original url:
http://www.oschina.net/question/17_6371
最近常在网上看到很多朋友假设透明代理碰到问题,一个常见的问题是:
1.IPtables(netfilter)以配置好,Squid也配置好了;2.不通过Squid可以正常访问网页;
3.或者清空iptables规则,在客户端配置代理也能访问;
4.一旦同时启用iptables,Squid,同时把80的流量转发到代理端口时就出现问题,网页无法访问;而其他的应用正常.
为什么?其实我想可能是很多朋友对IPtables还没有个透彻的理解,下面就和大家一起讨论一下:
一、iptables和netfilter的区别
iptables使用来配置netfilter的工具,只是一个人机界面,真正工作时是netfilter在根据规则来对流量进行过滤。
二、流量如何通过netfilter?
不同的流量,由于其目标地址的不同,其穿过的netfilter链也是不同的,基本上可以分为下面三种情况:
1.输入流:目标地址为本机的数据包
2.输出流:源地址为本机的数据包
3.转发流:目标和源均不是本机,但需要本机的转发
输入流的链路径:
线路->;接口->;mangle.PREROUTING->;nat.PREROUTING->;[routing]->;mangle.INPUT->;filter.INPUT->;[本地处理]
输出流的链路径:
应用程序->;[routing]->;mangle.OUTPUT->;nat.OUTPUT->;filter.OUTPUT->;mangle.POSTROUTING->;nat.POSTROUTING->;接口->;线路
转发流的链路径:
线路->;接口->;mangle.PREROUTING->;nat.PREROUTING->;[routing]->;mangle.FORWARD->;filter.FORWARD->;mangle.POSTROUTING->;nat.POSTROUTING->;接口->;线路
[routing]指本地地路由决策。
以上为www.netfilter.org网站对IP数据包如何流过linux路由器地描述,由于本人对以前版本地IPchain及IPfw了解不多,因此这里仅限于对netfilter/iptables的讨论。
从上面的路径链可以看到, 三种数据流穿过的规则链是有区别的 。下面就让我们讨论一下iptables应该如何配合squid.
三、直接转发与使用SQUID的区别
不管是直接转发,还是通过NAT接入internet,数据包都是在第三层进行处理,此时数据流是[u] 转发流 [/u],不会穿过filter.INPUT和filter.OUTPUT链。
而squid是在[u] 应用层 [/u]来完成代理工作的,它将介入internet信息的访问过程,分别和内部客户机、外部服务器建立数据连接,因此 数据流将是输入流和输出流 也必将穿越filter.INPUT和filter.OUTPUT链。因此,要让Squid正常为客户提供代理服务,我们必须在INPUT和OUTPUT链中增加相应设置。而很多时候我们都把INPUT和OUTPUT链的缺省规则设置为DROP。
这就是出现以上故障现象的主要原因。
看到这里我想大多数朋友应该知道如何来配置INPUT和OUTPUT规则链了。实际上在这个链中只要具备了满足如下规则的条目,就可以达到我们的目的。
1.允许内部机器到本机代理端口的连接;
2.允许本机到外部世界的连接。
典型的,在常用配置中(缺省的链策略为DROP)增加规则如下:
iptables -A INPUT -i $INTERNAL -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -o $INTERNAL -m state --state RELATIVE,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $INTERNAL -m state --state RELATIVE,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $EXTERNAL -m state --state NEW,RELATIVE,ESTABLISHED -j ACCEPT
以上为本人查阅相关资料并分析和总结所得,如有错误的地方,欢迎大家指正。
94
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
