linux+squid+iptables企业方案

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量85 收藏
点赞数
文章标签: 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangyong2006/article/details/83970527
版权

01、允许部分人能够访问Internet,但是不能下载; 

02、允许部分人能够下载; 

03、允许部分人完全没有限制; 

04、允许全体人员在固定时间,有部分限制,不在此时间之内,撤除限制; 

05、不允许下载的特定url字符:exe/zip等等; 

06、不允许访问特定的站点; 

07、透明代理和用户认证共存; 

08、允许部分人员只能浏览指定网站; 

09、只允许收发邮件(任何域名邮件(smtp,pop3))和只能收某域名收发某域名邮件; 

10、IP/MAC绑定用户名认证上网; 

11、三种认证方式(mysql,samba,ncsa); 

  首先本人认为01 是不可能实现的,而11我又不会SQL和SAMBA认证只会基本认证,除此之外其余均能实现 
假设子网192.168.1.0/24,某个域名为www.163.com通过PING 的其IP为202.108.36.196,通过其IP限制收发该域名邮件(可在iptables中实现) 
外网网卡为eth0内网网卡为eht1,为eth1绑定192.168.1.201和192.168.0.201 
cp eth1 eth1:1 
修改eht1:1 
没有限制的用户为192.168.0.201以后的IP用MAC标志 
由于AS3没有安装GCC而本身的SQUID里又没有NCSA文档,固重新安装GCC和SQUID, 
tar zxvf squid-2.5.STABLE7.tar.gz 
cd squid-2.5.STABLE7 
./configure --prefix=/usr/local/squid 
--sysconfdir=/etc/squid #配置文档位置 
--enable-arp-acl #客户端的MAC地址进行管理 
--enable-linux-netfilter #允许使用Linux的透明功能 
--enable-pthreads 
--enable-err-language="Simplify_Chinese" 
--enable-default-err-language="Simplify_Chinese" 
#上面两个选项告诉Squid编入并使用简体中文错误信息 
--enable-storeio=ufs,null #能够不用缓冲 
--enable-auth="basic" #认证方式 
--enable-baisc-auth-helpers="NCSA" #认证程式为 
--enable-underscore #允许解析的URL中出现下划线 
make 
make install 
开始配置squid.conf 
######################################################################
# 服务器配置 
icp_port 0 
cache_store_log none 
cache_access_log /dev/null 
cache_log /dev/null 
http_port 3128 
cache_mem 128 MB 
cache_dir null /tmp 

pid_filename none 
client_netmask 255.255.255.255 
half_closed_clients on 

#用户分类 
auth_param basic program /usr/bin/ncsa_auth /usr/etc/passwd 
auth_param basic children 5 
auth_param basic realm Tianfuming proxy-caching server 
auth_param basic credentialsttl 2 hours 
acl normal proxy_auth REQUIDE #用户认证 
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... #10 IP/MAC绑定用户名认证上网; 
acl lana src 192.168.1.0/24 
acl lanb src 192.168.0.1-192.168.0.200/32 

#行为分类 
acl download urlpath_regex -i \.mp3$ \.exe$ \.avi$ \.rar$ \.rvmb$ \.jpg #禁止下载 
#acl conncount maxconn 5 #最大连接数 
acl worktime MTWHF 8:00-18:00 # 04、允许全体人员在固定时间,有部分限制, 
#不在此时间之内,撤除限制(在http_access中限制) 
acl qq dstdomain .snnu.edu.cn 
acl badwords url_regex sex 

acl localhost src 127.0.0.1/32 
acl all src 0.0.0.0/0.0.0.0 

http_access allow advance # 03 允许部分人完全没有限制; 
http_access allow localhost 
#http_access deny conncount normal 
http_access deny ! 
http_access deny badwords worktime # 不允许访问特定url字符网站 
http_access deny qq worktime # 06 不允许访问特定的站点 
http_access allow lana # 02 允许部分人能够下载 
http_access deny download worktime # 05 不允许下载的特定url字符:exe/zip等等; 
http_access allowd lanb homepage #08、允许部分人员只能浏览指定网站; 
http_access allow normal 
http_access deny all #除这些,禁止任何 
#结合透明代理 07、透明代理和用户认证共存 
httpd_accel_host virtual 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 
#####################################################################
iptables脚本 
#####################################################################
#! /bin/sh 

UPLINK="eth0" 
UPIP="a.b.c.d" 
LANLINK="eth1" 
ROUTER="yes" 
#NAT="UPIP/dynamic" 
NAT="UPIP" 
INTERFACES="lo eth0 eth1" 
SERVICES="80 22 25 110 " 
deny="" 
case "$@" in 
start) 
echo -n "Starting firewall..." 
modprobe ip_nat_ftp 
modprobe ip_conntrack_ftp 
iptables -P INPUT DROP 
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A FORWARD DROP 
iptables -A FORWARD -p tcp -m multiport --dport 25 80 110 -j ACCEPT 
iptables -A FORWARD -d !202.108.36.196 -p tcp -m multiport --dprot 25 110 -j DROP ##09、只允许收发邮件(任何域名邮件 
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #(smtp,pop3))和只能收某域名收发某域名邮件 
#iptables -P OUTPUT DROP 
#enable public access to certain services 
for x in ${SERVICES} 
do 
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT 
done 

for y in ${deny} 
do 
iptables -A OUTPUT -p tcp --dport ${y} -j DROP 
iptables -A OUTPUT -p udp --dport ${y} -j DROP 
done 

#enable system-log 
#iptables -A INPUT -j LOG --log-prefix "bad input:" 

iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset 
#iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable 

#explicitly disable ECN 
if [ -e /proc/sys/net/ipv4/tcp_ecn ] 
then 
echo 0 > /proc/sys/net/ipv4/tcp_ecn 
fi 

#disable spoofing on all interfaces 
for x in ${INTERFACES} 
do 
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter 
done 

if [ "$ROUTER" = "yes" ] 
then 
#we're a router of some kind, enable IP forwarding 
echo 1 > /proc/sys/net/ipv4/ip_forward 
if [ "$NAT" = "dynamic" ] 
then 
#dynamic IP address, use masquerading 
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE 
elif [ "$NAT" != "" ] 
then 
#static IP, use SNAT 
iptables -t nat -A PREROUTING -i ${LANLINK} -d ! ${UPIP} -j DNAT --to-ports 3128 
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP} 
fi 
fi 
echo "OK!" 
exit 0 
;; 
stop) 
echo -n "Stopping firewall..." 
iptables -F INPUT 
iptables -P INPUT ACCEPT 
iptables -F OUTPUT 
iptables -P OUTPUT ACCEPT 
#turn off NAT/masquerading, if any 
#iptables -t nat -F POSTROUTING 
echo "OK!" 
exit 0 
;; 
restart) 
$0 stop 
$0 start 

;; 
show) 
clear 
echo ">------------------------------------------------------" 
iptables -L 
echo ">------------------------------------------------------" 
iptables -t nat -L POSTROUTING 
exit 0 
;; 
*) 
echo "Usage: $0 {start|stop|restart|show}" 
exit 1 
esac

fangyong2006
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Linux内核的透明代理配置方案
10-19
基于Linux内核的透明代理配置方案,先解释为什么要配置透明代理。其实只配置squid就可以实现代理功能,但是对于客户端,就必须在浏览器中设置proxyserver,对于其他的工具,比如FlashGet,CuteFTP等等,也必须一一设置...
基于Linux2.4内核的透明代理配置方案
10-19
其实只配置squid就可以实现代理功能,但是对于客户端,就必须在浏览器中设置proxy server,对于其他的工具,比如FlashGet, CuteFTP等等,也必须一一设置,这一点非常麻烦。但是如果设置了透明代理,那么在客户端只...
[Linux] linux+squid+iptables企业方案
土哥的BLOG
03-30 657
转贴自:http://bbs.newhua.com/thread-69131-1-9.html 01、允许部分人可以访问Internet,但是不能下载; 02、允许部分人可以下载; 03、允许部分人完全没有限制; 04、允许全体人员在固定时间,有部分限制,不在此时间之内,撤除限制; 05、不允许下载的特定url字符:exe/zip等等;
linux+squid+iptables企业级解决方案
Enweitech Software Works
01-29 1702
linux+squid+iptables企业级解决方案
Iptables+L7+Squid
weixin_34128534的博客
05-19 105
小编:现在的企业网应用中,有些业务和一些重要部门管理人员对于网络的带宽具有较高的要求,最重要的就是速度的稳定性。这就要求我们的网络管理员对于企业网中的带宽进行合理分配,特别是一些基于P2P的软件和应用进行限制,可以很好的解决带宽的压力,满足特殊用户对于网速的需求。今天我们就一起来搭建一种基于Iptables之上,并结合Layer7七层过滤模块和Squid代理来实现对于特殊应用...
Ubuntu配置adsl + squid + iptables代理服务器
萌萌的It人 www.itmmd.com
05-09 1306
一、背景:      一台双网卡服务器,安装Ubuntu Server 12.04,网卡 eth0 空置,eth1连接局域网,IP 192.168.1.1/24,先连接了宽带路由器。 二、Squid3 尝试源码安装当前最新的Squid3.3,遇到很多问题,懒得弄了,用Ubuntu源里的3.1.19吧。$sudo apt-get install squid3 配置文件在 /etc/squid
linux运维工程师人手一本
01-19
- **Zabbix**: 一种开源的企业级监控解决方案。 - **Cacti+Nagios**: 可以用来监控网络设备的状态。 #### 十、数据库 - **MySQL**: - 架构与配置: 理解MySQL的整体架构,并能够进行合理的配置与优化。 - 引擎与...
从零开始学LINUX
04-05
- **分区方案**:理解根分区、交换分区的作用及如何合理分配磁盘空间。 #### Linux的文件类型 - **知识点概述**:掌握Linux系统中文件的不同类型,如普通文件、目录、链接、设备文件等。 - **详细解析**: - **...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 246
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 953
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 620
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1111
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
DDoS 究竟在攻击什么?
XRY_XIAO的博客
07-24 2161
DDoS 究竟在攻击什么?
大学计算机专业主要课程及概要介绍
07-26 1280
计算机专业还包含丰富的实践教学环节,如工程训练、计算机应用基础训练、认识实习、生产实习、毕业实习、教学实验、社会实践、课程设计和毕业设计等。这些环节旨在通过实际操作和项目经验,提升学生的动手能力和解决实际问题的能力。综上所述,大学计算机专业课程设置全面且深入,旨在培养学生在计算机科学与技术领域的综合能力和创新精神。通过系统的学习和实践,学生将能够掌握计算机科学的基本理论和技术,为未来的职业发展打下坚实的基础。大学计算机专业是一门涵盖广泛领域的学科,旨在培养学生在计算机科学与技术方面的理论知识与实践能力。
“微软蓝屏”事件暴露了网络安全哪些问题
骑上单车去旅行的博客
07-24 821
通过不同领域的技术融合,原有行业的传统模式和业务模型得到改变,进而引发行业的升级和转型。例如,互联网技术的发展和应用,对传统行业如零售、金融等产生了巨大的冲击,推动了行业的数字化、智能化和创新转型。总之,跨领域连锁反应对行业的影响是多方面的,它能够促进行业之间的合作与融合,推动行业的升级和转型,促进行业的跨界创新,提升行业的全球竞争力。通过及时的监控和反馈,可以快速发现并解决潜在的问题,提高软件的质量和稳定性。通过与其他领域的跨界合作和创新,行业能够更好地补充和整合资源,提升自身的创新能力和竞争力。
【计算机网络】TCP三次握手和四次挥手
weixin_61144851的博客
07-24 873
在不可靠的网络中,可能会出现包传输延迟变化大,存在重传的报文段、存在保温重排序等现象,三次握手可以防止因为已经失效的请求报文突然又传到服务器引起错误。三次握手的目的是建立可靠的通信信道,说到通讯,简单来说就是数据的发送与接收,而三次握手最主要的目的就是双方确认自己与对方的发送与接收是正常的第一次握手:客户端什么都不能确认;服务端确认了对方发送正常,自己接收正常第二次握手:客户端确认了:自己发送、接收正常,对方发送、接收正常;服务端确认了:对方发送正常,自己接收正常。
NCRE3 2-1 网络总体设计基本方法
qq_45418837的博客
07-23 351
NCRE3 2-1 网络总体设计基本方法
python中如何输出a * mutton + patato * b + squid * c + steamedbun * d
06-11
在Python中,你可以使用print函数来输出a * mutton + patato * b + squid * c + steamedbun * d的值。具体的代码如下: ```python a = 2 b = 3 c = 4 d = 1 mutton = 5 potato = 10 squid = 3 steamedbun = 2 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值