搭建安全的linux网络

今天在看《搭建安全的linux网络》，主要讲述的是linux的防火墙以及squid代理、VPN我觉得讲述的不错

所以决定开始写随笔。

链：

filter：也就是通常所说的防火墙，用于包过滤

nat：用于改写包的源地址/目的地址，源端口/目的端口，主要用于实现SNAT/DNAT

mangle:用于改写包的内容，包括TTL值，以及用于控制QOS的相关参数值...

表：

INPUT：即将送入本地进程

OUTPUT：刚刚离开本地进程

FORWARD:（路过）没有和本地进程打交道

PREROUTING:刚刚进入网络界面

POSTROUTING：即将离开网络界面

以上5个表链，在每一个chain里面都或多或少存在，所以学习iptables的一个首要任务是熟悉它的整个包的行程图。

#################################################################################################

 最近进展太快，有点接受不了了，今天又把squid复习了一遍，下面是今天的总结：

Proxy Server:squid

Proxy Server的主要功能是代理，我们可以借助Proxy达到屏蔽的目的，这样即可提供Client和server一个安全

的服务执行环境,在应用上，根据保护的对象不同，大致上分为:cache proxy 和 reverse proxy(正向代理和反向代理)

cache proxy:节约企业外网访问带宽，提高访问效率.目前，这种方式相当与做一个cache

reverse proxy:用来保护server端，即把真正的web server 放在企业内部网络，在DMZ区只放置

              squid proxy server，大大提高了安全性和可靠度.

硬件需求:

1.CPU:squid server对cpu要求不高，甚至P4足够了(500人网络)

2.Memory:内存越大越好

3.Hard Disk:最好是SCSI

4.最好3COM，至少Intel

配置文件:/etc/squid/squid.conf

http_port 3128                        //代理端口

cache_dir ufs /var/spool/squid/ 3000 16 256  //3000为硬盘的cache大小，16为一级目录，256为二级目录

                                              //这条配置语句可以添加多行，目录最好在不同的分区，这样

                                               //可以提高cache速度,cache最大应该为3000(单个)

cache_mem 256                          //Memory的cache,一般为1/2 ~ 2/3，看机器用途。

访问控制:

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255

http_access allow localhost

http_access deny all

cache_swap_high 95

cache_swap_low  80   //这两个用来规定，当硬盘里面的cache被填满时的操作，即达到95%时我就清空15%

maximum_object_size 40960 KB  //预设情况下cache只会用于4MB文件，于是我们把它改为40MB比较合理

另外acl支持通配符,相关请查阅,甚至可以规定时间！

 下面讲解一个非常重要的refresh_pattern：

为了有效管理Cache对象的有效期限，Squid Proxy 特别设计了refresh_pattern参数.

refresh_pattern [-i] regex min percent max

。