<b>Linux下DNS轮询与Squid反向代理结合</b>[服务器安全]

1、安装反向代理服务器
1．下载反向代理服务器软件采取squid,下载地址:

http://www.squid-cache.org/Versions/v2/2.2/squid-2.2.STABLE5-src.tar.gz

下载后存放在/usr/local/squid/src目录里,文件名是
squid-2.2.STABLE5-src.tar.gz ;



2．解压代理服务器软件包:

进入/usr/local/squid/src目录,键入以下号令:

gzip -dc squid-2.2.STABLE5-src.tar.gz | tar -xvf -

这个号令将代理服务器软件包解开,成立一个目录叫作squid-2.2.STABLE5,并且把全部的文件放在这个目录里面.

3. 编译源程序

首先运行配置脚本,以便生成合适您的机械的编译脚本.号令格局是:

./configure

这种方法产生的编译脚本编译后默许安装途径是/usr/local/squid.

假如想改变安装途径,需求用以下格局:

./configure -prefix=/some/other/directory

这种办法编译后安装到/some/other/directory里面.

生成编译脚本后,可以正式开始编译了.号令为:

make

4、 安装Squid代理服务器

编译通过后,用以下号令安装:

make install

安装完成后,会在您指定的安装途径里产生一个squid目录,squid目录下有三个目录:etc、bin、logs.此中etc里面是配置文件,bin里面是履行文件,logs里面是日记文件.

2、调试反向代理服务器
安装完毕后就是调试服务器,使其按照您的要求工作.Squid的配置文件只有一个,在etc目录里,名字是squid.conf,全部的配置选项都在这个文件里面.并且每个配置项目都有注释阐明.我们只介绍与反向代理有关的几个项目.

首先,在squid文件里面找到下列配置项:

cache_mem

这里可以添上您预备给squid作为高速缓存利用的内存大小.注意,假如您的机械有N兆内存,那么,举荐您在这里添的数字是N/3.

cache_dir /usr/local/squid/cache 100 16 256

这里的第一个数字100是您预备给squid作为cache利用的硬盘空间大小,单位是兆.假如您想划100M空间当作cache,那么这里就写100.

acl, http_access, icp_access

填写"allowedip"和"allowedip1"ACL拜候掌握列表.这里应当填写你对外公开的服务器的IP,比方此例的两个WEB服务器对应的外部地址为202.99.157.10 和 202.99.157.18,

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowedip src 202.99.157.10/255.255.255.255
acl allowedip1 src 202.99.157.18/255.255.255.255
http_access deny manager all
http_access allow allowedip
http_access allow allowedip1
http_access deny all
icp_access allow allowedip
icp_access allow allowedip1
icp_access deny all
cache_mgr webmaster@britepic.org

这里填写cache管理员的Email地址,系统出错会自动提醒cache管理员.

******以上部份均为squid的通用设置以下为关于反向代理部份的设置******

httpd_accel_host britepic.org
httpd_accel_host avnads.cn

此处设置反向代理的主机名

httpd_accel_port 80

此处设置反向代理的WEB服务端口号

#httpd_accel_with_proxy off

此处设置开反向代理的同时,能否开普通代理服务

改正完配置文件,在正式运行squid代理服务器之前,先举行初始化.号令以下:

% /usr/local/squid/bin/squid -z
% /usr/local/squid/bin/squid

查抄cache.log文件确保全部部份运行正常.假若有出错信息或系统不能正常启动,普通情形是由于目录和文件的存取权限招致的,请细心查抄各目录和文件的权限设置. 此中分外需求注意的是初始化之前应当将squid目录设置成可写,然后将成立的cache目录和logs目录设置成可写.假如一切正常,那么便可以投入利用了.系统默许的服务端口是3128.

反向代理服务器软件安装完毕后,将该服务器在80端口的http服务设置成不启用.3、调整DNS服务器设置
假定DNS服务器（以下称尺度DNS服务器）将britepic.org解析为202.99.157.10,将avnads.cn解析为202.99.157.18,那么我们在配置反向代理服务器这台机械的DNS服务时（我们以下称为内部DNS服务器）,可以针对内部地址的WEB做以下变更:

主机名 尺度DNS解析为 内部
DNS解析为

http://www.britepic.org/ 202.99.157.10 192.168.1.10


http://www.avnads.cn/ 202.99.157.18 192.168.1.18


然后把202.99.157.10和202.99.157.18这两个IP绑定到反向代理服务器上,这样,外界对http://www.britepic.org/和http://www.avnads.cn/ 的拜候就会由尺度DNS解析到反向代理服务器上,默许WEB服务器的服务端口是80,但是由于反向代理服务器的80端口的http服务已经终止,此时的拜候会没有后果.为了能使该拜候恳求可以成功完成,需求在反向代理服务器和真实的http://www.britepic.org/ 和http://www.avnads.cn/ 的WEB服务器之间成立接洽.要和有内部地址的真实WEB服务器成立接洽,首先反向代理服务器上需求再绑定一个内部IP,比方192.168.1.2,别的部份由transproxy这个透明代理软件来完成.Transproxy服务软件通过设置,启用端口81和squid成立接洽,把内部DNS对http://www.britepic.org/和http://www.avnads.cn/的解析地址传给squid服务器,然后通过squid.conf里面关于服务器端口的设置,将服务端口设置为80,这样,squid就拜候内部真实WEB服务器192.168.1.10和192.168.1.18的80端口,把需求拜候的WEB内容取回来,放在squid的cache里供外界拜候.透明代理软件transproxy设置完成后,需求通过设置ipchains法则,将外界发往反向代理服务器的80端口的http恳求转发到transproxy 的81端口,这样就成立了外界通过反向代理间接和真实WEB服务器之间的接洽.

4、安装透明代理软件