設定操作順暢的代理

使用代理伺服器的一般方法如下︰網頁瀏覽器將要求傳送至代理伺服器的某個連接埠,然後代理伺服器會提供這些所需物件 (無論它們是否在快取記憶體中)。使用網路工作時,可能會發生數種狀況:

在所有上述情況下,都可使用透明代理。原則很簡單︰代理會攔截和回應網頁瀏覽器的要求,因此網頁瀏覽器不必知道頁面的來源,即可收到要求的頁面。如名稱所示,整個程序會流暢地執行。

在 /etc/squid/squid.conf 中的組態選項

/etc/squid/squid.conf 檔案中啟動選項,以啟動和執行操作順暢的 Proxy:

  • httpd_accel_host virtual

  • httpd_accel_port 80

    實際 HTTP 伺服器所在的埠號碼

  • httpd_accel_with_proxy on

  • httpd_accel_uses_host_header on

使用 SuSEfirewall2 的防火牆組態

現在,請使用連接埠轉遞規則,透過防火牆將所有的內送要求重新導向至 Squid 埠。若要這麼做,請使用 第 43.4.1 節「以 YaST 設定防火牆」 中說明的隨附工具 SuSEfirewall2。其組態檔位於 /etc/sysconfig/SuSEfirewall2。組態檔由詳細記錄的項目所組成。若要設定操作順暢的代理,您必須設定數個防火牆選項:

  • 指向網際網路的設備︰FW_DEV_EXT="eth1"

  • 指向網路的設備︰FW_DEV_INT="eth0"

在防火牆上,定義供不受信任的 (外部) 網路 (如網際網路) 存取的連接埠與服務 (請參閱 /etc/services)。在此範例中,僅提供對外的 Web 服務:

FW_SERVICES_EXT_TCP="www"

在從安全 (內部) 網路存取的防火牆上,定義埠或服務 (請參閱 /etc/services),兩者都是透過 TCP 與 UDP 服務:

FW_SERVICES_INT_TCP="domain www 3128"
FW_SERVICES_INT_UDP="domain"

如此可允許存取 Web 服務與 Squid (預設埠為 3128)。「domain」 服務代表 DNS (網域名稱服務)。這個服務使用非常普遍。否則,請直接將它從上述項目移除,並將下列選項設為 no

FW_SERVICE_DNS="yes"

最重要的選項是選項數字 15

範例 41.1. 防火牆組態︰選項 15

# 15.)
# Which accesses to services should be redirected to a local port
# on the firewall machine?
#
# This can be used to force all internal users to surf via your
# Squid proxy, or transparently redirect incoming Web traffic to
# a secure Web server.
#
# Choice: leave empty or use the following explained syntax of
# redirecting rules, separated with spaces.
# A redirecting rule consists of 1) source IP/net,
# 2) destination IP/net, 3) original destination port and
# 4) local port to redirect the traffic to, separated by a colon,
# e.g. "10.0.0.0/8,0/0,80,3128 0/0,172.20.1.1,80,8080"

上方的註解顯示要遵照的語法。首先,輸入存取代理防火牆之內部網路的 IP 位址與網路遮罩。其次,輸入這些用戶端的要求傳送到的 IP 位址與網路遮罩。如果是網頁瀏覽器,請將網路指定為 0/0,萬用字元表示「可到任何位置」。完成後,輸入這些要求傳送到的原始目的埠,最後,輸入重新導向所有這些要求的目的埠。由於 Squid 支援 HTTP 以外的通訊協定,請將要求從其他連接埠重新導向到代理,例如 FTP (埠 21)、HTTPS、或 SSL (埠 443)。在此範例中,Web 服務 (埠 80) 會重新導向至代理埠 (埠 3128)。如果需要新增更多的網路或服務,必須在各個項目中以空格隔開。

FW_REDIRECT="192.168.0.0/16,0/0,tcp,80,3128 192.168.0.0/16,0/0,tcp,21,3128"
FW_REDIRECT="192.168.0.0/16,0/0,udp,80,3128 192.168.0.0/16,0/0,udp,21,3128"

若要啟動防火牆並使用它所包含的新組態,請在 /etc/sysconfig/SuSEfirewall2 檔案中變更項目。START_FW 項目必須設為 "yes"

啟動 Squid,如第 41.3 節「啟動 Squid」 所示。若要檢查每個項目是否能正常運作,請檢查在 /var/log/squid/access.log 中的 Squid 記錄。 若要驗證是否已正確設定所有的連接埠,請從網路外部的任何電腦對機器執行連接埠掃描。只應開啟 Web 服務 (埠 80)。若要以 nmap 掃描連接埠,指令語法為 nmap -O IP_address