接近500台机器上网,使用Rehl4+squid+iptables透明代理上网
作者:小猪朱一凡 | 来源:互联网 | 2018-06-02 05:28
http_port3128cache_mem512Mcache_swap_low75cache_swap_high95maximum_object_size1024KBcache_dirufsusrlocalsquidcache6000016256cache_access_logvarsquidlogsaccess.logcache_logdevnullcache_store_lognoneaclnet1
http_port 3128 cache_mem 512 M cache_swap_low 75 cache_swap_high 95 maximum_object_size 1024 KB cache_dir ufs /usr/local/squid/cache 60000 16 256 cache_access_log /var/squid/logs/access.log cache_log /dev/null cache_store_log none acl net1
|
http_port 3128
cache_mem 512 M cache_swap_low 75 cache_swap_high 95 maximum_object_size 1024 KB cache_dir ufs /usr/local/squid/cache 60000 16 256 cache_access_log /var/squid/logs/access.log cache_log /dev/null cache_store_log none
acl net1 src 192.168.1.0/24 acl net2 src 192.168.2.0/24 acl net4 src 192.168.4.0/24 acl net5 src 192.168.5.0/24 acl net13 src 192.168.13.0/24 acl net16 src 192.168.16.0/24
# And finally deny all other access to this proxy http_access allow localhost http_access allow net1 http_access allow net2 http_access allow net4 http_access allow net5 http_access allow net13 http_access allow net16 http_access deny all
visible_hostname proxy
httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on
#acl acl_type_deny urlpath_regex -i \.rm$ #acl acl_type_deny urlpath_regex -i \.mp3$ #acl acl_type_deny urlpath_regex -i \.wma$ #acl acl_type_deny urlpath_regex -i \.asf$ #acl acl_type_deny urlpath_regex -i \.avi$ #acl acl_type_deny urlpath_regex -i \.ram$ #acl acl_type_deny urlpath_regex -i \.mpeg$ #acl acl_type_deny urlpath_regex -i \.torrent$
#禁止下载以上类型文件 IPtables配置:
QUOTE:
# /etc/sysconfig/iptables 文件 IPtables配置: # /etc/sysconfig/iptables 文件 # #======================= 开始 =======================
# # mangle 段 *mangle REROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT #
# # nat 段 *nat REROUTING ACCEPT [0:0] OSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # # 为使用 SQUID 作“透明代理”而设定!
#开放DNS #[0:0] -A FORWARD -p udp --dport 53 -j ACCEPT #允许TELNET #[0:0] -A INPUT -i eth0 -s 192.168.16.254 -d 192.168.2.253 -p tcp --dport 23 -j ACCEPT
# 没有指定 网卡、地址: #[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# 指定 网卡、地址: [0:0] -A PREROUTING -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[0:0] -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth0 -j SNAT --to 211.57.143.190 [0:0] -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/255.255.0.0 --sport 443 -j REDIRECT --to-port 3128
# 将 对于 80、443 端口的访问 重定向到 3128 端口。 #
# 这些机器可以走这个机器做网关上 Internet 网。 # 需要在 /etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 # 或者 echo 1 > /proc/sys/net/ipv4/ip_forward # 由于利用 SQUID 实现了“透明代理”,Masq 取消相应的客户地址。
# 若你的 公网的 IP 地址是固定的,使用这个语句似乎更好些: #[0:0] -A POSTROUTING -s 192.168.0.0/255.255.0.0 -j SNAT --to 211.57.143.190 COMMIT #
# # filter 段 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]
# # # 防止IP欺骗: # 所谓的IP欺骗就是指在IP包中存在着不可能的IP源地址或目标地址。 # eth1是一个与外部Internet相连,而192.168.0.0则是内部网的网络号, # 也就是说,如果有一个包从eth1进入主机,而说自己的源地址是属于 # 192.168.0.0网络,或者说它的目标地址是属于这个网络的,那么这显 # 然是一种IP欺骗,所以我们使用DROP将这个包丢弃。 #[0:0] -A INPUT -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP #[0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP # # 同样的,如果有包要通过eth1向Internet,而且它的源地址或目标地址是属于 # 网络192.168.0.0,那么显然也是不可能的。我们仍然使用DROP将它丢弃。 [0:0] -A OUTPUT -d 192.168.0.0/255.255.0.0 -o eth1 -j DROP [0:0] -A OUTPUT -s 192.168.0.0/255.255.0.0 -o eth1 -j DROP #
# 防止广播包从IP代理服务器进入局域网: [0:0] -A INPUT -s 255.255.255.255 -i eth0 -j DROP [0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP [0:0] -A INPUT -d 0.0.0.0 -i eth0 -j DROP # 当包的源地址是255.255.255.255或目标地址是0.0.0.0,则说明它是一个 # 广播包,当广播包想进入eth0时,我们就应该DENY,丢弃它。而240.0.0.0/3 # 则是国际标准的多目广播地址,当有一个源地址是属于多目广播地址的包, # 我们将用DROP策略,丢弃它。
# # 屏蔽 windows xp 的 5000 端口(这个端口是莫名其妙的 !) [0:0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP [0:0] -A INPUT -p udp -m udp --sport 5000 -j DROP [0:0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP [0:0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP # # 防止 Internet 网的用户访问 SAMBA 服务器: [0:0] -A INPUT -s 211.57.143.177 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP [0:0] -A INPUT -s 211.57.143.177 -i eth1 -p udp -m udp --dport 137:139 -j DROP [0:0] -A INPUT -s 211.57.3.177/255.255.255.240 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP [0:0] -A INPUT -s 211.57.143.177/255.255.255.240 -i eth1 -p udp -m udp --dport 137:139 -j DROP [0:0] -A INPUT -p tcp -m tcp --dport 137:139 -j DROP [0:0] -A INPUT -p udp -m udp --dport 137:139 -j DROP # # 允许本地网的用户访问 SAMBA 服务器: [0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT [0:0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
# # 对于本局域网用户不拒绝访问: [0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -j ACCEPT [0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p udp -j ACCEPT #
# [0:0] -A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP [0:0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP #
[0:0] -A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP #
# 防止 Internet 用户访问 SQUID 的 3128 端口: [0:0] -A INPUT -s 211.57.143.177 -i eth1 -p tcp -m tcp --dport 3128 -j DROP [0:0] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -s 211.57.143.177/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT [0:0] -A INPUT -p tcp -m tcp --dport 3128 -j DROP #
# 让人家 ping 不通我 ! [0:0] -A INPUT -i eth1 -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT [0:0] -A INPUT -i eth1 -s 211.57.143.177/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT [0:0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP #
COMMIT # ======================= 结束 =======================# ======================= 结束 ======================= |
|
| | |
推荐阅读
-
SQLServer2008到底需要使用哪些端口?-下面就来介绍下SQLServer2008中使用的端口有哪些: 首先,最常用最常见的就是1433端口。这个是数据库引擎的端口,如果 ...
[详细]
蜡笔小新 2023-10-17 14:12:12
-
本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ...
[详细]
蜡笔小新 2023-12-14 13:59:45
-
-
本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的步骤,包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ...
[详细]
蜡笔小新 2023-12-14 17:03:58
-
本文介绍了如何使用iptables添加非对称的NAT规则段,以实现内网穿透和端口转发的功能。通过查阅相关文章,得出了解决方案,即当匹配的端口在映射端口的区间内时,可以成功进行端口转发。详细的操作步骤和命令示例也在文章中给出。 ...
[详细]
蜡笔小新 2023-12-13 17:13:18
-
本文介绍了在CentOS 7.x上进行端口映射配置的方法,通过修改内核和配置防火墙实现端口映射。作者分享了自己使用华为服务器进行端口映射的经验,发现网速比直连还快且稳定。详细的配置过程包括开启系统路由模式功能、设置IP地址伪装、设置端口映射等。同时,还介绍了如何监听本地端口的tcp请求,以及删除规则和开放的端口的方法。 ...
[详细]
蜡笔小新 2023-12-13 10:22:21
-
概述H.323是由ITU制定的通信控制协议,用于在分组交换网中提供多媒体业务。呼叫控制是其中的重要组成部分,它可用来建立点到点的媒体会话和多点间媒体会议 ...
[详细]
蜡笔小新 2023-10-17 19:16:37
-
POCOCLibraies属于功能广泛、轻量级别的开源框架库,它拥有媲美Boost库的功能以及较小的体积广泛应用在物联网平台、工业自动化等领域。POCOCLibrai ...
[详细]
蜡笔小新 2023-10-17 18:56:35
-
UDP:userDatagramprotocol用户数据报协议无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETFRFC76 ...
[详细]
蜡笔小新 2023-10-17 15:16:43
-
三、寻找恶意IP并用iptables禁止掉找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它;这里建议写脚本来运行, ...
[详细]
蜡笔小新 2023-10-17 13:01:54
-
本文介绍了lua语言中闭包的特性及其在模式匹配、日期处理、编译和模块化等方面的应用。lua中的闭包是严格遵循词法定界的第一类值,函数可以作为变量自由传递,也可以作为参数传递给其他函数。这些特性使得lua语言具有极大的灵活性,为程序开发带来了便利。 ...
[详细]
蜡笔小新 2023-12-14 18:18:21
-
今天在看一个代码里头写了GetWindowLong(hwnd,0),我当时就有点费解,靠,上网搜索函数原型说明,死活找不到第 ...
[详细]
蜡笔小新 2023-12-14 17:58:15
-
本文介绍了基于layUI的图片上传前预览功能的两种实现方式:一种是使用blob+FileReader,另一种是使用layUI自带的参数。通过选择文件后点击文件名,在页面中间弹窗内预览图片。其中,layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块,并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ...
[详细]
蜡笔小新 2023-12-14 17:06:58
-
本文介绍了如何去除Win7快捷方式的箭头的方法,通过生成一个透明的ico图标并将其命名为Empty.ico,将图标复制到windows目录下,并导入注册表,即可去除箭头。这样做可以改善默认快捷方式的外观,提升桌面整洁度。 ...
[详细]
蜡笔小新 2023-12-14 16:17:05
-
本文分享了一个关于在C#中使用异步代码的问题,作者在控制台中运行时代码正常工作,但在Windows窗体中却无法正常工作。作者尝试搜索局域网上的主机,但在窗体中计数器没有减少。文章提供了相关的代码和解决思路。 ...
[详细]
蜡笔小新 2023-12-14 15:56:00
-
本文介绍了电脑公司win7剪切板的位置和使用方法。剪切板一般位于c:\windows\system32目录,程序名为clipbrd.exe。通过在搜索栏中输入cmd打开命令提示符窗口,并输入clip /?即可调用剪贴板查看器。赶紧来试试看吧!更多精彩文章请关注本站。 ...
[详细]
蜡笔小新 2023-12-14 12:25:19
-