正向代理服务一般是针对企业内部的所有员工设置的,鉴于每位员工所掌握的计算机知识不尽相同,如果您所在的公司不是IT行业的公司,想教会大家如何使用代理服务也不是一件容易的事情。再者,无论是什么行业的公司,公司领导都希望能采取某些措施限制员工在公司内的上网行为,这时就需要用到透明的正向代理模式了。
“透明”二字指的是让用户在没有感知的情况下使用代理服务,这样的好处是一方面不需要用户手动配置代理服务器的信息,进而降低了代理服务的使用门槛;另一方面也可以更隐秘地监督员工的上网行为。
在透明代理模式中,用户无须在浏览器或其他软件中配置代理服务器地址、端口号等信息,而是由DHCP服务器将网络配置信息分配给客户端主机。这样只要用户打开浏览器便会自动使用代理服务了。如果大家此时并没有配置DHCP服务器,可以像如图16-12所示来手动配置客户端主机的网卡参数。
图16-12 配置Windows客户端的网络信息
为了避免实验之间互相影响,更好地体验透明代理技术的效果,我们需要把客户端浏览器的代理信息删除(即图16-6的操作),然后再刷新页面,就会看到访问任何网站都失败了,如图16-13所示。
图16-13 停止使用代理服务后无法成功访问网站
有些时候会因为Windows系统的缓存原因导致依然能看到网页内容,这时可以换个网站尝试一下访问效果。
既然要让用户在无需过多配置系统的情况下就能使用代理服务,作为运维人员就必须提前将网络配置信息与数据转发功能配置好。前面已经配置好的网络参数,接下来要使用8.3.2节介绍的SNAT技术完成数据的转发,让客户端主机将数据交给Squid代理服务器,再由后者转发到外网中。简单来说,就是让Squid服务器作为一个中间人,实现内网客户端主机与外部网络之间的数据传输。
由于当前还没有部署SNAT功能,因此当前内网中的客户端主机是不能访问外网的:
C:\Users\linuxprobe>ping www.linuxprobe.com Ping 请求找不到主机 www.linuxprobe.com。请检查该名称,然后重试。 第8章已经介绍了iptables与firewalld防火墙理论知识以及策略规则的配置方法,大家可以任选其中一款完成接下来的实验。刘遄老师觉得firewalld防火墙实在太简单了,因此决定使用纯命令行的iptables防火墙管理工具来演示部署方法。
要想让内网中的客户端主机能够访问外网,客户端主机首先要能获取到DNS地址解析服务的数据,这样才能在互联网中找到对应网站的IP地址。下面通过iptables命令实现DNS地址解析服务53端口的数据转发功能,并且允许Squid服务器转发IPv4数据包。sysctl -p命令的作用是让转发参数立即生效:
[root@linuxprobe ~]# iptables -F [root@linuxprobe ~]# iptables -t nat -A POSTROUTING -p udp --dport 53 -o eno33554968 -j MASQUERADE [root@linuxprobe ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf [root@linuxprobe ~]# sysctl -p net.ipv4.ip_forward = 1 现在回到客户端主机,再次ping某个外网地址。此时可以发现,虽然不能连通网站,但是此时已经能够获取到外网DNS服务的域名解析数据。这个步骤非常重要,为接下来的SNAT技术打下了扎实的基础。
C:\Users\linuxprobe>ping www.linuxprobe.com 正在 Ping www.linuxprobe.com [116.31.127.233] 具有 32 字节的数据: 请求超时。 请求超时。 请求超时。 请求超时。 116.31.127.233 的 Ping 统计信息: 数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失), 与配置DNS和SNAT技术转发相比,Squid服务程序透明代理模式的配置过程就十分简单了,只需要在主配置文件中服务器端口号后面追加上transparent单词(意思为“透明的”),然后把第62行的井号(#)注释符删除,设置缓存的保存路径就可以了。保存主配置文件并退出后再使用squid -k parse命令检查主配置文件是否有错误,以及使用squid -z命令对Squid服务程序的透明代理技术进行初始化。
[root@linuxprobe ~]# vim /etc/squid/squid.conf ………………省略部分输出信息……………… 58 # Squid normally listens to port 3128 59 http_port 3128 transparent 60 61 # Uncomment and adjust the following to add a disk cache directory. 62 cache_dir ufs /var/spool/squid 100 16 256 63 ………………省略部分输出信息……………… [root@linuxprobe ~]# squid -k parse 2017/04/13 06:40:44| Startup: Initializing Authentication Schemes ... 2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'basic' 2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'digest' 2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'negotiate' 2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'ntlm' 2017/04/13 06:40:44| Startup: Initialized Authentication. ………………省略部分输出信息……………… [root@linuxprobe ~]# squid -z 2017/04/13 06:41:26 kid1| Creating missing swap directories 2017/04/13 06:41:26 kid1| /var/spool/squid exists 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/00 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/01 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/02 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/03 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/04 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/05 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/06 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/07 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/08 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/09 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0A 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0B 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0C 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0D 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0E 2017/04/13 06:41:26 kid1| Making directories in /var/spool/squid/0F [root@linuxprobe ~]# systemctl restart squid 在配置妥当并重启Squid服务程序且系统没有提示报错信息后,接下来就可以完成SNAT数据转发功能了。它的原理其实很简单,就是使用iptables防火墙管理命令把所有客户端主机对网站80端口的请求转发至Squid服务器本地的3128端口上。SNAT数据转发功能的具体配置参数如下。
[root@linuxprobe ~]# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 [root@linuxprobe ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eno33554968 -j SNAT --to 您的桥接网卡IP地址 [root@linuxprobe ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] 这时客户端主机再刷新一下浏览器,就又能访问网络了,如图16-14所示。
图16-14 客户端主机借助于透明代理技术成功访问网络
现在肯定有读者在想,如果开启了SNAT功能,数据不就直接被转发到外网了么?内网中的客户端主机是否还依然使用Squid服务程序提供的代理服务呢?其实,只要仔细看一下iptables防火墙命令就会发现,刘遄老师刚才并不是单纯地开启了SNAT功能,而是通过把客户端主机访问外网80端口的请求转发到Squid服务器的3128端口号上,从而还是强制客户端主机必须通过Squid服务程序来上网。为了验证这个说法,我们编辑Squid服务程序的配置文件,单独禁止本书的配套站点(https://www.linuxprobe.com/),然后再次刷新客户端主机的浏览器,发现网页又被禁止显示了,如图16-15所示。
图16-15 客户端主机再次无法访问网络