Linux服务器设置指南-代理接入服务器(3)

　　第四节 　IP伪装
　　& 4.1 简介
　　利用因特网的代理服务器技术可以解决目前因特网的IP地址耗尽、网络资源争用以及网络安全等问题。代理服务器是采取一种代理的机制，即内部的客户端必须经过代理服务器才能和外部的服务器端进行通信，而外部的任何一台主机只能访问到代理服务器。本文着重讨论利用Linux代理服务器解决IP地址耗尽、网络资源争用和网络安全等问题。
　　随着因特网技术的迅速发展，越来越多的计算机连入了因特网。目前已经联系着160多个国家和地区，上网的计算机已超过5000万台。它促进了信息产业的发展，并将改变人们的生活、学习和工作方式，对很多人来说，因特网已成为不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。
　　
　　& 4.2 所需资源
　　&4.2.1 所需包
　　
　　ipchains-1.3.9-5.rpm
　　
　　&4.2.2 所需配置文件
　　
　　/root/ipchains 自己写
　　
　　& 4.3 配置方案
　　1./sbin/rules
　　
　　说明：
　　源文件：
　　# 以下是你需要增加的转发控制模块
　　/sbin/modprobe ip_masq_ftp
　　/sbin/modprobe ip_masq_quake
　　/sbin/modprobe ip_masq_irc
　　/sbin/modprobe ip_masq_user
　　/sbin/modprobe ip_masq_raudio
　　
　　/sbin/ipchains -P forward DENY　　　　 # 在默认状况下拒绝所有 ip 转发。
　　echo 1 > /proc/sys/net/ipv4/ip_forward # 打开IP转发
　　ipchains -I forward -s 192.168.0.0/24 -d 0/0 -j MASQ
　　# 将来自192.168.0.0网段的申请转发
　　
　　& 4.4 测试及管理办法
　　&4.4.1 测试方法
　　
　　1.找一台局域网内的客户机，把IP设置成192.168.0.0网段的，ping一下外边，看能不能出去，就知道拉。
　　
　　& 4.5 其他参考资料
　　1.黄志伟，IP Masquerade HOWTO中文版
　　
　　请访问：http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html
　　
　　& 4.6 相关技巧
　　1. 要是控制模块不存在，或许是不在路径下，可以执行depmod -a
　　
　　& 4.7 小结
　　使用ipchains作为企业上网IP伪装十分实用，而且其配置十分简单， 并且功能强大，管理起来也十分简单。当然，其在安全性上还有不足，需要改进。
　　第五节 Squid代理服务器
　　& 5.1 简介
　　作为一种免费的网络操作系统，Linux越来越受到广大网络爱好者的欢迎，目前因特网（Internet）上运行的主机有相当一部分采用的就是linux操作系统，而且中国已经把linux操作系统作为政府上网年的指定网络操作系统，种种迹象表明，linux操作系统正在逐渐走向成熟。在本章我将向大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的配置方法。
　　
　　众所周知，当今因特网发展速度极其迅猛，IP地址资源非常紧张。而如果您想访问因特网，共享因特网的丰富资源，您的机器必须拥有一个标准的IP地址。在因特网上，IP地址是识别您的机器的唯一标志。目前，有两种方式可以让您的机器拥有标准的IP地址：一种是局域网通过专线接入因特网，您的机器可以拥有静态的IP地址。所谓静态IP地址，就是对使用者来说，是固定不变的IP地址，这个IP地址给您使用后，其他人就不能再用了。一种是通过电话线拨号或ISDN拨号等方式接入因特网，您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址，这个IP地址在您下线后就不归您使用了，而您下次拨号再上网，很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址，称为动态IP地址。无论是静态地址还是动态地址，在您的机器访问因特网时，使用起来没有什么区别。
　　现在因特网发展速度这么快，而IP地址资源又这么紧张，这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中，但远水不解近渴，好多的企业、公司内部的Intranet现在就想接入因特网这个浩瀚的资源海洋，但又苦于没有充足的IP地址资源，怎么办？还好，有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址（以下称内部地址）的机器和因特网上的其他主机打交道，提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时，先把这个请求发给拥有标准IP地址的代理服务器，由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器，代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网，代理服务器的作用就是勾通内部网和因特网，解决内部网访问因特网的问题。而且这种代理是不可逆的，因特网上的主机不能访问任何一台拥有内部地址的机器，这样又可以保障内部资料的安全性。
　　
　　能够完成这种代理功能的服务器软件有好多，我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀，是因为它可以在代理服务器上作一个很大的缓存，可以把好多常去的网站内容存储到缓存中，这样，内部网的机器再访问那些网站，就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度，这就是所谓的提高客户机的访问命中率， 另一方面，Squid不仅仅支持HTTP协议，而且还支持FTP,GOPHER,SSL和WAIS等协议考虑到简捷实用的原则，我们本章只向大家介绍如何设置HTTP代理，而其他的代理大同小异，各位理解了HTTP的配置也就明白应该如何配置其他的代理了。
　　
　　& 5.2 所需资源
　　&5.2.1 所需包
　　
　　squid-2.3.STABLE1-5.rpm
　　
　　&5.2.2 所需配置文件
　　
　　/etc/squid/squid.conf　　系统自带，管理员配置
　　
　　&5.2.3 相关工具
　　& 5.3 配置方案
　　1./etc/squid/squid.conf
　　
　　说明：squid主配置文件
　　源文件：
　　acl deny_ip_01 dst 1.1.1.1
　　http_access deny deny_ip_01
　　# 以上两行是基于IP的访问控制
　　acl deny_url_01 url_regex http://www.www.www
　　http_access deny deny_url_01
　　# 以上两行是基于URL的访问控制
　　http_port 3128　　# HTTP协议代理默认代理端口
　　cache_mem 32 MB　 #开劈一块内存区域作为缓冲
　　cache_dir ufs /home/squid/cache 1024 16 256
　　# 开劈一块硬盘空间，作为硬盘缓冲区，这块区域的分布是连
　　续的，逻辑关系由管理员设定
　　cache_access_log /var/log/squid/access.log
　　# 该log文件是用来描述每次客户请求HTTP内容时，高速缓
　　存命中或未命中的项目。同时描述提出请求的主机身份及它
　　们所需的内容。
　　cache_log /var/log/squid/cache.log
　　＃用于描述当squid守护进程启动时，可看到有多少内存、交
　　换空间，高速缓存目录的位置，所接受的连接类型及接受连
　　接的端口。
　　cache_store_log /var/log/squid/store.log
　　＃用于描述页面从高速缓存中被调入调出的情况。
　　pid_filename /var/run/squid.pid
　　＃管理员可以通过查看此文件了解当前执行的squid进程。
　　dns_nameservers 192.168.0.1
　　＃定义域名解析服务器的地址
　　acl all src 0.0.0.0/0.0.0.0
　　cache_mgr root@weboa.com.cn
　　＃设置cache管理员的邮件箱地址
　　reference_age 3 days
　　＃设置缓冲区的更新周期
　　maximum_object_size 4096 KB
　　＃设置允许被缓存的一次性最大请求
　　
　　& 5.4 测试及管理办法
　　&5.4.1 测试方法
　　
　　1.在客户机下打开浏览器，设置好代理服务器，端口是3128，看看能不能上网就是拉。
　　
　　&5.4.2 管理方法
　　
　　1.修改完配置文件需要执行/etc/rc.d/init.d/squid restart使得配置生效。
　　
　　& 5.7 小结
　　看完本章之后，我想各位一定有个深切的感受，squid的配置文件十分的长，而且能干的事情实在是太多了，但是我们作为一名合格的管理员应该从需求方案出发，以客户的需求为导向，配置出我们自己需要的服务器，这样不但可以满足需要，还能大大减少我们的工作量，配置squid就是一个鲜明的例子。
　　
　　第六节 Modem拨号
　　& 6.1 简介
　　首先向大家强调一点，我们这里所谈的PPP不是要将我们的服务器配置成为提供拨入服务的服务器，而是用户可以通过服务器拨号上网，简而言之就是，服务器可以按照客户的需求自动拨号上网，也就是所谓的按需拨号。
　　为什么我们要向大家介绍这项配置呢？因为虽然现在许多企业都用DDN上网，但是Modem在很大程度上还是有它的作用的，所以我们将向大家介绍一下如何实现PPP自动拨号上网。
　　
　　& 6.2 所需资源
　　&6.2.1 所需包
　　
　　ppp-2.3.11-4.i386.rpm
　　
　　&6.2.2 所需配置文件
　　
　　/etc/ppp/options
　　/etc/ppp/modemdial　　系统没有，管理员创建
　　/etc/ppp/pap-secrets
　　/root/dial
　　
　　&6.2.3 相关工具
　　
　　/usr/sbin/pppstats
　　
　　& 6.3 配置方案
　　1./etc/ppp/options
　　
　　说明：PPP可选配置项
　　源文件：
　　demand　　　　# 启动按需拨号模式
　　modem　　　　 # 使用modem控制线
　　lock　　　　 # 打开设备锁
　　crtscts　　　　 # 清除发送
　　defaultroute　　　# 使用默认路由
　　asyncmap 0　　　 # 设置异步map=0
　　ipcp-accept-local
　　ipcp-accept-remote
　　ipcp-max-configure 5
　　ipcp-restart 1
　　mtu 552　　　　 # 设置最大传输单位
　　mru 552　　　　 # 设置最大接受单位
　　name 169　　　　# 设置用户名，与pap-secrets对应
　　usepeerdns　　　 # 自动抓取ISP的DNS
　　
　　2./etc/ppp/modemdial
　　
　　说明：Modem拨号指令文件
　　源文件：
　　"" ATZ　　　　　# 初始化设备
　　OK ATDT169　　　　# 拨号
　　CONNECT ""　　　　# 握手连接
　　
　　3./etc/ppp/pap-secrets
　　
　　说明：PAP模式口令加密文件
　　源文件：
　　169 * 169　 # 用户名 * 密码
　　
　　4./root/dial
　　
　　说明：pppd进程启动文件
　　源文件：
　　killall -9 pppd　　　 # 杀掉残留pppd进程
　　/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat
　　-t 3 -V -v -f /etc/ppp/modemdial"
　　# -d后跟设备名称，115200是连接速率，connect后跟拨号脚本
　　&6.4 测试及管理办法
　　&6.4.1 测试方法
　　
　　1. 可以执行ps auxw|grep pppd，查看是否有pppd的守护进程。
　　
　　&6.4.2 管理方法
　　
　　1.　执行 tail –f /var/log/message 可以观察拨号过程,当你看到已经从ISP分配到了IP并成功抓取到了DNS之后，说明拨号正确。
　　2.　执行 pppstats可以观察Modem的工作情况。
　　
　　& 6.5 其他参考资料
　　1.　diald:http://home.loonie.net/~eschenk/diald.html)
　　2.　webppp:(http://www.ajusd.org/~edward/webppp/)
　　
　　& 6.6 相关技巧
　　1.如果在字符界面下无法拨号，可以考虑装个Xwindows，用用她的拨号器。
　　
　　& 6.7 小结
　　其实这一切很简单，通过我上面的叙述，大家不难发现，其实所谓的按需拨号，它的实现应该被划分成两个步骤：第一，先将服务器本身配置好，让它可以拨号上网；第二，编写自动拨号配置文件，使Linux服务器具备自动拨号的能力。其实，从客户端自动拨号与从服务器自动拨号的原理是一样的，只要有向外的请求，就应该自动启动拨号进程，而从客户机来的请求，最终将通过sendmail，squid等从服务器发送到Internet。所以我们只要配置好服务器上的自动拨号，也就能实现客户机的自动拨号。

原文转自：http://www.ltesting.net