Прозрачный прокси с помощью Arno-iptables-firewall и Squid

Привет, как вы могли заметить, я не единожды затрагиваю тему, связанную с прокси-сервером squid и фаерволом, настроенным с помощью Arno. Мне очень нравится пользоваться этим программным обеспечением, так как оно редко глючит и его легко конфигурировать .

В нашей организации мы также используем решения, построенные на ОС Linux, а если быть конкретнее на Debian Squeeze. В этой статье я расскажу вам как настроить прозрачное проксирование.

Squid trans 300x187 Прозрачный прокси с помощью Arno iptables firewall и Squid

Прозрачный прокси — это, своего рода, особая схема связи, при которой трафик перенаправляется на прокси-сервер. При этом клиент такого прокси-сервера может даже и не знать что работа происходит через прокси. Явным плюсом такой схемы является то, что не нужно ничего настраивать у клиентов такого прокси-сервера. Достаточно просто прописать шлюз и dns сервер в настройках подключения.

Итак, для дальнейшей настройки нам понадобится настроенный прокси-сервер squid и скрипт настройки фаервола Arno-iptables-firewall , прежде чем приступить, убедитесь в том, что прокси и фаервол у вас работают как надо, иначе могут возникать непредвиденные ошибки.

Теперь, когда все настроено, сначала давайте немного поменяем настройки squid, так сказать, сделаем его прозрачным :-), для этого откроем конфигурационный файл squid.conf на редактирование.

Можно сделать это следующим способом, в консоли пишем

nano /etc/squid/squid.conf

squid 300x29 Прозрачный прокси с помощью Arno iptables firewall и Squid

После того, как вы откроете конфигурационный файл найдите строчку http_port 3128. Где 3128 — номер порта, на котором и работает наш прокси-сервер.

Приводим нашу строчку с номером порта прокси к следующему виду:

http_port 3128 transparent

squid2 300x140 Прозрачный прокси с помощью Arno iptables firewall и Squid

Сохраняем получившийся результат и перезагружаем прокси-сервер командой:

/etc/init.d/squid restart

squid3 300x139 Прозрачный прокси с помощью Arno iptables firewall и Squid

Вот, собственно, и все, с прокси-сервером мы закончили, дальше нам необходимо настроить межсетевой экран или фаервол, называйте как хотите. Межсетевой экран должен будет перенаправлять поступающие на него запросы с 80 порта на порт прокси 3128.

Когда мы работали еще на Debian Lenny, приходилось прописывать правила и цепочки, используя iptables, например так:

iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dport 80,81,82,83,88,5190,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128 или так: iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Однако с появлением новой версии Arno-Iptables-Firewall , которая вышла, так сказать, в комплекте с Debian Squeeze вся организация стала намного проще, так как появился дополнительный модуль, упрощающий работу в разы.

Открываем на редактирование следующий файл:

nano /etc/arno-iptables-firewall/plugins/transparent-proxy.conf

arno1 300x48 Прозрачный прокси с помощью Arno iptables firewall и Squid

И видим перед собой - Arno's iptables firewall - Transparent Proxy plugin =- в котором, собственно, все очень просто.

arno2 300x146 Прозрачный прокси с помощью Arno iptables firewall и Squid

Нам необходимо изменить всего две строчки кода, как вы можете видеть на скриншоте, по умолчанию плагин выключен и не используется, для того, чтобы его включить поменяем ENABLED=0 на ENABLED=1.

Далее мы видим что опция отвечающая за прозрачное проксирование попросту закомментирована и имеет вид #HTTP_PROXY_PORT=3128, исправим положение, удалив решетку в самом начале опции. Итак, после всех проделанных манипуляций конфиг должен выглядеть так как показано на скриншоте:

Прозрачный прокси с помощью Arno iptables firewall и Squid

Сохраняем получившийся результат и перезапустим наш межсетевой экран командой:

/etc/init.d/arno-iptables-firewall restart

На этом все, после проделанных манипуляций прозрачное проксирование должно работать .

Похожие записи

Приложение Вконтакте для Android
Приложение Вконтакте для Android

Приложения для устройств на платформе Android, которое позволяет вам оставаться на связи со своими друзьями в самой посещаемой социальной сети России и СНГ. Приложение Вконтакте имеет тот же функц...

История о настройке Squid на ALT Linux junior в школе
История о настройке Squid на ALT Linux junior в школе

Предыстория Привет, как-то раз я вызвался помочь одной школе в настройке  никак не поддающегося линукса. При первом разговоре директор  это самой школы не смог ничего толком объяснить, то есть ...

Контент фильтр на linux
Контент фильтр на linux

Как то раз обратился ко мне один знакомый предприниматель с просьбой ограничить нехорошее в интернете , ссылаясь на то что его коллеги уделяют много времени просмотру клубнички . Я сказал что поду...

Обзор телефона Explay Sky Plus
Обзор телефона Explay Sky Plus

От остальных бюджетных смартфонов Explay Sky Plus отличает разве что наличие аналогового ТВ приемника. Не так давно подобная функция присутствовала практически в каждом устройстве, если вы любител...

Интегрированная система разработки (IDE)
Интегрированная система разработки (IDE)

Прежде, чем двигаться дальше, нам необходимо ознакомиться с интегрированной системой разработки для микроконтроллеров PIC. IDE позволяет осуществлять разработку и написание программ как на языке ...

Доступ к сайтам только в определенное время
Доступ к сайтам только в определенное время

В прошлом посте мы с вами устанавливали и немножко настраивали squid. В этом посте мы рассмотрим, как разрешить работу с сайтами только в определенное время, с помощью прокси-сервера squid. Наприм...