2022年用squid+iptable做透明代理出现DNS问题代理服务器教程.docx

2022年用squid+iptable做透明代理出现DNS问题代理服务器教程摘要：用squid+iptable做透亮代理出现DNS问题配置方法：quote:2f931843da用squid+iptable实现透亮代理squid和iptable的详细安装我在此不做太多说明，一般看看它们的说明即可。我公司用一台机器作为代理上网。eth0连接外部网，eth1连接内部网。下面把我的配置写下来。iptable的配置，在/etc/rc.d/书目下用touch吩咐建立firewall文件，执行chmodu+xfirewll以更改文件属性，编辑/etc/rc.d/rc.local文件，在末尾加上/etc/rc.d/firewall以确保开机时能自动执行该脚本。echo"startingipforward"echo1&gt;/proc/sys/net/ipv4/ip_forwardecho"startingiptablesrules"modprobeip_tablesmodprobeip_nat_ftp/sbin/iptables-F-tnatiptables-tnat-APREROUTING-ieth1-ptcp-mtcp-dport80-jREDIRECT-to-ports3128#将全部80端口的包转发到3128端口iptables-tnat-APOSTROUTING-oeth0-jMASQUERADE#对eth0端口进行欺瞒squid的配置http_port3128cache_mem512Mcache_swap_low75cache_swap_high95maximum_object_size1024KBcache_dirufs/usr/local/squid/cache6000016256cache_access_log/var/squid/logs/access.logcache_log/dev/nullcache_store_lognonedebug_optionsALL,1icp_accessallowallicp_query_timeout2000cache_effective_usernobodycache_effective_groupnogrouphttpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_uses_host_headeronaclallsrc0.0.0.0/0acllocalnetsrc10.0.0.0/20http_accessallowlocalnethttp_accessdenyallaclQUERYurlpath_regex-icgi-bin?.exe&#36;.zip&#36;.mp3&#36;.mp2&#36;.rm&#36;.avi&#36;no_cachedenyQUERYreference_age3daysquick_abort_min16KBquick_abort_max16KBquick_abort_pct95connect_timeout60secondsread_timeout3minutesrequest_timeout30secondsclient_lifetime30secondshalf_closed_clientsoffpconn_timeout60secondsident_timeout10secondsshutdown_lifetime10secondsmemory_poolsoffmemory_pools_limit0/quote:2f931843da其中reference_age3days，ident_timeout10seconds两行出错：quote:2f931843da2022/03/0315:09:34|parseConfigFile:line3379unrecognized:'reference_age3days'2022/03/0315:34:57|parseConfigFile:line1645unrecognized:'ident_timeout10seconds'/quote:2f931843da透亮代理可以实现，但是DNS有问题，在客户端阅读器输入IP可以访问外网，输入域名就不行，在客户端吩咐行模式下执行nslookup吩咐，提示code:1:2f931843daDNSrequesttimeout/code:1:2f931843da在squid.conf中加入code:1:2f931843daaclSafe_portsport53#dns/code:1:2f931843da故障照旧请大侠帮助看看如何处理，感谢！水中风铃 回复于：2022-03-03 17:21:58iptables-AFORWARD-pudp-dport53-jACCEPTplatinum 回复于：2022-03-03 17:30:13其实可以在LINUX上起一个bind然后让client的DNS服务器指向LINUX这样就不用做转发了arbor 回复于：2022-03-03 17:33:47quote:5de71f748d="platinum"其实可以在LINUX上起一个bind然后让client的DNS服务器指向LINUX这样就不用做转发了/quote:5de71f748d就是说这个服务器同时做代理和DNS？可以考虑。我在用DHCP，这样这个同时也做DHCP吧，没有问题吧？呵呵Opteron×2，1GB内存段誉 回复于：2022-03-03 23:33:28看你的用户数了，倒也没什么大事儿。用上了，视察几天。arbor 回复于：2022-03-04 08:21:26quote:514c558f89="水中风铃"iptables-AFORWARD-pudp-dport53-jACCEPT/quote:514c558f89我这样做故障照旧后来我运行setup，重新配置防火墙，在自定义端口那里写了53，然后重启iptables，重新运行自己的firewall脚本即可，squid都没有重启，胜利！也就是说只是在代理服务器上面增开了53端口。因为没有启动bind服务，用nmap扫描服务器并没有发觉53端口开放。能否加为精华？吼吼水中风铃 回复于：2022-03-04 10:19:19楼上的什么意思，你不是squid没有重启吗？那在那里加53有何意义？arbor 回复于：2022-03-04 10:51:24quote:bb6f4e1495="水中风铃"楼上的什么意思，你不是squid没有重启吗？那在那里加53有何意义？/quote:bb6f4e1495我在iptables里面改的啊，然后把iptables重启了。问题不在squid，在iptables。段誉 回复于：2022-03-04 13:29:36quote:ed687ccb46="水中风铃"楼上的什么意思，你不是squid没有重启吗？那在那里加53有何意义？/quote:ed687ccb46FAINT，53原来就不是在squid.conf中添加的，和squid没有过关系的，只和IPTABLES有关系，重起IPTABLES就OK了。BTW：楼主把整个过程整理一下吧happyhunter 回复于：2022-03-04 17:32:55检查/etc/resolv.conf,l里面应当加上能用的dns地址。段誉 回复于：2022-03-04 18:15:21quote:be2a79b4ca="happyhunter"检查/etc/resolv.conf,l里面应当加上能用的dns地址。/quote:be2a79b4ca这样做，也达不到楼主所要的效果，因为楼主须要的是客户端干脆和外部的dns通信，而本地没有dns。你做到的只是在代理服务器本身这台机器上能够解析域名。whfnp 回复于：2022-04-03 16:49:34这是因为你的客户端3没有指定DNS服务器的缘由，因为你的服务器并没有供应DNS服务，故只须要将你的客户端的DNS服务器设置成你的ISP的供应的服务器地址就可以了。brensen 回复于：2022-04-06 22:11:52一般的nat设置就可以实现客户端上网，关键在于服务器端能否让客户端不做什么设置就能正常“里通外国“，修改或生成6个配置文件，重启相应服务就可以了：rc.local中iptables；sysctl.conf中net.ipv4.ip_forward=1；dhcp.conf中domain-name-servers设置成服务器IP，比如192.168.0.1；squid.conf也要设成透亮代理；named.conf中要加入ICP的DNS地址；resolv.conf中设成192.168.0.1我在CentOS4.0或者RedHatAS4.0设置比用windows系统要好，客户端网络很通畅，速度很快，现在的linux真是越来越简洁易用了serpron 回复于：2022-04-21 08:31:10参看防火墙所在机器的dns地址，客户端也设成这个就行了，你的所谓自定义端口其实是蒙对的。比如你用asinux1.0等不带预制放火墙的系统就瞪眼了pcstart 回复于：2022-04-22 11:58:18#AUTODNS&#36;IPTABLES-tnat-APREROUTING-pudp-dport53-jDNAT-to202.97.230.4&#36;IPTABLES-tnat-APREROUTING-ptcp-dport53-jDNAT-to202.97.230.4文中的202.97.230.4换成你们当地的外网的DNS服务器.这条语法的原理是,把全部的地址的53端口的恳求自动转到一个公网的DNS服务器上.因为DNS先用到udp要是说明不胜利,在用tcp.实现的效果是:客户端的DNS的IP地址可以设置什么都可以.比如说:1.1.1.1也一样能说明.好长时间没有到这个论坛来了,因有前些天有太多的心情,还好,现在算是基本调整过来了.希望大家多多给我支持.QQ11217404chinaglwo 回复于：2022-04-24 01:16:23刚根据你的帖子配置了透亮代理，查看access.log有数据，说明正常工作，并没有客户端无法解析DNS的状况不过我的firewall跟你有点不同，我是在防火墙stop的时候删除全部规则，而启动时的前几行是<br