今天在看《搭建安全的linux网络》,主要讲述的是linux的防火墙以及squid代理、VPN我觉得讲述的不错
所以决定开始写随笔。
链:
filter:也就是通常所说的防火墙,用于包过滤
nat:用于改写包的源地址/目的地址,源端口/目的端口,主要用于实现SNAT/DNAT
mangle:用于改写包的内容,包括TTL值,以及用于控制QOS的相关参数值...
表:
INPUT:即将送入本地进程
OUTPUT:刚刚离开本地进程
FORWARD:(路过)没有和本地进程打交道
PREROUTING:刚刚进入网络界面
POSTROUTING:即将离开网络界面
以上5个表链,在每一个chain里面都或多或少存在,所以学习iptables的一个首要任务是熟悉它的整个包的行程图。
#################################################################################################
最近进展太快,有点接受不了了,今天又把squid复习了一遍,下面是今天的总结:
Proxy Server:squid
Proxy Server的主要功能是代理,我们可以借助Proxy达到屏蔽的目的,这样即可提供Client和server一个安全
的服务执行环境,在应用上,根据保护的对象不同,大致上分为:cache proxy 和 reverse proxy(正向代理和反向代理)
cache proxy:节约企业外网访问带宽,提高访问效率.目前,这种方式相当与做一个cache
reverse proxy:用来保护server端,即把真正的web server 放在企业内部网络,在DMZ区只放置
squid proxy server,大大提高了安全性和可靠度.
硬件需求:
1.CPU:squid server对cpu要求不高,甚至P4足够了(500人网络)
2.Memory:内存越大越好
3.Hard Disk:最好是SCSI
4.最好3COM,至少Intel
配置文件:/etc/squid/squid.conf
http_port 3128 //代理端口
cache_dir ufs /var/spool/squid/ 3000 16 256 //3000为硬盘的cache大小,16为一级目录,256为二级目录
//这条配置语句可以添加多行,目录最好在不同的分区,这样
//可以提高cache速度,cache最大应该为3000(单个)
cache_mem 256 //Memory的cache,一般为1/2 ~ 2/3,看机器用途。
访问控制:
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
http_access deny all
cache_swap_high 95
cache_swap_low 80 //这两个用来规定,当硬盘里面的cache被填满时的操作,即达到95%时我就清空15%
maximum_object_size 40960 KB //预设情况下cache只会用于4MB文件,于是我们把它改为40MB比较合理
另外acl支持通配符,相关请查阅,甚至可以规定时间!
下面讲解一个非常重要的refresh_pattern:
为了有效管理Cache对象的有效期限,Squid Proxy 特别设计了refresh_pattern参数.
refresh_pattern [-i] regex min percent max
。