利用SQUID做透明代理實現內網訪問Internet

 
        在真實世界中我們常常會去幫人家辦一些事情，例如幫人家交電費什么的，在這種情況下你不是電表的主人，而是代辦者（代理者）的身份。在網絡世界中Proxy就是相當于那個幫人家交電費的人了，當我們發出連接請求的時候，就會通過Proxy去幫我們直接與目標服務器溝通，幫我們取得資料。通常我們所說的高速緩存代理，就是以空間換時間。本文主要介紹了代理服務器的概念、作用、產生的原因以用工作原理。介紹了如何在Linux2.4內核環境下應用iptables NAT和squid實現透明代理的方法。結果表明，該方法實現了利用squid做透明代理實現內網訪問Internet，從而解決了IP地址緊缺、網絡速度慢、客戶端設置代理服務器麻煩等問題。

一 概述

        Linux是一套免費使用和自由傳播的類Unix操作系統，它主要用于基于Intel x86系列CPU的計算機上。這個系統是由全世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟件的版權制約的、全世界都能自由使用的Unix兼容產品。
 
       Linux的出現，最早開始于一位名叫Linus Torvalds的計算機業余愛好者，當時他是芬蘭赫爾辛基大學的學生。他的目的是想設計一個代替Minix（是由一位名叫Andrew Tannebaum的計算機教授編寫的一個操作系統示教程序）的操作系統，這個操作系統可用于386、486或奔騰處理器的個人計算機上，并且具有Unix操作系統的全部功能，因而開始了Linux雛形的設計。
 
      Linux以它的高效性和靈活性著稱。它能夠在PC計算機上實現全部的Unix特性，具有多任務、多用戶的能力。Linux是在GNU公共許可權限下免費獲得的，是一個符合POSIX標準的操作系統。Linux操作系統軟件包不僅包括完整的Linux操作系統，而且還包括了文本編輯器、高級語言編譯器等應用軟件。它還包括帶有多個窗口管理器的X-Windows圖形用戶界面，如同我們使用Windows NT一樣，允許我們使用窗口、圖標和菜單對系統進行操作。
 
      代理服務器（Proxy）是網絡信息的中轉站，比方說HTTP代理服務器。我們使用網絡瀏覽器直接鏈接其他Internet站點并取得網絡信息時，需送出Request信號來得到回答，然后對方再把信息傳送回來。代理服務器是介于瀏覽器和Web服務器之間的一臺服務器，有了它之后，瀏覽器不是直接到Web 服務器去取回網頁而是向代理服務器發出請求，Request信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你。而且大部分代理服務器都具有緩沖功能，就好像一個大Cache，它不斷將新取得的數據包存到它本機的存儲器上，如果瀏覽器所請求的數據在它本機的存儲器上已經存在而且是最新的，那么它就不重新從Web服務器取數據，而直接將存儲器上的數據傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。除此之外還有SOCKS代理服務器，其原理大同小異。用戶機通過Proxy Server上網的步驟如下：

 

 (1)用戶機端向Server發出請求。
 (2)Server收到請求后比較判斷Cache中時候存在用戶機想要的資料，如果沒有則向遠程Server發送數據請求。
 (3)將請求回來的資料先存放到Cache中，再將資料傳送給用戶端。
 (4)當用戶端發出的請求中所需要的資料在Cache中有，則將Cache中的資料直接傳送給client端。
雖然當第一訪問這向Proxy請求的數據Cache中沒有時，Proxy抓取數據后會先保存在Cache中，這樣訪問速度變慢了，可是第二個訪問者以及后來的訪問者需要該資料的時候，proxy都不要想遠程服務器請求，直接將cache中的資料發送給后來的請求者就行了，這樣就減少了連接遠程服務器的流量，另外由于proxy是在本地的，所以傳輸速度也更快。 
 

二 代理服務器的產生

 
隨著因特網技術的迅速發展，越來越多的計算機連入了因特網。它促進了信息產業的發展，并改變了人們的生活、學習和工作方式，對很多人來說，因特網已成為不可缺少的工具。而隨著因特網的發展也產生了諸如IP地址耗盡、網絡資源爭用和網絡安全等問題。代理服務器就是為了解決這些問題而產生的一種有效的網絡安全產品。
    如果一個單位有幾百臺微機連網，在上網訪問時，將出現網絡資源爭用和增加上網費用的問題。一臺主機訪問了某個站點而另一臺主機又訪問同一個站點，如果是同時訪問將出現網絡資源爭用的問題，如果是相繼訪問將出現增加本單位網絡費用的問題。
　　本單位或本單位的各部門的網絡均有安全性要求高的數據，而因特網上經常會有一些不安全的行為出現。如果每臺主機都直接連到因特網上，勢必會對內部網(Intranet)的安全造成嚴重的危害。因此，使網絡安全運行是網絡發展的前提條件，也是人們日益關注的熱點。
　　如何快速地訪問Internet站點，并提高網絡的安全性，這已成為當今的熱門話題。新一代的代理服務器使我們美夢成真。代理服務器(Proxy Server)可以緩解或解決上述問題，是因特網共享解決方案(Interne t Sharing Solution)的關鍵。
代理服務器軟件安裝在網絡節點上，利用其高速緩存(Cache)，可以極大地、極有效地緩存因特網上的資源。當內部網的一個客戶機訪問了因特網上的某一站點后，代理服務器便將訪問過的內容存入它的高速緩存(Cache)中，如果內部網的其他客戶機再訪問同一個站點時，代理服務器便將它緩存中的內容傳輸給該客戶機，這樣就能使客戶機共享任何一個客戶機所訪問過的資源，這樣就可以大大地提高訪問網站的速度和效率，尤其是對那些冗長、龐大的內容，更可起到立桿見影、事半功倍的作用；同時減少網絡傳輸流量，提高網絡傳輸速度，節約訪問時間，降低訪問費用。
 

三 代理服務器

3.1什么是代理服務器

    代理服務器（Proxy Server）是指代理服務的雙宿主主機，是個人網絡和Internet服務商之間的中間代理機構，它負責轉發合法的網絡信息，對轉發進行控制和登記。代理服務器作為連接Internet(廣域網)與Intranet（局域網）的橋梁
 

3.2代理服務器的功能

(1) 共享網絡
　　   最常見的可能是用代理服務器共享上網，很多人不知不覺中就在用，比如通過sygate，wingate，isa，ccproxy，NT系統自帶的網絡共享等，可以提供企業級的文件緩存、復制和地址過濾等服務，充分利用局域網出口的有限帶寬，加快內網用戶的訪問速度，可以解決僅僅有一條線路一個IP，IP資源不足，帶局域網很多用戶上網的功能，同時可以做為一個防火墻，隔離內網與外網，并且能提供監控網絡和記錄傳輸信息的功能，加強了局域網的安全性，又便于對上網用戶進行管理。
(2)訪問代理
　　加快訪問網站速度，在網絡出現擁擠或故障時，可通過代理服務器訪問目的網站。比如A要訪問C網站，但A到C網絡出現問題，可以通過繞道，假設B 是代理服務器，A可通過B， 再由B到C。大家還記得前幾個月，有段時間網絡不正常，基本訪問不了外國網站，如GOOGLE，YAHOO，甚至連CCF都訪問不了，心里很著急。結果通過一個代理服務器，發現都可以訪問，速度還不錯，在這樣的情況下，代理服務器就可以發揮很大的作用了。還有一類代理服務器備份有相當數量的緩存文件，如果我們當前所訪問的數據在代理服務器的緩存文件中，則可直接讀取，而無需再連接到遠端Web服務器。這樣，加快了訪問速度。
(3) 防止攻擊
　　隱藏自己的真實地址信息，還可隱藏自己的IP，防止被黑客攻擊。通過分析指定IP地址，可以查詢到網絡用戶的目前所在地。例如，大家在一些論壇上看到，論壇中明確標出了發帖用戶目前所在地，這就是根據論壇會員登錄時的IP地址解析的。還有平日里我們最為常用的顯IP版QQ，在“發送消息”窗口中，可以查看對方的IP及解析出的地理位置。而當我們使用相應協議的代理服務器后，就可以達到隱藏自己當前所在地地址的目的了。
(4) 突破限制
　　代理服務器還可以突破網絡限制。比如局域網對上網用戶的端口，目的網站，協議，游戲，即時通訊軟件等的限制，都可以突破這些限制，可參見我這篇帖子，如何突破局域網對上網用戶的一些限制不再重復。舉個例子：GOOGLE我們都喜歡用，其實GOOGLE有一個功能就有點類似于代理服務器的功能，就是網頁快照，現在網站經常發生變動，地址或者網站關了，網站服務器發生故障了，或者已經更新了，但我們仍然要查以前非常有用的資料，網頁快照就排上用場了，Google 以其復雜而全自動的搜索方法排除了任何人為因素對搜索結果的影響，保證了網頁排名的客觀公正，Google 可以方便、誠實、客觀地幫您在網上找到有價值的資料。GOOGLE有一個海量的數據庫，如果找不到服務器，Google 儲存的網頁快照也可救急。雖然網頁快照中的信息可能不是最新的，但在網頁快照中查找資料要比在實際網頁中快得多，這時可以通過加密代理訪問Google，再訪問其網頁快照來救急。
(5)掩藏身份
　　代理服務器知識是黑客基本功，黑客的很多活動都是通過代理服務器，比如掃描、刺探，對局域網內機器進行滲透，黑客一般攻擊的時候都是中轉了很多級跳板，才攻擊目標機器。隱藏了身份，保證了自己的安全。
(6)提高速度
提高下載速度，突破下載限制。比如有的網站提供的下載資源，做了一IP一線程的限制，這時候可以用影音傳送帶，設置多線程，為每個線程設置一個代理。對于限制一個IP的情況很好突破，只要用不同的代理服務器，就可同時下載多個資源，適用于從WEB和FTP 上下載的情況。不過如果是論壇里面的資源，每個用戶一個賬號，并且限制一賬號一IP，代理服務器就突破不了。還有一種情況，比如我們這里，電信的用戶上不了聯通的電影網站，聯通的用戶上不了的電信電影網站，這種情況只要電信的找一個聯通地代理，IP地址屬聯通就行。聯通找一個電信代理。就可以去電影網站下載其電影。教育網還可以通過代理服務器可使無出國權限或無訪問某IP段權限的計算機訪問相關資源。

3.3代理服務器的工作原理
 

 

          

  （1）客戶機發送訪問請求給代理服務器
  （2）代理服務器聯系客戶機請求的服務器，緩存客戶訪問內容
  （3）客戶機訪問代理服務器的緩存    
 

3.4  代理服務器的分類

    (1)正向代理: 正向代理是一個位于客戶端和原始服務器(origin server)之間的服務器，為了從原始服務器取得內容，客戶端向代理發送一個請求并指定目標(原始服務器)，然后代理向原始服務器轉交請求并將獲得的內容返回給客戶端。客戶端必須要進行一些特別的設置才能使用正向代理。正向代理的典型用途是為在防火墻內的局域網客戶端提供訪問Internet的途徑。正向代理還可以使用緩沖特性(由mod_cache提供)減少網絡使用率。使用ProxyRequests指令即可激活正向代理。因為正向代理允許客戶端通過它訪問任意網站并且隱藏客戶端自身，因此你必須采取安全措施以確保僅為經過授權的客戶端提供服務。
   
(2)透明代理:透明代理技術中的透明是指客戶端感覺不到代理的存在，不需要在瀏覽器中設置任何代理，客戶只需要設置缺省網關，客戶的訪問外部網絡的數據包被發送到缺省網關，而這時缺省網關運行有一個代理服務器，數據實際上被被重定向到代理服務器的代理端口（如8080），即由本地代理服務器向外請求所需 數據然后拷貝給客戶端。理論上透明代理可以對任何協議通用。
 
    (3)反向代理: 反向代理正好相反，對于客戶端而言它就像是原始服務器，并且客戶端不需要進行任何特別的設置。客戶端向反向代理的名字空間(name-space)中的內容發送普通請求，接著反向代理將判斷向何處(原始服務器)轉交請求，并將獲得的內容返回給客戶端，就像這些內容原本就是它自己的一樣。反向代理的典型用途是將防火墻后面的服務器提供給Internet用戶訪問。反向代理還可以為后端的多臺服務器提供負載平衡，或為后端較慢的服務器提供緩沖服務。另外，還可以啟用高級URL策略和管理技術，從而使處于不同web服務器系統的web頁面同時存在于同一個URL空間下。
 

3.5 squid簡介

(1)Squid是一個高性能的代理緩存服務器，它支持FTP和HTTP協議
(2)Squid支持SSL，支持訪問控制
(3)Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶請求
(4)Squid代理服務器可以分為：普通代理服務器、透明代理服務器、反向代理服務器
(5) Squid可用在很多操作系統中，如AIX, Digital Unix, FreeBSD, HP-UX, Irix, Linux,NetBSD, Nextstep, SCO, Solaris，OS/2等，也有不少人在其他操作系統中重新編譯過Squid。
(6) Squid對硬件的要求是內存一定要大，不應小于128M，硬盤轉速越快越好，最好使用服務7專用SCSI硬盤，處理器要求不高，400MH以上既可。
 

四iptables與nat

4.1 iptables 簡介

  (1)netfilter
     netfilter/iptables IP 信息包過濾系統是一種功能強大的工具，可用于添加、編輯和除去規則，這些規則是在做信息包過濾決定時，防火墻所遵循和組成的規則。這些規則存儲在專用的信息包過濾表中，而這些表集成在Linux 內核中。在信息包過濾表中，規則被分組放在我們所謂的鏈（chain）中。
　　雖然netfilter/iptables IP 信息包過濾系統被稱為單個實體，但它實際上由兩個組件netfilter 和iptables 組成。
　　netfilter 組件也稱為內核空間（kernelspace），是內核的一部分，由一些信息包過濾表組成，這些表包含內核用來控制信息包過濾處理的規則集。
（2）iptables
    iptables 組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規則變得容易。除非您正在使用Red Hat Linux 7.1 或更高版本，否則需要下載該工具并安裝使用它。
 a.建立規則和鏈
通過向防火墻提供有關對來自某個源、到某個目的地或具有特定協議類型的信息包要做些什么的指令，規則控制信息包的過濾。通過使用netfilter/iptables 系統提供的特殊命令iptables ，建立這些規則，并將其添加到內核空間的特定信息包過濾表內的鏈中。關于添加／除去／編輯規則的命令的一般語法如下：
$ iptables [-t table] command [match] [target]
 
b.表（table）
    [-t table] 選項允許使用標準表之外的任何表。表是包含僅處理特定類型信息包的規則和鏈的信息包過濾表。有三種可用的表選項：filter 、nat 和mangle 。該選項不是必需的，如果未指定，則filter 用作缺省表。
 
    filter 表用于一般的信息包過濾，它包含INPUT 、OUTPUT 和FORWARD 鏈。nat 表用于要轉發的信息包，它包含PREROUTING 、OUTPUT 和POSTROUTING 鏈。如果信息包及其頭內進行了任何更改，則使用mangle 表。該表包含一些規則來標記用于高級路由的信息包，該表包含PREROUTING 和OUTPUT 鏈。
 
注：PREROUTING 鏈由指定信息包一到達防火墻就改變它們的規則所組成，而POSTROUTING 鏈由指定正當信息包打算離開防火墻時改變它們的規則所組成。
 

4.2 Netfilter/iptables系統功能

Nefilter/iptables已經完全代替了ipchains,其中主要原因就在于Nefilter/iptables添加了許多新的功能.Nefilter/iptables的主要功能如下:
 (1) 具有連接跟蹤功能
 (2) 增強了日志功能.
 (3) 支持網絡地址轉換功能.
 (4) 具有自動碎片重裝功能.支持大量增強型補丁包.
    正因為Nefilter/iptables的這些功能,所以Nefilter/iptables常被用戶用于建立支持狀態檢測的包過濾防火墻,還可以利用NAT透明代理和共享上網.
 

4.3 Netfilter/iptables的優點

netfilter/iptables 的最大優點是它可以配置有狀態的防火墻，這是ipfwadm 和ipchains 等以前的工具都無法提供的一種重要功能。有狀態的防火墻能夠指定并記住為發送或接收信息包所建立的連接的狀態。防火墻可以從信息包的連接跟蹤狀態獲得該信息。在決定新的信息包過濾時，防火墻所使用的這些狀態信息可以增加其效率和速度。這里有四種有效狀態，名稱分別為ESTABLISHED 、INVALID 、NEW 和RELATED 。
 
狀態ESTABLISHED 指出該信息包屬于已建立的連接，該連接一直用于發送和接收信息包并且完全有效。INVALID 狀態指出該信息包與任何已知的流或連接都不相關聯，它可能包含錯誤的數據或頭。狀態NEW 意味著該信息包已經或將啟動新的連接，或者它與尚未用于發送和接收信息包的連接相關聯。最后，RELATED 表示該信息包正在啟動新連接，以及它與已建立的連接相關聯。
 
netfilter/iptables 的另一個重要優點是，它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規則來滿足您的特定需求，從而只允許您想要的網絡流量進入系統。
 
    另外，netfilter/iptables 是免費的，這對于那些想要節省費用的人來說十分理想，它可以代替昂貴的防火墻解決方案。
 

4.4 什么是私有地址

    私有地址（Private address）屬于非注冊地址，專門為組織機構內部（如局域網內）使用。
以下表列出留用的內部尋址地址：
    
 

私有IP地址的范圍
私有IP地址的范圍	子網掩碼
10.0.0.0-10.255.255.255	255.0.0.0
172.16.0.0-172.31.255.255	255.255.0.0
192.168.0.0-192.168.255.255	255.255.255.0

 

4.5 什么是NAT

    NAT——網絡地址轉換，是通過將專用網絡地址（如企業內部網Intranet）轉換為公用地址（如互聯網Internet），從而對外隱藏了內部管理的IP 地址。這樣，通過在內部使用非注冊的IP 地址，并將它們轉換為一小部分外部注冊的IP 地址，從而減少了IP 地址注冊的費用以及節省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內部網絡結構，從而降低了內部網絡受到攻擊的風險。
 
 

4.6 NAT工作原理

1. 內部地址翻譯（Translation inside local addresses)：
   這是比較通用的一種方法，將內部IP一對一的翻譯成外部地址。
   在內部主機連接到外部網絡時，當第一個數據包到達NAT路由器時，router檢查它的NAT表

因為是NAT是靜態配置的，故可以查詢出來（simply entry），然后router將數據包的內部局部IP（源地址）更換成內部全局地址，再轉發出去。外部主機接受到數據包用接受到的內部全局地址來響應，NAT接受到外部回來的數據包，再根據NAT表把地址翻譯成內部局部IP，轉發過去。
 
 

1. 內部全局地址復用（overloading inside glogal addresses）
   使用地址和端口pair將多個內部地址影射到比較少的外部地址。這也是所謂的PAT。和內部地

翻譯一樣，NAT router同樣也負責查表和翻譯內部IP地址，唯一的區別就是由于使用了overloading，router將復用同樣的內部全局IP地址，并存儲足夠的信息以區分它和其他地址，這樣查詢出來的是extended entry。NAT router和外部主機的通訊采用翻譯過的內部全局地址，故同一般的通信沒有差別，router到內部主機通訊時，同樣要查NAT表。

    (3)TCP負載重分配（TCP load distributing）和以上兩種操作不同，這是NAT由外到內的翻譯，所          以那種以為WEB server一定要放置到
 
 

4.7 NAT功能

    NAT（網絡地址轉換）提供了局域網共享上網的簡單方案，內部網絡用戶連接互聯網時，NAT將用的
內部IP地址轉換成一個外部公共IP地址，反之，數據從外部返回時，NAT反向將目標地址替換成初始的
內部用戶的地址。實際上NAT隱藏了內部IP地址，構成了一個天然的防火墻。
 
 

4.8 NAT類型

        NAT有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網絡地址端口轉換NAPT（Port
－Level NAT）。
 
        靜態NAT設置起來最為簡單和最容易實現的一種，內部網絡中的每個主機都被永久映射成外部網絡
中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。
 
        動態地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用
于撥號，對于頻繁的遠程聯接也可以采用動態NAT。當遠程用戶聯接上之后，動態地址NAT就會分配給
他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。
 
         網絡地址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方
NAPT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個合法的IP地址后面。NAPT與 動態地
址NAT不同，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT
設備選定的TCP端口號。
 
        在Internet 中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優點在小
型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際
上，許多SOHO遠程訪問設備支持基于PPP的動態IP地址。這樣，ISP甚至不需要支持NAPT，就可以
做到多個 內部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到
節省的ISP上網費用和易管理的特點，用NAPT還是很值得的。
 

五  基于squid透明代理在企業中的應用

         前面論述了代理，iptables,squid以及NAT技術,下面將在一個真實的環境中論述基于squid透明代理實現內網訪問Internet.下圖是一個理想的squid透明代理網絡拓樸結構。

       透明代理是NAT和代理的完美結合,這所以稱為透明,是因為在這種工作方式下用戶感覺不到代理服務器的存在,不需要在瀏覽器或其他客戶端工具中作任何設置,客戶機只需要將默認網關設置為LINUX服務器的IP即可.當客戶機訪問INTERNET,請求數據包經過LINUX服務器轉發INUX服務器上的IPTABLES將客戶機的HTTP請求重定向到SQUID代理服務器,由代理服務器代替客戶機訪問外部信息資源,再將獲取的數據傳回客戶機。
 

5.1 配置網絡接口

給squid服務分配兩塊網卡一個是公網eth0一個是內網eth1,由于條件所限本實驗全用私有地址進行實驗,用一臺windows xp充當局域網中需上網的機器并以C類私有地址0網段與10網段,配置eth0充當公網能連接Internet進行通信,配置eth1地址不能與外網進行通信.
注：本設計基于在Linux 2.4內核下安裝配置squid服務器（本文以Red Hat Linux 9.0為例）
 
1、設置eth0
     （1）#netconfig      
如下圖(1)(2)
 

圖（1）

圖（2）

(2)啟動eth0

 

 

2、設置eth1
（1）進入/etc/sysconfig/network-scripts并查看
 

 

（2）拷貝ifcfg-eth0重新命名為ifcfg-eth1并用vi修改保存
     #vi ifcfg-eth1
 

 

 說明：把接口改為eth1 ip地址為私有地址并不能與外界通信，本文用C類的私有地址10網段
  192.168.10.25 子網掩碼  255.255.255.0 
 

（3）重新啟動網卡
 

3、查看兩塊網卡的IP地址

注：eth0 eth1配置成功

5.2 配置iptables

1、啟動路由

2、起動iptables

3、清空Iptables所有表中規則并查看nat表

4、添加iptables訪問規則

 說明:(1)在NAT表的POSTROUTING鏈加目標動作SNAT,當內部192.168.10.0/24網段的PC 機與外界通信         
     將IP偽裝成192.168.0.25與外界進行通信
          (2)在NAT表的PREROUTING鏈加目標動作REDIRECT,將入站的數據包進行重定向,本條規則是將80       
     號端口重定向成3128

5、保存并查看iptables中的nat表中規則

 

 

 

 注:規則添加成功

5.3安裝squid

1、RPM包安裝squid
(1)查看是否已經安裝了squid


(2)RPM方法安裝squid


 

5.4 配置squid

需要修改squid主配置文件/etc/squid/squid.conf
  (1)/etc/squid/squid.conf主配置文件添加以下內容



說明：a.設squid的HTTP監聽端口為3128目的是把目標端口為80重定向到3128端口
             b.根據服務器配置以及需要來配置指定緩沖內存大小及設置綬存位置大小存儲內型
             c.讓代理服務器的緩存功能正確工作，必須將httpd_accel_uses_host_header選項設為on。

(2)啟動squid



(3)檢查squid啟動端口



 

5.5 測試

 1、配置要進行與外界通信的PC機IP
 

1. 在網上鄰居右擊——屬性——本地連接右擊——屬性——選擇INTERNET協議（TCP/IP）——屬性    

如下圖：

(2)在常規選項占擊使用下面的IP地址和使用下面的DNS服務器地址中添加地址——確定
如下圖：

說明:此處配IP必須要與上面所配的eth1是同一網段，網關要指向eth1的IP ，首選DNS服務器配置要與squid的DNS地址相同
     如下圖：      

                                         
 

       注:百度網頁成功打開,表明測試成功
 

總結

        通過以上的論述，系統的分析了如何基于squid透明代理實現內網訪問外網。從中看出SQUID透明代理配置簡單,客戶機設置簡單不需要在瀏覽器中設置任何代理，具有安全性,它可以很好的保護內部主機免受外部主機的攻擊并具有完整的日志,性能方面它可以提供高速緩存功能并且成本底等，更能體現它的是它可以解IP地址緊缺問題，在企業中可以很好的為企業解決租約IP問題,為企業帶來經濟效益，隨著技術的不斷發展與成熟將會有更多的人員通過它來實現訪問INTERNET為更多的人帶來方便。

 
 

安徽新華電腦學校專業職業規劃師為你提供更多幫助【在線咨詢】