1、CentOS6.6 系统的二级(三级)透明代理配置在本人的教学工作中,需要介绍代理服务器的实用技能,现针对 squid 二级透明代理的配置,作一详细介绍:1、 网络环境:二级代理和三级代理的配置原理是一样的,我的下图是针对三级代理来配置的。电脑上可以用 CentOS 系统,并创建一个 KVM 虚拟机,完成三级代理的练习。第二级代理已经建好,并指向第一级代理。2、安装 squid在已经建立本地 yum 源的前提下,安装 squid 十分简单:# yum -y install squid 开启服务:# service squid start# chkconfig squid on3、Squid 配
2、置:如果是普通的一级代理服务器,只要4句话即可实现 squip 代理服务器:http_access allow allhttp_port 8080 (这里的8080是侦听端口号)cache_mem 256 MBcache_dir ufs /var/spool/squid 1024 16 256如果一级代理是透明代理,上述配置文件有所不同。对于二级代理服务器,应该配置成透明代理才实用,因为浏览器等不能设置两个串联的代理服务器,所以我们应该把第二级代理设置成透明代理。需要注意的是二级透明代理和一级透明代理是完全不同的,用法也不同。本文只涉及二级(或三级)透明代理。可以重写 squid.conf 文
3、件的所有内容,写入以下 4 句内容:cache_peer parent 8080 0 no-query defaulthttp_access allow allnever_direct allow all http_port 3128 transparent (3128 是二级透明代理的侦听端口)注意以上格式和数字的含义。4、防火墙设置:首先开启代理服务器的侦听端口,譬如:3128# iptables -I INPUT 5 -m state -state NEW -m tcp -p tcp -dport 3128 -j ACCEPT建议再打开一些端口:DHCP server 的端口号是 67
4、DNS 的端口号是 53将到达目标 80 端口的请求都重定向到 squid 的 8080 端口iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i eth0 -p tcp -m tcp -dport 80 -j REDIRECT -to-port 8080设定内网地址替换成上联网卡地址(地址伪装):iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth1 -j MASQUERADE 注意网卡接口和几个端口号的关系:eth0 是面向内网接口 (下级接口)eth1 是面向外网接口 (上级接口)80 端口是 http
5、 默认端口8080 端口这里是上一级 squid 代理服务器的侦听端口(默认是 3128,已更改)3128 是二级透明代理服务器的侦听端口(默认就是 3128)如果还有第三级透明代理,可以另外指定,但避免端口重复造成理解和配置的混乱。5、打开 “转发”功能。让数据包能在不同的网卡间“流动” 。需要打开转发规则:echo 1 /proc/sys/net/ipv4/ip_forward (临时有效)如果需要永久生效,则用 vi /etc/sysctl.conf 修改文件,修改 /etc/sysctl.conf 文件使之永久生效:net.ipv4.ip_forward=1# sysctl -p (立即生效)6、在浏览器上进行测试在浏览器上可以配置代理,只要使用二级代理就可以了。这里的 10.9.17.96 就是二级透明代理。实际上它将转发数据到一级代理服务器,端口号是8080。再由一级代理发往外部网络。试试看,可以上网了。
