找回密码
 注册
返回列表 发新帖
查看: 590|回复: 7

关于透明代理和Squid的一点疑惑请教大伙!

[复制链接]
neeman
发表于 2003-5-26 15:15:19 | 显示全部楼层 |阅读模式
最近在RH7.2上用Ipchains做了一个透明代理,同时也开放了Squid,但是最后我发现好象ipchains和SQUID似乎并无什么关系,因为做透明代理之后,内部地址直接通过LINUX的外部地址就出去了,而没有通过squid,此外squid的各种日志文件中也根本没有这些记录。

不知道事实是不是这样的?我的理解是否正确。
但是我现在需要查询使用LINUX透明代理的内部IP的使用情况,这应该如何查询呢?

这是ipchains的配置:
-A input -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 80 -i eth0 -j REDIRECT 3128
-A input -s ! 192.168.0.0/16 -d 0.0.0.0/0 -i eth0 -j DENY
-A forward -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ

此外/etc/rc.d/rc.local加了这样一句:
echo 1 > /proc/sys/net/ipv4/ip_forward

这样似乎ipchains里的对外80端口转到squid的3128没起作用,因为我实验过squid即使关闭内部IP也照样可以上网等等,所以这两者之间似乎并无什么关系。
回复

使用道具 举报

gugong
发表于 2003-5-26 15:49:32 | 显示全部楼层
-A input -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 80 -i eth0 -j REDIRECT 3128
-A input -s ! 192.168.0.0/16 -d 0.0.0.0/0 -i eth0 -j DENY
-A forward -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
回复

使用道具 举报

neeman
 楼主| 发表于 2003-5-26 17:41:04 | 显示全部楼层
gugong 我没看懂你什么意思。
第一句是所有LAN内用户,最后一句是只允许部分IP可以MASQ出去啊。
回复

使用道具 举报

gugong
发表于 2003-5-26 18:01:22 | 显示全部楼层
还要注意后面的 -i eth0[1]
回复

使用道具 举报

neeman
 楼主| 发表于 2003-5-26 18:09:58 | 显示全部楼层
-A input -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 80 -i eth0 -j REDIRECT 3128
-A input -s ! 192.168.0.0/16 -d 0.0.0.0/0 -i eth0 -j DENY
-A forward -s 192.168.1.0/24 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ

第一句是LAN内所有用户的80访问经过eth0(内网卡)重定向到3128端口,第三句是直接经过eth1(外网卡)伪装出去了啊。有什么问题吗?

ipchains的使用记录如何查看呀?
回复

使用道具 举报

neeman
 楼主| 发表于 2003-5-27 09:06:18 | 显示全部楼层
继续请教:
我设置了上面的那些规则之后,现在可以出去,但是发现一个问题。
在用FTP连接外部的地址时,经常在通过用户验证之后list目录时失败,但是以PASV模式则可以。
这又是为什么?
回复

使用道具 举报

gugong
发表于 2003-5-27 11:57:26 | 显示全部楼层
rfc0959

                                                                        
Network Working Group                                          J. Postel
Request for Comments: 959                                    J. Reynolds
                                                                     ISI
Obsoletes RFC: 765 (IEN 149)                                October 1985

                      FILE TRANSFER PROTOCOL (FTP)
回复

使用道具 举报

发表于 2003-5-30 02:16:39 | 显示全部楼层
因为代理会检查和更改内部机器的IP分组,他把修改之后的IP分组再返回给用户
所有时使你的端口的映射发生了改变:
=====================================================
现在让我们看F T P是如何工作的。在这里使用F T P时,它所带来的问题与以前讨论的问题
是一样,要颠倒它的连接顺序。代理的工作方式与PAT(port address transport)的工作方式非常相似,但在具体方法上
略有不同。控制通道连接(到2 1号端口)的过程除了P O RT命令外,与上面的Te l n e t代理示例非常相似.为了能够在数据流中识别P O RT命令,代理将使用与PAT设备相同的方法来进行处理,
并替换它的地址。此时代理将OS请求一个可能的端口号,并监听这个端口号,同时从这个端
口号发送数据。此时代理还应保存着原来的PORT命令备份,以便以后使用。当外部服务器回
连到代理时,代理将打开一个到内部机器的连接,并发送数据。这个内部机器在PORT命令中
=====================================================
在实现上的一种策略就是让内部用户使用一个特殊的用户名。例如,使用a n o n y m o u s @ f t p .e x a m p l e . c o m命令代替以前输入的a n o n y m o u s。这条信息将告诉代理使用用户名a n o n y m o u s连接
到F T P服务器f t p . e x a m p l e . c o m上。保密字将保持不变
===============================================
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2025-3-4 06:38 , Processed in 0.024106 second(s), 16 queries .

© 2001-2025 Discuz! Team. Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表