Répertoire d'articles
1. Agence transparente
1. Diagramme topologique
2. Environnement
- Le client n'a pas besoin de spécifier l'adresse IP et le numéro de port d'écoute du serveur proxy. Il estime qu'il communique directement avec le réseau public, mais il doit pointer l'adresse de la passerelle vers l'adresse IP de l'interface réseau interne du serveur proxy.
- Caractéristiques: Il est transparent pour les utilisateurs, c'est-à-dire que les utilisateurs ne sont pas conscients de l'existence de pare-feu. Couramment utilisé dans le frontal d'un cluster de serveurs.
- Afin de réaliser le mode transparent, le pare-feu doit fonctionner sans adresse IP, et il n'est pas nécessaire de lui définir une adresse IP, et l'utilisateur ne connaît pas l'adresse IP du pare-feu.
Avantages: Cela augmente non seulement la sécurité du réseau, mais réduit également la complexité de la gestion des utilisateurs.
3. Opération de déploiement
1. Ouvrez la page des paramètres du navigateur-préférences-paramètres de connexion-réseau-avancés-ne pas utiliser de proxy
2. Désactivez le service Squid
[root@squid ~]# systemctl stop squid 关闭服务
3. Activez la fonction de routage
[root@squid ~]# vi /etc/sysctl.conf
[root@squid ~]# sysctl -p
添加
net.ipv4.ip_forward=1
4. Configurez le gestionnaire de réseau pour qu'il pointe vers l'adresse IP du même segment de réseau que Squid
[root@client ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens33
[root@client ~]# systemctl restart network
[root@client ~]# route -n #查看路由
5. Ajouter un routage sur web1
[root@web1 ~]# route add -net 192.168.1.0/24 gw 192.168.2.10
[root@web1 ~]# route -n
6. Testez le client pour accéder au serveur Web
[root@client ~]# ping 192.168.2.11
[root@client ~]# ping 192.168.2.12
Configurer le serveur proxy transparent Configurer
sur Squid
1. Modifier le fichier de configuration
[root@squid ~]# vi /etc/squid.conf
[root@squid ~]# systemctl start squid #启动squid服务
[root@squid ~]# netstat -anpt | grep squid #查看端口状
修改
http_port 192.168.1.10:3128 transparent #接收客户端的地址
[root@squid ~]# iptables -F 清空所有规则
[root@squid ~]# iptables -t nat -I PREROUTING -i ens33 -s 192.168.1.0/24 -p tcp --dport=80 -j REDIRECT --to 3128
#插入一条规则入站时,入站网卡ens33源地址192.168.1.0/24协议名tcp目标端口80,重定向到3128端口
[root@squid ~]# iptables -t nat -I PREROUTING -i ens33 -s 192.168.1.0/24 -p tcp --dport=443 -j REDIRECT --to 3128
[root@squid ~]# iptables -I INPUT -p tcp --dport=3128 -j ACCEPT
[root@squid ~]# iptables -t nat -L #查看nat表中的规则
[root@squid ~]# iptables -L #列出所有表中的链,指定链中的规则
Avant les visites du client, assurez-vous que le service apache de web1 et web2 a activé
web1
[root@web1 ~]# systemctl start httpd
[root@web1 ~]# curl http://localhost
<h1>This is Web1</h1>
web2
[root@web2 ~]# systemctl start httpd
[root@web2 ~]# curl http://localhost
<h1>This is Web2</h1>
Test:
192.168.2.11
192.168.2.12
afficher le journal
[root@web1 ~]# tail -f /var/log/httpd/access_log
[root@web2 ~]# tail -f /var/log/httpd/access_log
Voir le journal sur le calmar
[root@squid ~]# tail -f /usr/local/squid/var/logs/access.log
