Iptables+squid透明代理配置及测试

1 开启内核路由功能

echo 1 > /proc/sys/net/ipv4/ip_forward

2 配置iptables设定nat,即透明代理

iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

如果只设置下面一句而上面一句不设置，客户端也可以上网，只是不通过squid哈~

/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.202.246

保存iptables设置

service iptables save

2、修改selinux设置

setsebool -P squid_disable_trans on

配置iptables设定nat,即透明代理

Iptables设好如上

Cat /usr/local/squid/etc/squid.conf

下面是ACL访问控制列表，可以设置黑名单，也可以设置过滤字符，可以设置访问文件类型来实现限制下载等功能

客户端10.0.0.2不用作任何设置,打开IE输入网址就可以了，默认WEB端口为80，访问就自动转向192.168.202.246的3128代理端口

Netstat –anut 查看端口状态，可以看到10.0.0.2是通过192.168.202.246代理端口3128访问外网的，可以下载，当然也可以限制！

上面我设置不允许访问这个网址，结果如下！

Netstat -anut

Squid日志记录

例：不允许下载rar文件

Cat /var/log/squid/access.log 记录.

例：不允许访问含sex的网址.

测试感觉：如果作squid+iptables的机器能够稳定，使用还是比较不错！安全性能方面只要对squid使用及ssh登陆作来源限制，足以保证安全！

3G门户系统部