一、安裝反向代理服務(wù)器

　　1.下載反向代理服務(wù)器軟件采用squid，下載地址:

　　http://www.squid-cache.org/Versions/v2/2.2/squid-2.2.STABLE5-src.tar.gz

　　下載后存放在/usr/local/squid/src目錄里，文件名是

　　squid-2.2.STABLE5-src.tar.gz ;

　　2.解壓代理服務(wù)器軟件包:

　　進(jìn)入/usr/local/squid/src目錄，鍵入如下命令:

　　gzip -dc squid-2.2.STABLE5-src.tar.gz | tar -xvf -

　　這個(gè)命令將代理服務(wù)器軟件包解開，建立一個(gè)目錄叫作squid-2.2.STABLE5，并且把所有的文件放在這個(gè)目錄里面。

　　3. 編譯源程序

　　首先運(yùn)行配置腳本，以便生成適合您的機(jī)器的編譯腳本。命令格式是:

　　./configure

　　這種方式產(chǎn)生的編譯腳本編譯后默認(rèn)安裝路徑是/usr/local/squid。

　　如果想改變安裝路徑，需要用以下格式:

　　./configure -prefix=/some/other/directory

　　這種方法編譯后安裝到/some/other/directory里面。

　　生成編譯腳本后，可以正式開始編譯了。命令為:

　　make

　　4、 安裝Squid代理服務(wù)器

　　編譯通過(guò)后，用以下命令安裝:

　　make install

　　安裝完成后，會(huì)在您指定的安裝路徑里產(chǎn)生一個(gè)squid目錄，squid目錄下有三個(gè)目錄:etc、bin、logs。其中etc里面是配置文件，bin里面是執(zhí)行文件，logs里面是日志文件。

　　二、調(diào)試反向代理服務(wù)器

　　安裝結(jié)束后就是調(diào)試服務(wù)器，使其按照您的要求工作。Squid的配置文件只有一個(gè)，在etc目錄里，名字是squid.conf，所有的配置選項(xiàng)都在這個(gè)文件里面。而且每個(gè)配置項(xiàng)目都有注釋說(shuō)明。我們只介紹與反向代理有關(guān)的幾個(gè)項(xiàng)目。

　　首先，在squid文件里面找到下列配置項(xiàng):

　　cache_mem

　　這里可以添上您準(zhǔn)備給squid作為高速緩存使用的內(nèi)存大小。注意，如果您的機(jī)器有N兆內(nèi)存，那么，推薦您在這里添的數(shù)字是N/3。

　　cache_dir /usr/local/squid/cache 100 16 256

　　這里的第一個(gè)數(shù)字100是您準(zhǔn)備給squid作為cache使用的硬盤空間大小，單位是兆。如果您想劃100M空間當(dāng)作cache,那么這里就寫100。

　　acl, http_access, icp_access

　　填寫"allowedip"和"allowedip1"ACL訪問控制列表。這里應(yīng)該填寫你對(duì)外公開的服務(wù)器的IP,比如此例的兩個(gè)WEB服務(wù)器對(duì)應(yīng)的外部地址為202.99.157.10 和 202.99.157.18，

　　acl manager proto cache_object

　　acl localhost src 127.0.0.1/255.255.255.255

　　acl all src 0.0.0.0/0.0.0.0

　　acl allowedip src 202.99.157.10/255.255.255.255

　　acl allowedip1 src 202.99.157.18/255.255.255.255

　　http_access deny manager all

　　http_access allow allowedip

　　http_access allow allowedip1

　　http_access deny all

　　icp_access allow allowedip

　　icp_access allow allowedip1

　　icp_access deny all

　　cache_mgr webmaster@test.com.cn

　　這里填寫cache管理員的Email地址，系統(tǒng)出錯(cuò)會(huì)自動(dòng)提醒cache管理員。

　　******以上部分均為squid的通用設(shè)置以下為關(guān)于反向代理部分的設(shè)置******

　　httpd_accel_host test.com.cn

　　httpd_accel_host test1.com.cn

　　此處設(shè)置反向代理的主機(jī)名

　　httpd_accel_port 80

　　此處設(shè)置反向代理的WEB服務(wù)端口號(hào)

　　#httpd_accel_with_proxy off

　　此處設(shè)置開反向代理的同時(shí)，是否開普通代理服務(wù)

　　修改完配置文件，在正式運(yùn)行squid代理服務(wù)器之前，先進(jìn)行初始化。命令如下:

　　% /usr/local/squid/bin/squid -z

　　% /usr/local/squid/bin/squid

　　檢查cache.log文件確保所有部分運(yùn)行正常。如果有出錯(cuò)信息或系統(tǒng)不能正常啟動(dòng)，一般情況是由于目錄和文件的存取權(quán)限導(dǎo)致的，請(qǐng)仔細(xì)檢查各目錄和文件的權(quán)限設(shè)置。 其中特別需要注意的是初始化之前應(yīng)該將squid目錄設(shè)置成可寫，然后將創(chuàng)建的cache目錄和logs目錄設(shè)置成可寫。如果一切正常，那么就可以投入使用了。系統(tǒng)默認(rèn)的服務(wù)端口是3128。

　　反向代理服務(wù)器軟件安裝完畢后，將該服務(wù)器在80端口的http服務(wù)設(shè)置成不啟用。

　　三、調(diào)整DNS服務(wù)器設(shè)置

　　假設(shè)DNS服務(wù)器(以下稱標(biāo)準(zhǔn)DNS服務(wù)器)將test.com.cn解析為202.99.157.10，將test1.com.cn解析為202.99.157.18，那么我們?cè)谂渲梅聪虼矸?wù)器這臺(tái)機(jī)器的DNS服務(wù)時(shí)(我們以下稱為內(nèi)部DNS服務(wù)器)，可以針對(duì)內(nèi)部地址的WEB做如下變換:

　　主機(jī)名 標(biāo)準(zhǔn)DNS解析為 內(nèi)部

　　DNS解析為

　　www.test.com.cn 202.99.157.10 192.168.1.10

　　www.test1.com.cn 202.99.157.18 192.168.1.18

　　然后把202.99.157.10和202.99.157.18這兩個(gè)IP綁定到反向代理服務(wù)器上，這樣，外界對(duì)www.test.com.cn和www.test1.com.cn 的訪問就會(huì)由標(biāo)準(zhǔn)DNS解析到反向代理服務(wù)器上，默認(rèn)WEB服務(wù)器的服務(wù)端口是80，但是由于反向代理服務(wù)器的80端口的http服務(wù)已經(jīng)終止，此時(shí)的訪問會(huì)沒有結(jié)果。為了能使該訪問請(qǐng)求能夠成功完成，需要在反向代理服務(wù)器和真實(shí)的www.test.com.cn 和www.test1.com.cn 的WEB服務(wù)器之間建立聯(lián)系。要和有內(nèi)部地址的真實(shí)WEB服務(wù)器建立聯(lián)系，首先反向代理服務(wù)器上需要再綁定一個(gè)內(nèi)部IP，比如192.168.1.2，其余部分由transproxy這個(gè)透明代理軟件來(lái)完成。Transproxy服務(wù)軟件通過(guò)設(shè)置，啟用端口81和squid建立聯(lián)系，把內(nèi)部DNS對(duì)www.test.com.cn和www.test1.com.cn的解析地址傳給squid服務(wù)器，然后通過(guò)squid.conf里面關(guān)于服務(wù)器端口的設(shè)置，將服務(wù)端口設(shè)置為80,這樣，squid就訪問內(nèi)部真實(shí)WEB服務(wù)器192.168.1.10和192.168.1.18的80端口，把需要訪問的WEB內(nèi)容取回來(lái)，放在squid的cache里供外界訪問。透明代理軟件transproxy設(shè)置完成后，需要通過(guò)設(shè)置ipchains規(guī)則，將外界發(fā)往反向代理服務(wù)器的80端口的http請(qǐng)求轉(zhuǎn)發(fā)到transproxy 的81端口，這樣就建立了外界通過(guò)反向代理間接和真實(shí)WEB服務(wù)器之間的聯(lián)系。#p#分頁(yè)標(biāo)題#e#

　　四、安裝透明代理軟件

　　透明代理服務(wù)器安裝分如下幾步:下載、解壓、編譯、安裝、配置幾步。首先需要到http://www.transproxy.nlc.net.au/transproxy-1.3.tgz下載transproxy軟件包，也放在/usr/local/src目錄里，然后用gzip解壓該軟件包。具體命令是:

　　gzip -dc transproxy-1.3.tgz |tar -xvf -

　　解壓后在/usr/local/src目錄下面生成tproxy目錄，里面是transproxy的源程序。

　　進(jìn)入該目錄，用make命令編譯該軟件，用make install命令安裝transproxy。Transproxy的編譯和安裝都很簡(jiǎn)單，下面就需要配置transproxy。根據(jù)系統(tǒng)負(fù)荷的輕重不同，transproxy可以配置為兩種運(yùn)行方式:負(fù)荷輕時(shí)，用inetd方式，負(fù)荷重時(shí)，用standalone server方式。具體配置方法如下:

　　1. inetd方式:

　　在/etc/services文件中添加下面一行:

　　tproxy 81/tcp #transproxy

　　在/etc/inetd.conf文件中添加下面一行:

　　tproxy stream tcp nowait nobody /usr/sbin/tcpd tproxy 202.99.157.10 3128

　　或

　　tproxy stream tcp nowait nobody /usr/sbin/tcpd tproxy 202.99.157.18 3128

　　2. standalone server方式:

　　在/etc/rc.d/rc.local文件中加入下面一行:

　　/usr/local/sbin/tproxy -s 81 -r nobody 202.99.157.10 3128

　　或

　　/usr/local/sbin/tproxy -s 81 -r nobody 202.99.157.18 3128

　　設(shè)置完畢后重新啟動(dòng)反向代理服務(wù)器，所有新設(shè)置的功能即可實(shí)現(xiàn)。

　　五、設(shè)置轉(zhuǎn)發(fā)規(guī)則

　　ipchains -A input -p tcp -d 202.99.157.10/255.255.255.255 80 -j REDIRECT 81

　　ipchains -A input -p tcp -d 202.99.157.18/255.255.255.255 80 -j REDIRECT 81

　　這里將送往202.99.157.10和202.99.157.18的80端口的所有http請(qǐng)求轉(zhuǎn)發(fā)給由transproxy管理的端口81。

　　到此為止，透明反向代理配置完成了。

　　讓我們模擬一下一位因特網(wǎng)用戶訪問www.test.com.cn這臺(tái)擁有內(nèi)部IP(192.168.1.10)的WEB服務(wù)器的過(guò)程。首先，該用戶的請(qǐng)求由標(biāo)準(zhǔn)DNS服務(wù)器解析為202.99.157.10，則用戶的機(jī)器向202.99.157.10的80端口發(fā)出請(qǐng)求，要求瀏覽www.test.com.cn這臺(tái)WEB服務(wù)器的頁(yè)面，而202.99.157.10這臺(tái)機(jī)器正是我們的反向代理服務(wù)器，按照反向代理服務(wù)器的ipchains規(guī)則發(fā)往該服務(wù)器80端口的請(qǐng)求被轉(zhuǎn)發(fā)到81端口，而81端口由transproxy 控制，transproxy把請(qǐng)求發(fā)給squid，讓squid去取www.test.com.cn這個(gè)頁(yè)面。而反向代理服務(wù)器上的內(nèi)部DNS服務(wù)器把www.test.com.cn解析為192.168.1.10，默認(rèn)的反向代理端口是80，這樣，squid就到192.168.1.10的端口80上請(qǐng)求WEB服務(wù)。而192.168.1.10正是我們的www.test.com.cn的真實(shí)WEB服務(wù)器，它的80端口開放著http服務(wù)。這樣，squid從192.168.1.10服務(wù)器上取回頁(yè)面?zhèn)骰亟o202.99.157.10 然后再傳回給因特網(wǎng)上的對(duì)www.test.com.cn有訪問請(qǐng)求的用戶，并把該頁(yè)面放在squid的cache中。這樣就完成了一次因特網(wǎng)用戶到擁有內(nèi)部IP的WEB服務(wù)器的訪問過(guò)程。以后再有因特網(wǎng)用戶再訪問www.test.com.cn這個(gè)頁(yè)面時(shí)，squid就直接從cache里提取緩存的頁(yè)面，這樣可以提高WEB服務(wù)器的訪問效率。

　　因特網(wǎng)用戶對(duì)www.test1.com.cn的訪問也和對(duì)www.test.com.cn的訪問一樣，原理是相同的，只不過(guò)訪問的真實(shí)服務(wù)器不同而已。

　　從上面的訪問例子我們可以看出，因特網(wǎng)上的用戶在訪問www.test.com.cn這個(gè)WEB 服務(wù)器時(shí)，根本不和真正提供www.test.com.cn頁(yè)面的服務(wù)器打交道，只和反向代理服務(wù)器打交道，這樣，在破壞互聯(lián)網(wǎng)主機(jī)的黑客行為日益猖獗的情況下，只要正確設(shè)置反向代理服務(wù)器，確保反向代理服務(wù)器不被攻破，就會(huì)很大程度上杜絕因特網(wǎng)上的黑客對(duì)內(nèi)部服務(wù)器的攻擊。萬(wàn)一代理服務(wù)器被攻破，也不會(huì)對(duì)您的WEB服務(wù)器造成什么損害，您只要恢復(fù)反向代理服務(wù)器就行了。因此，本方法對(duì)您的WEB服務(wù)器起到一定程度的保護(hù)作用。而且在WEB瀏覽量較多的情況下，由于squid的反向代理有加速功能，可以加快頁(yè)面的瀏覽速度。

　　六、其他

　　反向代理應(yīng)用過(guò)程中，要注意訪問控制功能，應(yīng)該只允許訪問你開放的內(nèi)部服務(wù)器，而不允許訪問其他服務(wù)器，否則，你的反向代理服務(wù)器就會(huì)成為互聯(lián)網(wǎng)上一臺(tái)公開的不用驗(yàn)證的代理服務(wù)器，那就危險(xiǎn)啦。另外，如果您有多臺(tái)WEB服務(wù)器，可以選一臺(tái)性能較好的作為反向代理服務(wù)器，內(nèi)部的若干WEB服務(wù)器可以用PC或低檔服務(wù)器代替，因?yàn)橥獠康脑L問壓力主要集中在反向代理服務(wù)器上。

　　另外此方案如果和linux下面的防火墻方案結(jié)合使用會(huì)更加完美。