使用代理伺服器的一般方法如下︰網頁瀏覽器將要求傳送至代理伺服器的某個連接埠,然後代理伺服器會提供這些所需物件 (無論它們是否在快取記憶體中)。使用網路工作時,可能會發生數種狀況:
基於安全理由,建議所有的用戶端都使用代理瀏覽網際網路。
所有的用戶端都必須使用代理,不論它們是否注意到它。
雖然代理在網路上是變動的,但現有的用戶端應該保留其舊有的組態。
在所有上述情況下,都可使用透明代理。原則很簡單︰代理會攔截和回應網頁瀏覽器的要求,因此網頁瀏覽器不必知道頁面的來源,即可收到要求的頁面。如名稱所示,整個程序會流暢地執行。
在 /etc/squid/squid.conf
檔案中啟動選項,以啟動和執行操作順暢的 Proxy:
httpd_accel_host
virtual
httpd_accel_port
80
實際 HTTP 伺服器所在的埠號碼
httpd_accel_with_proxy
on
httpd_accel_uses_host_header
on
現在,請使用連接埠轉遞規則,透過防火牆將所有的內送要求重新導向至 Squid 埠。若要這麼做,請使用 第 43.4.1 節「以 YaST 設定防火牆」 中說明的隨附工具 SuSEfirewall2。其組態檔位於 /etc/sysconfig/SuSEfirewall2
。組態檔由詳細記錄的項目所組成。若要設定操作順暢的代理,您必須設定數個防火牆選項:
指向網際網路的設備︰FW_DEV_EXT
="eth1"
指向網路的設備︰FW_DEV_INT
="eth0"
在防火牆上,定義供不受信任的 (外部) 網路 (如網際網路) 存取的連接埠與服務 (請參閱 /etc/services
)。在此範例中,僅提供對外的 Web 服務:
FW_SERVICES_EXT_TCP="www"
在從安全 (內部) 網路存取的防火牆上,定義埠或服務 (請參閱 /etc/services
),兩者都是透過 TCP 與 UDP 服務:
FW_SERVICES_INT_TCP="domain www 3128" FW_SERVICES_INT_UDP="domain"
如此可允許存取 Web 服務與 Squid (預設埠為 3128
)。「domain」 服務代表 DNS (網域名稱服務)。這個服務使用非常普遍。否則,請直接將它從上述項目移除,並將下列選項設為 no
:
FW_SERVICE_DNS="yes"
最重要的選項是選項數字 15
:
範例 41.1. 防火牆組態︰選項 15
# 15.) # Which accesses to services should be redirected to a local port # on the firewall machine? # # This can be used to force all internal users to surf via your # Squid proxy, or transparently redirect incoming Web traffic to # a secure Web server. # # Choice: leave empty or use the following explained syntax of # redirecting rules, separated with spaces. # A redirecting rule consists of 1) source IP/net, # 2) destination IP/net, 3) original destination port and # 4) local port to redirect the traffic to, separated by a colon, # e.g. "10.0.0.0/8,0/0,80,3128 0/0,172.20.1.1,80,8080"
上方的註解顯示要遵照的語法。首先,輸入存取代理防火牆之內部網路的 IP 位址與網路遮罩。其次,輸入這些用戶端的要求傳送到的 IP 位址與網路遮罩。如果是網頁瀏覽器,請將網路指定為 0/0
,萬用字元表示「可到任何位置」。完成後,輸入這些要求傳送到的原始目的埠,最後,輸入重新導向所有這些要求的目的埠。由於 Squid 支援 HTTP 以外的通訊協定,請將要求從其他連接埠重新導向到代理,例如 FTP (埠 21)、HTTPS、或 SSL (埠 443)。在此範例中,Web 服務 (埠 80
) 會重新導向至代理埠 (埠 3128
)。如果需要新增更多的網路或服務,必須在各個項目中以空格隔開。
FW_REDIRECT="192.168.0.0/16,0/0,tcp,80,3128 192.168.0.0/16,0/0,tcp,21,3128" FW_REDIRECT="192.168.0.0/16,0/0,udp,80,3128 192.168.0.0/16,0/0,udp,21,3128"
若要啟動防火牆並使用它所包含的新組態,請在 /etc/sysconfig/SuSEfirewall2
檔案中變更項目。START_FW
項目必須設為 "yes"
。
啟動 Squid,如第 41.3 節「啟動 Squid」 所示。若要檢查每個項目是否能正常運作,請檢查在 /var/log/squid/access.log
中的 Squid 記錄。 若要驗證是否已正確設定所有的連接埠,請從網路外部的任何電腦對機器執行連接埠掃描。只應開啟 Web 服務 (埠 80)。若要以 nmap 掃描連接埠,指令語法為 nmap -O IP_address
。