Cómo configurar el proxy transparente

en Linux 1. ¿Qué es un proxy transparente?

Si preguntas: ¿Cómo puedo hacer que el navegador de mi navegador use mi servidor proxy de caché de Squid sin ninguna configuración de proxy? En este punto necesitas usar un proxy transparente. proxy transparente dejar que sus clientes sin establecer ningún agente, cuando el paquete es en realidad pasa a través del servidor proxy redirige a los calamares puerto proxy servidor proxy (8080), es decir, los datos deseados se pidió entonces por el servidor proxy local hacia el exterior Copia al cliente. 2. ¿Qué tipo de entorno necesito para implementar un proxy transparente?

a. La puerta de enlace de Windows para PC del cliente debe estar configurada en el servidor proxy de Squid, ya que como no hay una configuración de proxy en su navegador, debe pasar por un servidor proxy de Squid para ser pesado cuando desee acceder a un sitio. Orientación, por lo que esta es la condición más básica.

b. El cliente debe configurar el servidor DNS correctamente. Porque ahora no tienes que configurar ningún proxy. Luego, el DNS debe resolver el DNS, es decir, el servidor DNS configurado en el TCP /IP de la PC del cliente debe resolver correctamente la dirección IP de un sitio determinado.

c. El servidor puede instalar el servidor proxy de Squid, versión 1.x o 2.x.

3. Configure Squid Proxy, inicie la función de proxy transparente

Squid-2

Agregue la siguiente línea a su /etc/squid/squid.conf

http_port 8080 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy en httpd_accel_uses_host_header en

calamar-1,1

más la línea siguiente a /etc/squid.conf

http_port 8080 httpd_accel virtual 80 httpd_accel_with_proxy en httpd_accel_uses_host_header en

4. reinicio calamar con el siguiente comando :.

# /usr /sbin /squid -k reconfigure

el núcleo no soporta proxy transparente incitó . Luego, debe recompilar el kernel y habilitar el soporte para el proxy transparente.

Estos son los proyectos de kernel que necesita iniciar:

[*] Cortafuegos de red [] Socket Filtering [*] Sockets de dominio Unix [*] Redes TCP /IP [] IP: multidifusión [] IP: Router avanzado [] IP: nivel de núcleo de configuración automática [*] IP: un cortafuegos [] IP: firewall del dispositivo de enlace de red de paquetes [*] IP: desfragmentar siempre (necesario para enmascaramiento)

[*] IP: proxy transparente Soporte

5. Los siguientes comandos son para el kernel de Linux 2.2.x:

# Aceptar todos en lookback /sbin /ipchains -A input -j ACCEPT -i lo # Acepte mi propia IP, para evitar bucles (repetir para cada interfaz /alias) /sbin /ipchains -A entrada -j ACCEPT tcp -p -d 192.168.11.1/32 80 #send todo el tráfico destinado al puerto 80 a calamar en el puerto 80 /sbin /ipchains -A Entrada -j REDIRECTA 8080 -p tcp -s 192.168.11.0/24 -d 0/0 80

Los siguientes comandos son para el kernel de Linux 2.0.x:

# Aceptar todo en loopback ipfwadm -I -a aceptar lo -W # Acepta mi propia IP, para evitar bucles (repetir para cada interfaz /alias) ipfwadm -I -a aceptar TCP -P -D 192.168.11.1/32 80 # Enviar todo el tráfico destinado al puerto 80 A Squid en el puerto 3128 ipfwadm -I -a acepto -P tcp -S 192.168.11.0/24 -D 0/0 80 -r 8080

6. Preguntas a tener en cuenta:

a Este proxy transparente solo se puede usar para el protocolo http, no para el protocolo FTP. B. La puerta de enlace predeterminada de la PC debe estar configurada para el servidor proxy Squid. C. Las reglas de redirección del firewall están frente a otras reglas de entrada, preste atención a la orden.

Por ejemplo:

/etc/rc.d/rc.firewall:

#! /bin /sh # rc.firewall Kernel de Linux reglas de firewall FW = /sbin /Ipfwadm

# Reglas de descarga, para fines de prueba para i en IOF # A # Si también habilitamos la contabilidad, haga $ {FW} - $ i -f done

# políticas predeterminadas: $ {FW } -I -p rej # Política entrante: rechazar (error rápido) $ {FW} -O -p acc # Política de salida: aceptar $ {FW} -F -p den # Política de reenvío: denegar

# Reglas de entrada:

# interfaz Loopback (acceso local, por ejemplo, al servidor de nombres local): $ {FW} -I -a acc -S localhost /32 -D localhost /32

# Interfaz Ethernet local:

# Redireccionar al servidor proxy Squid: $ {FW} -I -a acc -P tcp -D predeterminado /0 80 -r 8080

# Aceptar paquetes de locales Red: $ {FW} -I -a acc -P todo -S localnet /8 -D predeterminado /0 -W eth0

# Solo requerido para otros tipos de tráfico (FTP, Telnet):

# localnet adelante con enmascaramiento (UDP y TCP, ICMP no!): $ {FW} -F-AM -P tcp -S LocalNet /8 /D por defecto 0 $ {FW} -F-AM -P UDP -S localne t /8 -D default /0

Aquí, todo el tráfico de la LAN local con cualquier destino se redirige al puerto local 8080. Las reglas se pueden ver así:

Reglas de entrada del firewall IP, Política predeterminada: rechazar las cuentas de destino de origen de prot del tipo acc 127.0.0.1 127.0.0.1 n /a acc /r tcp 10.0.0.0/8 0.0.0.0/0 * - > 80 => 8080 acc all 10.0.0.0/8 0.0.0.0/0 n /a acc tcp 0.0.0.0/0 0.0.0.0/0 * - > *