Rehl 4 多VLAN透明代理上網(wǎng)

ctgboy

我們公司有接近500臺(tái)機(jī)器上網(wǎng)，使用Rehl 4 ＋squid＋iptables透明代理上網(wǎng)，現(xiàn)將配置貼出，共同研究一下：
squid配置：

http_port 3128


cache_mem 512 M
cache_swap_low 75
cache_swap_high 95
maximum_object_size 1024 KB
cache_dir ufs /usr/local/squid/cache 60000 16 256
cache_access_log /var/squid/logs/access.log
cache_log /dev/null
cache_store_log none


acl net1 src 192.168.1.0/24
acl net2 src 192.168.2.0/24
acl net4 src 192.168.4.0/24
acl net5 src 192.168.5.0/24
acl net13 src 192.168.13.0/24
acl net16 src 192.168.16.0/24




# And finally deny all other access to this proxy
http_access allow localhost
http_access allow net1
http_access allow net2
http_access allow net4
http_access allow net5
http_access allow net13
http_access allow net16
http_access deny all

visible_hostname proxy

httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on


#acl acl_type_deny urlpath_regex -i \.rm$
#acl acl_type_deny urlpath_regex -i \.mp3$
#acl acl_type_deny urlpath_regex -i \.wma$
#acl acl_type_deny urlpath_regex -i \.asf$
#acl acl_type_deny urlpath_regex -i \.avi$
#acl acl_type_deny urlpath_regex -i \.ram$
#acl acl_type_deny urlpath_regex -i \.mpeg$
#acl acl_type_deny urlpath_regex -i \.torrent$

#禁止下載以上類型文件

IPtables配置：

# /etc/sysconfig/iptables 文件
IPtables配置：
# /etc/sysconfig/iptables 文件
#
#======================= 開始 =======================

#
# mangle 段
*mangle
REROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
#


#
# nat 段
*nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
# 為使用 SQUID 作“透明代理”而設(shè)定！

#開放DNS
#[0:0] -A FORWARD -p udp --dport 53 -j ACCEPT
#允許TELNET
#[0:0] -A INPUT -i eth0 -s 192.168.16.254 -d 192.168.2.253 -p tcp --dport 23 -j ACCEPT

# 沒有指定 網(wǎng)卡、地址：
#[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

# 指定 網(wǎng)卡、地址：
[0:0] -A PREROUTING -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

[0:0] -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth0 -j SNAT --to 211.57.143.190
[0:0] -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/255.255.0.0 --sport 443 -j REDIRECT --to-port 3128

# 將 對(duì)于 80、443 端口的訪問 重定向到 3128 端口。
#

# 這些機(jī)器可以走這個(gè)機(jī)器做網(wǎng)關(guān)上 Internet 網(wǎng)。
# 需要在 /etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1
# 或者 echo 1 > /proc/sys/net/ipv4/ip_forward
# 由于利用 SQUID 實(shí)現(xiàn)了“透明代理”，Masq 取消相應(yīng)的客戶地址。

# 若你的 公網(wǎng)的 IP 地址是固定的，使用這個(gè)語(yǔ)句似乎更好些：
＃[0:0] -A POSTROUTING -s 192.168.0.0/255.255.0.0 -j SNAT --to 211.57.143.190
COMMIT
#

#
# filter 段
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#
#
# 防止IP欺騙：
# 所謂的IP欺騙就是指在IP包中存在著不可能的IP源地址或目標(biāo)地址。
# eth1是一個(gè)與外部Internet相連，而192.168.0.0則是內(nèi)部網(wǎng)的網(wǎng)絡(luò)號(hào)，
# 也就是說(shuō)，如果有一個(gè)包從eth1進(jìn)入主機(jī)，而說(shuō)自己的源地址是屬于
# 192.168.0.0網(wǎng)絡(luò)，或者說(shuō)它的目標(biāo)地址是屬于這個(gè)網(wǎng)絡(luò)的，那么這顯
# 然是一種IP欺騙，所以我們使用DROP將這個(gè)包丟棄。
#[0:0] -A INPUT -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP
#[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP
#
# 同樣的，如果有包要通過eth1向Internet，而且它的源地址或目標(biāo)地址是屬于
# 網(wǎng)絡(luò)192.168.0.0，那么顯然也是不可能的。我們?nèi)匀皇褂肈ROP將它丟棄。
[0:0] -A OUTPUT -d 192.168.0.0/255.255.0.0 -o eth1 -j DROP
[0:0] -A OUTPUT -s 192.168.0.0/255.255.0.0 -o eth1 -j DROP
#

# 防止廣播包從IP代理服務(wù)器進(jìn)入局域網(wǎng)：
[0:0] -A INPUT -s 255.255.255.255 -i eth0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
[0:0] -A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 當(dāng)包的源地址是255.255.255.255或目標(biāo)地址是0.0.0.0，則說(shuō)明它是一個(gè)
# 廣播包，當(dāng)廣播包想進(jìn)入eth0時(shí)，我們就應(yīng)該DENY，丟棄它。而240.0.0.0/3
# 則是國(guó)際標(biāo)準(zhǔn)的多目廣播地址，當(dāng)有一個(gè)源地址是屬于多目廣播地址的包，
# 我們將用DROP策略，丟棄它。

#
# 屏蔽 windows xp 的 5000 端口（這個(gè)端口是莫名其妙的 �。�
[0:0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP
[0:0] -A INPUT -p udp -m udp --sport 5000 -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP
[0:0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP
#
# 防止 Internet 網(wǎng)的用戶訪問 SAMBA 服務(wù)器：
[0:0] -A INPUT -s 211.57.143.177 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -s 211.57.143.177 -i eth1 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT -s 211.57.3.177/255.255.255.240 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -s 211.57.143.177/255.255.255.240 -i eth1 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 137:139 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 137:139 -j DROP
#
# 允許本地網(wǎng)的用戶訪問 SAMBA 服務(wù)器：
[0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT

#
# 對(duì)于本局域網(wǎng)用戶不拒絕訪問：
[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p udp -j ACCEPT
#

#
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
#


[0:0] -A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#

# 防止 Internet 用戶訪問 SQUID 的 3128 端口：
[0:0] -A INPUT -s 211.57.143.177 -i eth1 -p tcp -m tcp --dport 3128 -j DROP
[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT

[0:0] -A INPUT -s 211.57.143.177/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 3128 -j DROP
#

# 讓人家 ping 不通我 ！
[0:0] -A INPUT -i eth1 -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A INPUT -i eth1 -s 211.57.143.177/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP
#

COMMIT
# ======================= 結(jié)束 =======================# ======================= 結(jié)束 =======================

[ 本帖最后由 ctgboy 于 2006-6-17 14:53 編輯 ]

kaka_sun

好貼,頂

redaug

好東西啊 收藏拉 .樓主辛苦了.