Web服务器的保护 Redhat7.2安装后默认是未运行Apache,故先启用httpd,即让Apache运行起来。修改/etc/httpd/conf/httpd.conf配置文件。 LoadModule proxy_module modules/libproxy.so AddModule mod_proxy.c NameVirtualHost 210.77.126.xx #网关的真实IP #域名所对应的真实IP ServerName www.sdbjzx.com #Web 服务器的域名 ProxyPass / 192.168.1.1/ #Web 服务器的IP ProxyPassReverse / 192.168.1.1</p> / #Web服务器的IP 2、工作原理 把内部的Web主机解释到Linux网关的外部网卡,当收到www.sdbjzx.com的请求时,网关可自动转发到192.168.1.1,收到192.168.1.1的响应后再改写源地址为网关的真实IP地址返回给Internet用户。使得外面黑客无法看到真正的Web服务器,从而有效保护Web服务器。 网站过滤 1、代理服务器Squid的配置 和上面一样,先启用Squid,确保Squid代理服务器能正常工作。修改/etc/squid/squid.conf配置文件。 http_port 3128 #定义Squid监听HTTP客户端请求的端口 Cache_mem 10 MB #Squid可使用的内存理想值,常设为物理内存的1/3。 Cache_swap_low 95 Cache_swap_low 90 Maximum_object_size 4096 KB #大于该值对象将不被存储 Cache_dir ufs /var/spool/squid/cache 200 16 256 #指定Squid用来存储对象的交换空间大小及其目录结构 Acl all src 192.168.1.1/24 #定义all为192.168.1.1网段 http_acceaa allow all #192.168.1.1网段的客户可使用Squid代理上网。 Cache_effective_user squid #使用的用户和用户组 Cache_effective_group squid (其余参数用默认值即可!) [root@squid bin]# chmod 777 /var/spool/squid/cache(使/var/spool/squid/ cache目录为noboay用户具有写权限) [root@squid bin]# squid -z (建立Squid 的缓存目录/var/spool/squid/cache) [root@squid bin]# /etc/rc.d/init.d/squid start(启动Squid,停止squid用/etc/rc.d/init.d/squid stop) 在客户端进行测试,以Windows为例。运行IE,单击“工具”,接着单击“Internet选项”,再单击“连接”选项卡,单击“局域网设置”,在“局域网设置”窗口中,在“地址”处填上Squid服务器的IP地址192.168.1.16,在“端口”处填上“3128”,确定后退出。此时客户端应能浏览Internet,说明Squid已正常运行。 下面是网站过滤功能的配置。 2、安装Berkeley DB 2.x 从http://www.sleepycat.com下载db- 2.7.7.tar.gz并存在/usr/local/squidGuard/ src/目录下 #cd /usr/local/squidGuard/src/ #tar xvzf db-2.7.7.tar.gz #cd db-2.7.7 #cd build_unix #../dist/configure #make #make install (默认安装到/usr/local/BerkeleyDB目录下) 注意:squidGuard不支持Berkeley DB 3.x版本。 3、SquidGuard的安装与配置 #rpm -ivh squidGuard-1.2.0-3.i386.rpm(安装后数据目录dbhome:/var/squidGuard/blacklists日志目录logdir:/var/log/squidGuard) 按提示修改/etc/squid/squid.conf文件中的有关配置行: redirect_program/usr/sbin/squidGuard -c /etc/squid/squidGuard.confredirect_child 5 重启Squid,查看/var/log/squidGuard/squidGuard.log,看最后一行:2002-05-23 16:13:18[2237] SquidGuard Ready for Requests,则表明SquidGuard已正常运行。被阻止网站在此若能被重定向到指定网页,则说明过滤功能已起作用。(注:SquidGuard-1.2.0-3.i386.rpm下载地址为ftp://k12Linux.mesd.k12.or.us/pub/SquidGuard/) 方法优点 配置方便,硬件要求低,一般退役下来的486型、586型完全能胜任,且所有软件都是免费的,被阻止名单更新快,只需到http://www.squidGuard.org下载最新版本的被阻止名单数据库替换旧的即可,也可以手工增减被阻止名单,Squid还可以设定上网时间段,使用灵活方便。
|