我要投稿
  • 您当前的位置:365bet官方 -> 技术教程 -> 服务器网络 -> 服务器教程 -> 代理服务器教程 -> 教程内容
  • [ 收藏本页教程 ]
  • 回复-置顶: linux+squid+iptables企业方案征集代理服务器教程

    教程作者:佚名    教程来源:不详   教程栏目:代理服务器教程    收藏本页
                  摘要:回复-置顶: linux+squid+iptables企业方案征集
    申明,本人脚本禁止转载,请尊重本人劳动成果:
    试试:
    首先本人认为01 是不可能实现的,而11我又不会SQL和SAMBA认证只会基本认证,除此之外其余均能实现
    假设子网192.168.1.0/24,某个域名为www.163.com通过PING 的其IP为202.108.36.196,通过其IP限制收发该域名邮件(可在iptables中实现)
    外网网卡为eth0内网网卡为eht1,为eth1绑定192.168.1.201和192.168.0.201
    cp eth1 eth1:1
    修改eht1:1
    没有限制的用户为192.168.0.201以后的IP用MAC标志
    由于AS3没有安装GCC而本身的SQUID里又没有NCSA文件,固重新安装GCC和SQUID,
    tar zxvf squid-2.5.STABLE7.tar.gz
    cd squid-2.5.STABLE7
    ./configure --prefix=/usr/local/squid
    --sysconfdir=/etc/squid                                   #配置文件位置
    --enable-arp-acl                                         #客户端的MAC地址进行管理
    --enable-linux-netfilter                                  #允许使用Linux的透明功能
    --enable-pthreads 
    --enable-err-language="Simplify_Chinese"  
    --enable-default-err-language="Simplify_Chinese"
    #上面两个选项告诉Squid编入并使用简体中文错误信息
     --enable-storeio=ufs,null                                #可以不用缓冲
    --enable-auth="basic"                                 #认证方式
    --enable-baisc-auth-helpers="NCSA"                    #认证程序为
    --enable-underscore                                   #允许解析的URL中出现下划线
    make
    make install
    开始配置squid.conf
    ##################################################################################################
    # 服务器配置
    icp_port 0
    cache_store_log none
    cache_access_log /dev/null   
    cache_log /dev/null           
    http_port 3128
    cache_mem 128 MB
    cache_dir null /tmp

    pid_filename none
    client_netmask 255.255.255.255
    half_closed_clients on

    #用户分类                                         
    auth_param basic program /usr/bin/ncsa_auth /usr/etc/passwd
    auth_param basic children 5
    auth_param basic realm Tianfuming proxy-caching server
    auth_param basic credentialsttl 2 hours 
    acl normal proxy_auth REQUIDE              #用户认证
    acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...   #10 IP/MAC绑定用户名认证上网;
    acl lana src 192.168.1.0/24
    acl lanb src 192.168.0.1-192.168.0.200/32

    #行为分类
    acl download urlpath_regex -i \.mp3$ \.exe$ \.avi$ \.rar$ \.rvmb$ \.jpg  #禁止下载
    #acl conncount maxconn 5               #最大连接数
    acl worktime MTWHF 8:00-18:00         # 04、允许全体人员在固定时间,有部分限制,
    #不在此时间之内,撤除限制(在http_access中限制)
    acl qq dstdomain .snnu.edu.cn
    acl badwords url_regex sex

    acl localhost src 127.0.0.1/32
    acl all src 0.0.0.0/0.0.0.0

    http_access allow advance                 # 03 允许部分人完全没有限制;
    http_access allow localhost
    #http_access deny conncount normal
    http_access deny ! 
    http_access deny badwords worktime         # 不允许访问特定url字符网站
    http_access deny qq worktime               # 06 不允许访问特定的站点
    http_access allow lana                     # 02 允许部分人可以下载
    http_access deny download  worktime        # 05 不允许下载的特定url字符:exe/zip等等;
    http_access allowd lanb homepage           #08、允许部分人员只能浏览指定网站;
    http_access allow normal
    http_access deny all                      #除这些,禁止所有
    #结合透明代理   07、透明代理与用户认证共存
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    ####################################################################################
    iptables脚本
    ####################################################################################
    #! /bin/sh

    UPLINK="eth0"
    UPIP="a.b.c.d"
    LANLINK="eth1"
    ROUTER="yes"
    #NAT="UPIP/dynamic"
    NAT="UPIP"
    INTERFACES="lo eth0 eth1"
    SERVICES="80 22 25 110 "
    deny="" 
    case "$@" in
    start)
            echo -n "Starting firewall..."
            modprobe ip_nat_ftp 
    modprobe ip_conntrack_ftp 
    iptables -P INPUT DROP
            iptables -A INPUT -i ! ${UPLINK} -j  ACCEPT
            iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
            iptables -A FORWARD DROP
            iptables -A FORWARD -p tcp -m multiport --dport 25 80 110 -j ACCEPT
            iptables -A FORWARD -d !202.108.36.196 -p tcp -m multiport --dprot 25 110 -j DROP  ##09、只允许收发邮件(所有域名邮件
       &n
    我要投稿   -   广告合作   -   关于本站   -   友情连接   -   网站地图   -   联系我们   -   版权声明   -   设为首页   -   加入收藏   -   网站留言
    Copyright © 2009 - 20012 www.www.ct131.com All Rights Reserved.365bet官方 版权所有