实例 配置OpenBSD 42为安全代理服务器.pdfVIP

与其它BSD 和大多数Unix 的特点不同，OpenBSD 安装了一切功能， 但是禁用了绝对重要的服务。习 惯于在Linux 安装之后就拥有NFS、Telnet、Finger、FTP 和其它功能用户会发现， 必须要具体地启用而 不是禁用OpenBSD 中的这些服务。OpenBSD 采取的这种设计是防止这些功能被意外打开， 从而造成 潜在的安全突破。前面简单介绍OpenBSD 的时候已经提到，OpenBSD 默认安装已经非常安全，如果希 望再进一步优化，可以考虑对内核进行精简，并重新编译。 因为 OpenBSD 很小并且很安全，所以OpenBSD 实现的最常见目标之一是用作防火墙和代理服务器。 代理服务器从底层对大多数安全单元进行操作，并且 OpenBSD 的包过滤实现是非常优秀的。 一、相关知识点 1. pf pf 是packet filter 的缩写，中文翻译为包过滤(以下简称pf)，它是openbsd 系统上进行tcp/ 流量过滤 和网络地址转换(nat)的软件系统。pf 同样也能提供tcp/ip 流量的整形和控制， 并且提供带宽控制和数据包 优先级控制。硬件防火墙能完成的功能它几乎都能胜任，虽然一般只是用它来做nat，但绝不仅仅只能做 nat。Packet Filter (PF)，OpenBSD 开发社区设计的开放源代码解决方案，它是 OpenBSD 所选择的方 法。与 OpenBSD 软件的其它许多部分一样，这种方法非常成功，以至于其它的 BSD 变种纷纷将其移植 到自己的分发版中。OpenBSD 配置为缺省安全，所以在设置坚如盘石的防火墙时，您无需关闭过多的服 务。您需要启用第二个 Ethernet 接口，并根据需要配置 PF。 2. Squid 工作原理和流程图 代理服务器的工作机制 代理服务器的工作机制很象我们生活中常常提及的代理商，假设你自己的机器为 A 机，你想获得的数 据由服务器B 提供，代理服务器为C，那么具体的连接过程是这样的。首先，A 机需要B 机的数据，A 直 接与C 机建立连接，C 机接收到A 机的数据请求后，与B 机建立连接，下载A 机所请求的B 机上的数据 到本地，再将此数据发送至A 机，完成代理任务。 squid 工作流程：图1 是Squid 工作原理图。 图1 Squid 工作原理图 1.客户端计算机向 代理服务器 端发送一个数据需求封包; 2.代理服务器 端接收之后，先比对这个封包的『来源』与预计要前往的『目标』网站是否为可接受? 如果来源与目标都是合法的，那么代理服务器 端会预计开始替客户端计算机获取信息。 3.代理服务器首先会到自己的硬盘里面，也就是所谓的 cache (缓存) 查看一下有没有 客户端计算机 端所需要的数据，如果有的话，那就将数据直接送到客户端计算机端，而不向互联网获取信息。 4. 将数据传回给客户端计算机端使用。 5.在经过以上三部查寻知道缓存没有数据，或者数据过期之后，代理服务器会向互联网上面的目标网 站要求数据; 6.在将数据取回之后，代理服务器会先将取得的数据储存一份到缓存当中。 7.最后才将数据传回给客户端计算机 端使用。 二、配置 pf 安装好openbsd 系统以后使用pf 是个很简单的事情，只需要在/etc/rc.conf.local 里面加入“pf=yes” 一 行即可。重启系统让配置生效。 你也可以通过pfctl 程序启动和停止pf # pfctl -e # pfctl -d 注意这仅仅是启动和关闭pf，实际它不会载入规则集，规则集要么在系统启动时载入，要么在pf 启动 后通过命令单独载入。如果要记录日志，需要再加入下面两行： pflog_enable=yes # 启动pflogd(8) pflog_logfile=/var/log/pflog # pflogd 用于记录日志的文件名 openbsd 系统安装以后使用pf 成为nat 的网络环境如图2 ： 图 2 简单 网络环境 基于openbsd 4.2 的代理服务器配置双网卡：fxp0 和fxp1 。fxp0 网卡是公网的地址，接外网出口， fxpl 是rfc1918 规定的私有地址， 接内网。 配置文件