|
贊助商連結 microsome 2005-05-24, 03:10 PM 之前有用過IPcop功能雖強外掛也很多,但是不知道為什麼有時候從Cline端要連進IPcop主機的WEB介面時有時候聯的進去有時候又不行,但是都PING的到IPcop主機,但是重新把IPcop主機重新開機又可以連進去,不過等一下又不行,另外當IPcop主機用一段時間對外就會不通,內網的人也抓不到IPcop所發的IP,不知道有沒有人跟我一樣的情形,我是用8139的網卡,另外後來換了pfsense這套軟體,發現它的資料滿少的,幾乎技術資料都是來自官方網站,好像沒有專門的中文討論區的樣子,所以在設定上有一點點的麻煩,英文差真辛苦,不知道有哪位大大知道哪邊有中文設定文件之類的,另外好像這兩套都沒有支援UPNP功能的樣子,如果用CF卡開機,好像有沒辦法用另外一顆硬碟當作PROXY的Cache碟,不知道他們可不可以設定強制走proxy不需在瀏覽器內設proxy。希望有知道的大大解答一下謝謝 :eek: :confused: 贊助商連結 linux_xp 2005-05-25, 07:03 AM 你可以試試 Coyote(北美小銀狼) 撇開不能中文化的軟體防火牆路由器不談 Coyote 和 IPCOP 這兩套,我比較喜歡 Coyote 因為說實在 IPCOP 本身蠻陽春的,非得靠外掛才能加強的它的功能 Coyote 是可以繁體中文化的,繁體中文化後 使用的簡易度,和我們平常在用的IP分享器,就沒有兩樣了 不過 Coyte 的功能比較單純 它就是一台防火牆路由器 + 頻寬管理 沒有其它諸如 proxy 的功能 但如果區網內有其它poryx主機,仍然可以強制導向過去 強制 proxy (一般俗稱的透明 proxy) 說穿了,就把是把對外 prot 80 的連線 透過 iptables指令,重新導向到某台主機的 port 3128 這個只要加入一行指令就行了 除了 QoS 的部份,Coyote QoS 設定會麻煩一點 因為它是使用 Linux 類別和佇列式的QoS 必須懂類別和佇列的原理,才有辦法設定 不過 IPCOP 也好不到哪裡去 IPCOP 的QoS加強模組,設定比 Coyote 還複雜 改天有空,來寫篇教學 :) shung0116 2005-06-22, 09:55 PM 不好意思,關於下列兩段敘述,跟學長再次確認其意思 1. 不過 Coyte 的功能比較單純 它就是一台防火牆路由器 + 頻寬管理 沒有其它諸如 proxy 的功能 但如果區網內有其它poryx主機,仍然可以強制導向過去 →要如何強制導向過去指定的proxy主機呢 2. 透過 iptables指令,重新導向到某台主機的 port 3128 這個只要加入一行指令就行了 →要如何透過iptables來導向某台主機的port3128呢 煩請各位學長指點 謝謝 linux_xp 2005-06-23, 01:08 PM →要如何透過iptables來導向某台主機的port3128呢 如果是 IPCOP 它的 WEB 管理介面裡面,應該有一個選項可以打勾 打勾後即可啟用「透明 proxy」功能 強制區網的電腦,要瀏覽網頁,都會透過 proxy 如此區網內電腦,即使不設 proxy,也無所謂 iptables 強制導向的語法如下: NAT 主機 和 proxy 主機 同一台: --------------------------------------------------- iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 8080 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 3128 -j REDIRECT --to-port 3128 ----------------------------------------------------- 進入 NAT 主機,要求 NAT 轉換的封包 如果目的端 port 是 80,8080,3218 就直接導到 NAT 主機上的 3128 (即 proxy) 就算區網內的使用者,設定了外面的proxy 只要 port 是 8080,3128 (可自行增加),仍然會被強制導向 $LAN 是一個代號,代表連接區網的網面卡介面 例如:eth0 或 eth1 請自行替換成,合適的字串 NAT 主機 和 proxy 主機 不同台: ----------------------------------------------------------------- iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to 192.168.0.253:3128 iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 8080 -j REDIRECT --to 192.168.0.253:3128 iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 3128 -j REDIRECT --to 192.168.0.253:3128 ----------------------------------------------------------------- $LAN 是一個代號,代表連接區網的網面卡介面 例如:eth0 或 eth1 請自行替換成,合適的字串 這裡是假設 proxy 主機的 IP 是 192.168.0.253 請自行替換成,proxy 主機的 IP 後面接 :3128,指定要修改封包的目的端 port,改由 3128 進入 透明 proxy ,squid.cof 需要的設定: 假設 porxy 主機,是 Linux 的 squid 其設定檔需加入以下內容,才能支援「透明 proxy」 沒加入以下內容的話,導向過去網址會被切掉,變成無法連線 ---------------------------------------------------------- httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on -------------------------------------------------------- 如果 NAT 主機是 coyote iptables 指令,可以直接在本機或 ssh視窗下達 但是直接下指令的效果,重開機後就會消失 可以把指令寫入防火牆的額外設定文件,儲存起來 下次開機,即會自動執行 當然,coyote 沒有 proxy ,所以區網內必須另有一台 porxy 實際上 coyote 相當自由,就算不想用它的內建功能 由於它本身是 Linux 核心,又有支援 iptables 和 tc 指令 若要全部自己寫 scrip 去做細微控制 在它的web管理介面中,就可以做編輯/貼上和儲存 不過寫 shell scrpt 這種東西,就需要做點功課了 若有興趣,可以參考iptables技術實務的相關書籍 建議直接安裝正統的 Linux,如 Fedora 這樣是最棒的,要什麼都有,通通只要一台電腦 NAT + DHCP + 防火牆 squid (proxy) senmail + devoct (e-mail伺服器) apache (web) + mysql samba (網路芳鄰檔案伺服器) mrtg (流量分析) 既可以當路由器,也能當防火牆 也可以當代理伺服器 又能架網站,還可以分享檔案 網路硬碟,網路MAIL,討論區論壇........ 其實都只是 web 下的應用軟體,通通可以實現 想要什麼功能自己加,一台抵十台用 :) |
|
|