squid怪異問題
先描述一下環境:1.客戶端的網段很多:192.168.x.0/24 其設定的gateway均為192.168.x.254
2.router中把所有客戶端上來的連線均導至192.168.1.254再往防火牆送
3.防火牆的IP為192.168.1.251.防火牆上有筆靜態路由192.168.0.0/16往192.168.1.254送
現在防火牆與router中間擺放一台透通模式的 squid雙網卡採用橋接模式連接.並使用以下shell
#!/bin/bash
IPTABLES=/sbin/iptables
IFCONFIG=/sbin/ifconfig
BRCTL=/usr/sbin/brctl
ROUTE=/sbin/route
LANIPS=192.168.0.0/16
MANAGEMENTIP=192.168.1.245
MANAGEMENTGATEWAY=192.168.1.251
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t mangle
$IPTABLES -t mangle -X
$IPTABLES -F -t nat
$IPTABLES -t nat -X
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# shut down our Ethernet devices
$IFCONFIG eth0 down
$IFCONFIG eth1 down
# bring the Ethernet devices back up with no IP addresses
$IFCONFIG eth0 up 0.0.0.0
$IFCONFIG eth1 up 0.0.0.0
# create our bridge device, and add our Ethernet devices
$BRCTL addbr br0
$BRCTL addif br0 eth0
$BRCTL addif br0 eth1
# add an IP address to the bridge device, this is for management purposes only
$IFCONFIG br0 $MANAGEMENTIP
$ROUTE add default gw $MANAGEMENTGATEWAY
$ROUTE add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.1.254 dev br0
$IPTABLES -t nat -A PREROUTING -i br0 -p tcp --destination-port 80 -m iprange --src-range 192.168.2.0-192.168.254.254 -j REDIRECT --to-port 3128
目前遭遇到的問題:
客戶端進出無異常~唯獨http通訊埠(80)再防火牆上看不到客戶端的IP都變成squid這台機器的IP也就是變成用NAT的模式出去了....一直百思不得其解..想請教大家若要讓客戶端走80埠出去且再防火牆上能看到客戶端自己的IP該做怎樣的修正呢?謝謝 这很正常。
squid代理的一个重要安全功能,就是隐藏内网ip地址,从应用层隔离内外网。
如要在防火墙上看到内网的ip,又达到高速缓存目的,只能是先经过防火墙,再到squid代理。 cryboy2001 发表于 2014-09-19 07:55 static/image/common/back.gif
这很正常。
squid代理的一个重要安全功能,就是隐藏内网ip地址,从应用层隔离内外网。
就前幾篇的文章中所提到的作法,其實已經可以達到我最終要的結果,不過後來有個對外的系統一直無法使用所以都在找原因出在哪邊?這幾天突然想到該系統使透過 AD帳號來作單一登錄
,每次都會卡在輸入完帳號登入時就停住了,而再squid中預設允許的port好像不包含AD會用到的port,不知道是不是這個原因所導致的??可能需要再驗證看看了~ 试试acl加上ad的使用端口看看,没用过。 cryboy2001 发表于 2014-09-24 15:47 static/image/common/back.gif
试试acl加上ad的使用端口看看,没用过。
我也有這樣想過~晚點建個環境測試看看:mrgreen: 繁体字如何转成简体呀
页:
[1]