linux iptables

walw

需求说明：此服务器用作网关,内网 192.168.88.0/24 通过此服务器做透明代理
代理服务器 :系统 redhat as4 双网卡  eth0:192.168.88.186,内网
                              eth1:202.*.*.*     ,外网
proxy的端口3128

iptables脚本如下：
#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
/sbin/modprobe ip_conntrack_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 27 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 113 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80   -j ACCEPT
＃squid代理端口－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
/sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT  
＃把内网192.168.88.0/24所有请求端口为80 转发到3128squid代理端口上－－－
/sbin/iptables -t nat -A PREROUTING  -i eth0  -p tcp --dport 80 -j REDIRECT --to-ports 3128
＃把内网192.168.88.0/24所有请求端口为53（DNS）转发到电信DNS上－－－－－－
/sbin/iptables -t nat -A PREROUTING  -i eth0  -p udp --dport 53 -j DNAT --to 211.×.×.×
/sbin/iptables -t nat -A PREROUTING  -i eth0  -p tcp --dport 53 -j DNAT --to 211.×.×.×
＃给内网192.168.88.0/24做SNAT伪装－－－－－－－－－－－－－－－－－－－－
/sbin/iptables -t nat -A POSTROUTING -o eth1  -s 192.168.88.0/24  -j SNAT --to 202.×.×.×
echo "iptables is start"


squid.conf配置如下

http_port 3128
visible_hostname TestAs4 #TestAs4为主机名
cache_mem 80 MB  
cache_swap_low 90
cache_swap_high 95
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_mgr
chenwenming@38do.com.cn


内网用户网关及DNS设置为 192.168.88.186 即网关服务器内网IP，就做到透明代理效果。

查看一下squid的运行效率
squidclient -pPORT mgr:info
squidclient -pPORT mgr:5min
可以看到详细的性能情况,其中PORT是你的proxy的端口，5min可以是60min
如果要禁止内网IP:192.168.88.214上网
在代理服务器filter表的FORWARD键加一条规则   
iptables -A FORWARD -s 192.168.88.214 -j DROP


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/71221/showart_736422.html