网络服务器搭建、配置与管理——Linux版(国家级精品课程配套教材)(1CD)习题答案 杨云 马立新 9.7 综合案例分析解决方案（参考答案）.pdfVIP

9.7 综合案例分析 一、综合案例分析1 解决方案 新新职业学院搭建一台代理服务器，需要提高内网访问互联网速度并能够对内部教职工 的上网行为进行限制，请采用squid 代理服务器软件，对内部网络进行优化。 请写出需求分析，以及详细的解决方案。 1．需求分析 提高用户访问速度，需要对squid 服务器进行优化并且需要使用acl 对访问行为进行 相应限制。（eth0 模拟内网，eth1 模拟外网。） 2．解决方案 （1）路由及NAT 设置 ① 设置网卡IP 地址 eth0:88 netmask: vim /etc/sysconfig/network-scripts/ifcfg-eth0 eth1:dhcp 获取 vim /etc/sysconfig/network-scripts/ifcfg-eth1 ② 开启内核路由功能 echo 1 /proc/sys/net/ipv4/ip_forward ③ 配置iptables 设定nat，即透明代理 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 如果只设置下面一句而上面一句不设置，客户端也可以上网，只是不通过squid。 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE ④ 保存iptables 设置 service iptables save （2）修改selinux 设置 setsebool -P squid_disable_trans on 注意： 如果配置squid 透明代理，要开启selinux 的squid_disable_trans，否则squid 不 能启动。 （3）添加squid 系统用户和组 [root@rhel5 ~]# groupadd squidadmin [root@rhel5 ~]# useradd squidadmin -g squidadmin -s /sbin/nologin （4）建立相应目录 [root@rhel5 ~]# mkdir /usr/local/squid [root@rhel5 ~]# mkdir /usr/local/squid/cache [root@rhel5 ~]# mkdir /usr/local/squid/var [root@rhel5 ~]# mkdir /usr/local/squid/var/logs （5）改变目录的所有者 为了保证服务正常启动并可以写入缓存、日志等信息，我们更改目录所有者为 squidadmin。 [root@rhel5 ~]# chown -R squidadmin /usr/local/squid/cache [root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/cache [root@rhel5 ~]# chown -R squidadmin /usr/local/squid/var/logs [root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/var/logs （6）修改squid 配置文件 vim /etc/squid/squid.conf 设置监听地址和端口 http_port 3128 transparent 红色部分是支持透明代理，这是squid 新版本的改进 注意： 好多资料说透明代理设置为 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on 实际上透明代理只是在普通代理的基础上加上了http_port 3128 transparent 及 IPTABLES 的端口转发功能，使用Iptables 或者Ipchains 实现，即把用户对外部www 站点的访问转到Squid