iptables限制MACIP绑定上网+Squid 透明代理How to

最新推荐文章于 2024-05-14 13:20:36 发布
最新推荐文章于 2024-05-14 13:20:36 发布
阅读量1.1k 收藏
点赞数
分类专栏: Linux

实现功能:
1.iptables 防火墙 对外只打开指定端口
2.启用NAT带局域网上网功能
3.开启NAT 端口转发将80端口转发到内网机器
3.设定只允许可指定IP的和对应的MAC才可以上网
4.启用透明代理 将用户端的访问Web(80)转发到squid的8080
5.禁止用户在线听歌和看电影(通过游览器方式) 透过在squid中限制文件即可

系统及网络环境
1.系统为Red Hat Enterprise Linux AS release 4 (Nahant Update 6)
2.网络环境为双网卡eth0(内网192.168.10.254) eth1(外网202.xxx.xxx.xxx)

贴上iptables及squid配套文件分明如何实现以上功能
1. /etc/sysconfig/iptables文件如下
# Generated by iptables-save v1.2.11 on Mon Jun 2 16:19:27 2008
*nat
:PREROUTING ACCEPT [23128:1514270]
:POSTROUTING ACCEPT [21:1521]
:OUTPUT ACCEPT [22:1561]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT –to-source 202.170.130.116 #NAT 带内网上网
-A PREROUTING -s 192.168.10.0/24 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 #squid透明代理将80端口的访问转到squid监听的8080端口
-A PREROUTING -d 202.XXX.XXX.XXX -p tcp -m tcp –dport 80 -j DNAT –to-destination 192.168.10.XXX
#端口映射,将外网的80转发到内部
COMMIT
# Completed on Mon Jun 2 16:19:27 2008
# Generated by iptables-save v1.2.11 on Mon Jun 2 16:19:27 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [42564:9901094]
:OUTPUT ACCEPT [2509:265716]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -s 192.168.10.XXX -m mac ! –mac-source 00:13:21:25:E5:C8 -j DROP
#这里是重点 此语句的意思,如果来IP和MAC对应不上,就不能通过FORWARD链(不能通过转发链则意味无法上网) 把取得IP和MAC地址一个一个写上去
-A FORWARD -s 192.168.10.XXX -j ACCEPT #允许那些IP可以通过转发链
-A FORWARD -s 192.168.10.0/24 -j DROP #拒绝那些网段(先允许再拒绝)
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp –dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT #(对外开启的端口)
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 65322 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Jun 2 16:19:27 2008

重点是使用了iptables -A -A FORWARD -s 192.168.10.XXX -m mac ! –mac-source 00:13:21:25:E5:C8 -j DROP 实现IP和MAC的绑定

2.squid配置文件
我的squid编译参数
/usr/local/squid/sbin/squid -v
Squid Cache: Version 3.0.STABLE6
configure options: ‘–prefix=/usr/local/squid’ ‘–enable-storeio=ufs,aufs’ ‘–with-pthreads’ ‘–with-aufs-threads=32′ ‘–enable-delay-pools’ ‘–enable-disk-io=Blocking,AIO,DiskThreads,DiskDaemon’ ‘–enable-icmp’ ‘–enable-useragent-log’ ‘–enable-referer-log’ ‘–enable-kill-parent-hack’ ‘–disable-snmp’ ‘–enable-arp-acl’ ‘–enable-default-err-language=Simplify_Chinese’ ‘–enable-linux-netfilter’ ‘–disable-internal-dns’ ‘–enable-x-accelerator-vary’
squid.conf文件
#grep -v “#” /usr/local/squid/etc/squid.conf |grep ‘.’
acl video urlpath_regex -i \.mp3$ \.avi$ \.rmvb$ \.rm$ ##禁止通过浏览器打开视频文件
http_access deny video
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 192.168.10.XXX:8080 transparent #监听8080端口,透明代理一定开加transparent这个参数
hierarchy_stoplist cgi-bin ?
cache_mem 50 MB
cache_dir ufs /usr/local/squid/var/cache 100 16 256
access_log /usr/local/squid/var/logs/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320
cache_mgr 
cache_effective_user nobody
cache_effective_group nobody
visible_hostname gateway
icp_port 3130
error_directory /usr/local/squid/share/errors/Simplify_Chinese
coredump_dir /usr/local/squid/var/cache

执行chown -R nobody:nobody /usr/local/squid/var
再执行/usr/local/squid/sbin/squid -Z
再启动squid /usr/local/squid/sbin/squid
这就行实现上述的所有功能

高级一点加上 ipp2p模块实现限制BT和电驴和使用TC实现流量控制,再加上squid使用DG实现病毒网页过滤等操作 这样就更加完美了

kepa520
关注
专栏目录
iptables简单实现IPMAC绑定上网
03-06
iptables简单实现IPMAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptables实现IPMAC绑定
redwingz的博客
03-12 938
主机192.168.1.201的MAC地址如下: $ ip address 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
使用iptables限制流量请求
12-21
使用iptables限制流量请求,使用iptables限制流量请求,使用iptables限制流量请求
如何在Linux路由上设置IPMAC绑定
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
10-27 2047
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP地址连出。对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用
iptable+SQUID 透明代理验证mac地址上网.
LUES的专栏
03-17 3267
eth0是我外网网卡,eth1是我内网网卡1.建立静态IP/MAC捆绑方法:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:[root@test2 root]# more /etc/ethers192.168.10.18   00:10:DC:6B:C6:31192.168.10.111  00:10:5C:C0:2B:C1192.168.10.13   4C:00:
squid+iptables透明代理配置詳解
12-28
### squid+iptables透明代理配置详解 #### 一、概述 本文档旨在详细介绍如何配置一个结合squidiptables透明代理服务器。此配置适用于Linux环境下的内部网络管理需求,特别是对于那些希望实现不同用户级别的...
Squid传统、透明代理操作配置与ACL限制示例含黑白名单
m0_75211541的博客
02-25 1414
squid作为应用层代理服务软件,主要提供缓存加速和应用层过滤控制的功能优点:①通过缓存的方式为用户提供Web访问加速、②对用户的Web访问进行过滤控制。
squid 透明代理的实现与配置
06-29
### Squid 透明代理的实现与配置 #### 一、Squid 透明代理概述 透明代理是一种代理服务器的工作模式,在这种模式下,客户端无需进行任何配置就能通过代理服务器访问互联网资源。Squid 作为一款广泛使用的高性能...
squid代理——传统代理&透明代理
ML908的博客
03-18 344
文章目录squid代理服务器应用一、缓存代理的概述1、web代理的工作机制2、代理的基本类型3、使用代理的好处二、squid代理安装三、搭建传统代理1、squid代理服务器配置2、配置WEB服务器3、客户机配置及验证四、搭建透明代理1、squid代理服务器配置2、客户端验证 squid代理服务器应用 一、缓存代理的概述 1、web代理的工作机制 缓存网页对象,减少重复请求 ​ Squi...
squid传统代理透明代理服务配置、ACL访问控制、日志分析、反向代理
weixin_51613313的博客
03-01 1746
Squid一、Squid 代理服务器二、安装 Squid 服务三、构建传统代理服务器四、构建透明代理服务器Web1 配置 一、Squid 代理服务器 Squid主要提供缓存加速、应用层过滤控制的功能。 代理的工作机制: 代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。 将获得的网页数据(静态Web元素)保存到缓存中并发送给客户机,以便下次请求相同的数据时快速响应。 Squid 代理的类型: 传统代理:适用于Internet,需在客户机指定代理服务器的地址和端口。 透明代理:客户机不
arptables实现ARP报文IPMAC绑定
redwingz的博客
03-13 1336
iptables实现的IPMAC绑定对ARP报文无效,以下使用arptables规则控制ARP报文的IPMAC绑定。在主机192.168.1.127上配置以下规则: # arptables -A INPUT -s 192.168.1.201 --source-mac ! 00:0C:29:38:40:6B -j DROP # # arptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) -j DROP -i any -o any -s 19
华为防火墙跨三层mac识别配置
A soul tortured by desire
09-08 6847
防火墙配置安全策略后,一些应用从网络禁用,但是个别人需要访问这些被禁用的应用程序,该怎么办? 做允许策略,配置允许地址,将IP加到允许地址中,此IP就可以访问被禁用的应用程序。 但是,局域网如果是开启了DHCP,动态地址,哪该怎么办呢? 在允许地址中添加设备的mac地址,用mac地址代替ip 但是局域网一般都是三层,尤其是开启了DHCP的局域网,大家都知道二层是mac地址,三层是IP,显然三层交换机发给上层设备防火墙的是IP,并非mac;但是三层交换下接二层交换机,二层交换机将mac地址告诉了.
IPTables防火墙基本使用和命令
m0_68636078的博客
03-11 1575
iptables的基本命令和使用
防火墙 iptables的使用
X2683933654的博客
11-29 567
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙。
iptables 防火墙解析
2301_76858832的博客
06-05 594
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
AC上网行为管理之用户认证技术
weixin_53946822的博客
11-15 1245
1、IT部不需要认证
iptables转发基础
最新发布
2401_84279169的博客
05-14 943
iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作要使用iptables的NAT功能,我们首先需要启用网卡的IP转发功能如果想要永久生效,我们要编辑文件,设置,然后用sysctl -p命令使配置文件生效。我们使用**-t nat**参数指明使用nat表,因为iptables默认使用filter表。nat表同filter表一样有三条缺省的”链”(chains):POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址。
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1433
iptables命令的总结
iptables mac
weixin_41666796的博客
09-27 325
1、阻止MAC地址为XX:XX:XX:XX:XX:XX主机的所有通信: iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值