp
　　--dport 80 -j REDIRECT --to-ports 3128
　　
　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o
　　ppp0 -j MASQUERADE
　　
　　對于以上命令的解釋如下：
　　/proc/sys/net/ipv4/ip_forward必須設置為1（默認是0）才可以使用路由功能。
　　/sbin/iptables -F -t nat將nat table中的所有現存規則清空。
　　eth0：為Linux機器中的網卡。
　　3128：為squid中默認的監聽端口。
　　ppp0：為linux中的ADSL設備（在SuSE中為ppp0，在redhat中可能是dsl0）。
　　MASQUERADE：適用于撥號上網的服務器，因為沒有靜態IP地址，對于有靜態IP的服務器，可以用SNAT --to-source ipadress來替代。
　　
　　注：以上的命令沒有涉及防火墻，請自行參考配置，以上命令也沒有刪除filter table中的規則，也就是如果以前設置過防火墻，那么不會受到影響。
　　
　　3。chmod u+x firewall，更改文件屬性，使其可以被執行
　　
　　4。編輯/etc/init.d/boot.local文件，在最后加上/etc/init.d/firewall這一句，確保開機就執行此腳本。
　　注：SuSE中是boot.local，對于redhat，則需要編輯/etc/rc.d/rc.local文件。
　　
　　5。運行firewall，規則立刻生效。
　　
　　到此為止，所有配置結束。