Linux搭建局域网代理服务器

Linux搭建局域网代理服务器-1-Linux搭建局域网代理服务器信息安全03-1班张川王孟玉〖摘要〗本文是linux作为寝室代理服务器的一个实现，力求让普通用户在阅读此文后能快速搭建一个实用且高效的linux代理服务器。文中介绍了关于nat技术和iptables的一些基本概念，以及怎样在linux下通过nat技术代理内网用户上网及发布内网服务等。〖关键字〗LinuxSlackwareiptables发行版〖Summary〗ThisarticleisalinuxBearealizationofthebedroomproxyserver,tryhardfortoletthecommoncustomerbeabletobuildquicklyafterreadthistextapracticalandefficientlyoflinuxproxyserver.Itintroducedsomebasicconceptsconcerningthenattechniqueandtheiptablesinthetext,andhowpassthenattechniquetoactfortogettotheInternetandreleaseinsidethenetcustomerunderthelinuxetc.isinsidethenetservice.〖Keyword〗LinuxSlackwareIptablesdistribution正文：1.代理服务器：1.1代理服务器概述代理服务器（ProxyServer）是运行特定服务器程序的计算机。代理服务器拥有两个网络接口，一个接口用于连接Internet，另一个接口则用于连接内部网络。代理服务器能够对Internet保护内部IP地址，只有运行ProxyServer的计算机的IP地址才是在Internet中可见的。也就是说，代理服务器作为一种双宿主主机，它直接暴露与Internet，代理内部网络用户向Internet发出请求，并把接受的信息反馈给用户，为内部网络用户连接Internet提供必要的屏蔽。当然，除此之外，代理服务器还具有充分利用带宽，将局域网用户连接到Internet等功能。IP地址是不可再生的宝贵资源，一般网络中只分配了有限的IP地址，但是，却需要为网络内的所有计算机提供Internet访问能力，那么，可以通过使用代理服务器来实现这一点。代理服务器至少安装有两个网络适配器，一个连接至Internet，另一个连接至本地局域网络，通过代理服务器软件实现IP地址转换和IP转发。Linux搭建局域网代理服务器-2-2.本文所有到的实验环境如下2.1网络拓扑2.2相关设备LINUX网关服务器SLACKWARE10.2(kernel2.6.13)两张网卡Windowsserver2003WEB服务器单网卡WINDOWSXP主机一台(客户端)单网卡D-link5口10M/100M交换机一个2.3相关软件本次实验是用的服务器系统为SLACKWAREkernel2.6.13防火墙软件：IPTABLESSLACKWARE：介绍SLACKWARELinux是由PatrickVolkerding开发的GNU/Linux发行版。与很多其他的发行版不同，它坚持KISS(KeepItSimpleStupid)的原则，并以简洁、安全和稳定所著称。Linux搭建局域网代理服务器-3-3.防火器简介：IPTABLES(原理)netfilter是Linux核心中一个通用架构，它提供了一系列的表(tables)，每个表由若干链(chains)组成，而每条链中可以有一条或数条规则(rule)组成。系统缺省的表为filter，该表中包含了INPUT、FORWARD和OUTPUT3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件:如果满足,系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。4.NAT原理（snat,dnat,masquerade）4.1什么是NATNAT英文全称是NetworkAddressTranslation，称是网络地址转换，它是一个IETF标准，允许一个机构（包括多个网络节点）以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。Linux搭建局域网代理服务器-4-4.2为什么要进行NAT在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表（路由表，所以也称NAT为软路由），用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址。在内部网络中，使用内部地址的计算机开设了网络服务（80，21等），当外部ip想访问这些服务时，NAT网关把外部访问ip翻译成内部ip，也就是说，把内部开设的服务，映射到一个合法的ip和端口上，已供外部访问。4.3如何在linux配置nat下面以一张截图做详细的介绍Linux搭建局域网代理服务器-5-详细的步骤如下步骤一：配置：这里我用的是联想的d-link530tx网卡，所以载入via-rhine模块，这相当于是网卡的驱动，由于eth0连接的是adsl，所以我设置的是动态IP。Tulip是我acction网卡的模块，如果大家用的是其他网卡这两处要做相应的修改。ifconfigeth1192.168.0.1netmask255.255.255.0up这里设置的是我acction网卡的IP及子网掩码。这张网卡接的是交换机，作为代理寝室上网的网关。pppoe-start/dev/null2&1拨号成功后并不在屏幕上显示提示信息，前提是以通过pppoe-setup设置。不同的发行版可能略有区别，比如在redhat9上就是adsl-setup,adsl-startEcho“nameserver61.139.2.69”/etc/resolv.conf设置DNS：61.139.2.69由当地ISP提供。lynx-mime_header-auth=dark81ue:loveblue\=dyndns&hostname=wolveseyes.3322.org这里是将我申请动态域名wolveseyes.3322.org绑定到我拨号IP。dark81ue是我的帐号，当然红色部分就是我的密码了。这时可以pingwolveseyes.3322.org验证一下，正常的话，应该返回我拨号上网的IP。步骤二：防火墙配置：NAT载入ip_nat_ftp和ip_conntrack_ftp是让内网能正常访问外网的ftp。iptables–f清空所有规则iptables–tnat–f清空nat表中的所有规则iptables–tnat–APOSTROUTING–s192.168.0.0/24–jMASQUERADE将192.168.0.0/24网段的ip进行ip伪装，MASQUERADE作用和snat一样，不过对于拨Linux搭建局域网代理服务器-6-号的动态IP更适合.echo1/proc/sys/net/ipv4/ip_forward打开系统的IP转发功能现在把内网机器的网关设置成192.168.0.1/255.255.255.0，填上DNS:61.139.2.69就可以上网了。步骤三：发布内网服务器这个例子中，我把内网ip为192.168.0.10的80端口映射到wolveseyes.3322.org绑定的IP上，也就是我拨号获得的IP，这样外网用户可以直接通过wolveseyes.3322.org80端口访问我内网192.168.0.10在80端口上提供的服务。这里的80是192.168.0.10的webserver，发布其他的内网服务器也是同样的道理。同样用这个方法也可以让基于点对点协议的下载软件（如：BTemule）获得更高的下载速度。步骤四：一些限制由于IPTABLES默认是允许本机所有通讯，这点和isa不一样，所以我们应该有所限制以提高网络的安全。我只做了1-1024，的端口限制，低端口只允许22（openssh）和21(vsftp)通过。当然如果你的服务器自身不需要上网你可以禁止服务器本机的所有通讯，再打开相应的服务端口。步骤五：开机自动拨号及加载防火墙SLACKWARE采用的是BSDstyle的启动脚本，这不同与很多主流的发行版。BSDstyle的优势就是很简洁和便于修改。修改/etc/rc.d/rc.localcd/etc/rc.dvirc.local加入#begin#pppoeLinux搭建局域网代理服务器-7-modprobevia-rhineifconfigeth0upmodprobetulipifconfigeth1192.168.0.1netmask255.255.255.0uppppoe-start/dev/null2&1lynx-mime_header-auth=dark81ue:********\=dyndns&hostname=wolveseyes.3322.org#natmodprobeip_nat_ftpmodprobeip_conntrack_ftpiptables-Fiptables-tnat-Fiptables-tnat-APOSTROUTING-s192.168.0.0/24-jMASQUERADEecho1/proc/sys/net/ipv4/ip_forward#geniptables-tfilter-IINPUT-ptcp-mmultiport--dport22,21-jACCEPTiptables-AINPUT-ippp0-ptcp--dport1:1024-jDROP#wangmengyuradminiptables-tnat-APREROUTING--dstwolveseyes.3322.org-ptcp--dport210-jDNAT--to-destination192.168.0.10iptables-tnat-APOSTROUTING--dst192.168.0.10-ptcp--dport210-jSNAT--to-source192.168.0.1iptables-tnat-AOUTPUT--dstwolveseyes.3322.org-ptcp--dport210-jDNAT--to-destination192.168.0.10#wangmengyuwebiptables-tnat-APREROUTING--dstwolveseyes.3322.org-ptcp--dport80-jDNAT--to-destination192.168.0.10iptables-tnat-APOSTROUTING--dst192.168.0.10-ptcp--dport80-jSNAT--to-source192.168.0.1iptables-tnat-AOUTPUT--dstwolveseyes.3322.org-ptcp--dport80-jDNAT--to-destination192.168.0.10#wangmengyuemuleiptables-tnat-APREROUTING--d