配置防火墙透明代理

配置防火墙透明代理

应用场景

代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率（速度会随着代理服务器地理位置的不同以及网络传输情况而改变），而且国外的网络大部分都是没有限制访问网站或者所限制的不同，所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站

对于服务提供商来说：

● 大部分代理服务器都具有缓冲的功能。它有一个很大的Cache（一个很大的硬盘缓冲区），不断地将新取得的数据保存在Cache中。如果浏览器所请求的数据在其缓冲区中已经存在而且是最新的，那么它就不会重新到Web服务器取数据，而直接将缓冲区中的数据传送给浏览器，从而显著地提高浏览速度；

● 代理服务器能够提供安全功能。它连接Internet与Intranet，有防火墙功能。由于内部网与外部网之间没有其它的直接连接，所有的通信都必须通过代理服务器，因此外界不能直接访问到内部网，使得内部网的安全性得到提高。同时也可以设置IP地址过滤，来限制内部网对外部的访问权限。

● 可以节省IP开销。由于所有用户对外只占用一个有效的IP，所以不必租用过多的有效IP地址，降低网络的维护成本。由于目的服务器只能查出所使用的代理服务器的IP，所以对防止网络黑客还有一个不言而喻的好处，那就是通过这种方法隐藏自己的真实IP地址。

对于个人来说：

代理服务器的最大的好处是可以通过代理来访问本身不能访问到的地方。例如169的GUEST用户。他们使用公用的账号上网，只能访问当地信息港。有了代理服务器，就可以任意出国！电子信箱、主页空间、ICQ、FTP、各种信息资源……统统敞开着。不过，如果你有自己的账户则不再需要代理服务器了，你可以自由出国。当然，如果你想隐藏自己的真实IP 地址，也可使用代理服务器。

代理服务器怎样工作方式：

实现代理服务器有三种方式：一是在应用层实现，相当于应用网关，如web代理服务器和Socks代理服务器；二是在IP层或更低层实现，通过对数据包的转发来完成代理功能；三是通过更改系统调用的方式实现，如微软的Winsock代理服务器，在自己的计算机上安装代理程序，程序将自动地修改系统调用。由于Web代理服务器是目前使用得最普遍的代理服务器，因此下面主要针对Web代理服务器来说明代理服务器的实现原理。

Web 代理服务器一般由过滤器和应用程序两部分组成。过滤器判断收到的HTTP请求是代理格式还是标准格式，如果是标准格式，则交由本地WWW服务器处理；如果是代理格式，则交由代理应用程序处理。代理应用程序首先在代理缓存区内查找，如果数据存在且有效，则从缓存区中取出数据；如果不存在，则连接至远程目标服务器，并获得数据。不论代理服务器从缓存区中还是从Internet远程服务器中获取数据，它都按照HTTP协议使用80号端口将信息返回给请求者。

因此本实验将介绍如何使用squid软件配合linux中的iptables防火墙来进行透明代理设置。

实验目标 1. 了解linux 下基本的iptables 知识 2. 学会配置iptables

实验环境 虚拟机：Windows XP ，Windows2003，linux ；用户名：root ；密码：root 实验过程指导

1. 在Windows2003上安装IIS ，使用IIS 建立WEB 服务器，并开启服务，具体如下图所示：

2. 在WEB 服务器上建立一个简易网站以供测试使用，如图所示：

3. 配置linux 主机的IP 地址：

IP:192.168.1.200 IP:192.168.1.100 VM

IP:172.16.5.245

Linux Proxy Server IP:172.16.5.250

VM WEB Server

4.在linux主机上修改squid.conf文件内容:

其中：

http_port:---配置端口，visible_hostname ip(或主机域名），cache_dir --配置cache存放目录等；

httpd_accel等命令为实现透明代理的主要配置。

5.使用如下命令初始化squid文件目录：

6.使用如下命令开启squid服务：

由于该服务还没有开启，所以服务restart的时候会出现FAILED提示。

7.开启linux主机的数据包转发功能：

8.配置linux主机的iptables规则，使其客户端请求的WEB端口重定向到linux主机的3128

端口上，以实现透明代理：

9.将配置的防火墙规则保存并重新启动防火墙服务：

10.在windows主机客户端配置ip地址并访问WEB服务器进行验证测试：

从图中可以看到，在客户端不进行任何配置的情况下可以通过代理访问WEB服务器，配置的LINUX透明代理服务器实现其功能。

实验环境

1)如何制定防火墙规则，只允许内网部分网段主机通过代理服务访问网络中的WEB

服务器。

2)如何使用squid软件实现网络中的二级代理

3)使用透明代理的场合是什么