传统代理,透明代理,plug-gw,Apache反向代理,IP伪装,端口转发六种方式的比较
第一部分 各种代理方式的特点和包重写过程
Squid传统代理和透明代理:
在Linux上用得最广泛的传统代理和透明代理是Squid.默认的Squid配置成传统代理的方式。在这种方式下,windows客户端要在浏览器中设置代理服务器的地址和端口号,客户端所要做的工作其实很少。只需要指定代理服务器的IP地址和端口号即可,其它剩下的一切都交给代理服务器去做。在这种方式下的一个明显特点是windows客户机浏览网页,打入一个URL时,DNS也由代理服务器去做。解析DNS的过程是根据Linux服务器中设置的/etc/host.conf文件中的解析顺序进行的。
一般的顺序是先查找/etc/hosts,然后找DNS数据库bind。在这种情况下的有趣例子是如果你设置了某一站点的域名为你内部网中的一台服务器,则先去访问内部网服务器了。如你设置192.168.11.3 则你的浏览器就不可能去访问互联网上的yahoo站点了。
但假若你设置了透明代理的话,则解析的DNS顺序便变为windowshosts然后再Linux的DNS数据库。不再可能检查Linux服务器上的/etc/hosts文件了。
关于透明代理的介绍,见文章荟萃中的另一篇文章《如何在Linux中设置透明代理》
传统代理和透明代理的包重写过程:见下图
[PC] A [Linux squid server] B
__192.168.11.12_|_____192.168.11.5__|___1.2.3.4_________Internet
(图一)
在A机用户的浏览器上设置代理为192.168.11.5,端口号为3128,通过B上网。
假如访问,实际上只要你设定了代理的话,用户端的浏览器只是和Linux Squid服务器进行通信而决不和互联网上的服务器交谈,首先由squid代理服务器对
进行解析(查找/etc/host.conf中的解析顺序,先是/etc/hosts然后是DNS查找)
进行到IP地址为202.106.124.185,最后由代理服务器代替用户端对该IP地址进行HTTP访问,回复回来的信息先缓存到squid cache中,同时拷贝一份到用户端。下次若该用户或其它用户访问同样的页面时则可以从squid cache中调用节省时间。
透明代理的过程和传统代理差不多,区别在
1。DNS解析过程不同,前面已经说过
2。用透明代理网关必须设置为squid代理服务器的IP地址,而传统代理不需要。
3。透明代理需要设置防火链的input规则,其余的和squid传统代理方式相同。
plug-gw:
plug-gw是FWTK中所带的通用代理程序。可用来代理象POP3,HTTP等应用层服务。
[PC] A [Linux POP3] C [Linux plug-gw]B
__192.168.11.12_|______|192.168.11.1____192.168.11.5__|___1.2.3.4__Internet
(图二)
假如内部网段上有一台Linux POP3服务器C(192.168.11.1),希望外部用户能收取邮件可在机器B上设定plug-gw的POP3代理如下:
放下面的行到/etc/rc.d/rc.local
/usr/local/etc/plug-gw -daemon 1.2.3.4:110 -name plug-gw-pop3 & 文件/usr/local/etc/netperm-table中有下面一行
plug-gw-pop3: port 110 * -plug-to 192.168.11.1 -port 110
则用户设定outlook express中的POP3服务器地址为1.2.3.4.当收邮件时对B机的外部接口而言,是在1.2.3.4的110端口接受用户请求,随后被plug-gw处理,在内部网段上,由192.168.11.5对192.168.11.1的110端口发出请求。把所得的数据由1.2.3.4接口拷贝给外部用户。
Apache反向代理。
包重写过程与plug-gw类似
注意:上面所讲的三种情况下,请求过程被分开两次,中间一般是squid代理服务器或者plug-gw,Apache服务器,数据在服务器的两块网卡中间做拷贝的动作,但是两次请求过程的源地址是随机分配的高端地址,是不同的。在1024 和65535之间。但是一般而言,TCP/IP分配的随机高端地址大多数是在1024--5000之间分配。例如:对于plug-gw来说:
如果某外部拨号用户的IP地址为5.6.7.8。假如地址和端口如下:
源地址和端口号和目标地址端口与为:
5.6.7.8 1038 1.2.3.4 110
被plug-gw改写请求为:
192.168.11.5 1045 192.168.11.1 110
被192.168.11.1回复的数据被拷贝给外部客户。
但是并非所有情况下源高端随机分配的地址都在1024--5000之间。IP伪装就是例外:
IP伪装:
[PC] A [Linux MASQ server] B
__192.168.11.12_|_____192.168.11.5__|___1.2.3.4_________Internet
(图三)
如上图,PC A要通过B伪装上网。如要访问,则伪装时的包重写过程如下:
源地址/端口号和目标地址/端口号为:
192.168.11.12 1047 202.106.124.185 80
被伪装后的源地址和端口号和目标地址/端口号为:
1.2.3.4 62334 202.106.124.185 80
反回的包为
202.106.124.185 80 -- 1.2.3.4 62334
再被重写给PC A为:
202.106.124.185 80 -- 192.168.11.12 1047
一般来说,IP伪装后的源地址通常>60000,且在61000--64999之间。
在防火墙上维护着一张IP伪装的对照表。用命令/sbin/ipchains -M -L -n可以看到如:
[root@proxy etc]# /sbin/ipchains -M -L -n
IP masquerading entries
prot expire source destination ports
UDP 02:18.86 192.168.11.12 205.188.179.41 1215 (62615) -> 4000
TCP 17:03.20 192.168.11.12 205.188.248.57 1049 (62584) -> 80
从ports栏你可以对照两次源地址的匹配。
端口转发(port forwarding):
见文章荟萃中另一篇文章《利用端口转发由内部网对外提供网络服务》
第二部分 各种代理方式的适用情况和优缺点
各种代理方式的作用:
1. IP伪装,Squid传统代理和透明代理适合让局域网上无真实IP地址的用户访问Internet.
2. Apache反向代理,plug-gw通用代理,端口转发适合让外部用户访问局域网内无真实IP地址的服务器。
各种代理方式的优缺点:
1. Squid的优点是对客户端要求很少,只要能连通squid服务器即可。但是需要每台机器都设置代理服务器IP地址和端口号
2. Squid透明代理的优点是不需要每个客户机都设置代理地址和端口与,简化了用户端配置。但是需要每台客户机的默认网关都设为squid代理服务器,且需要客户端来做DNS解析
3. IP伪装可适合大多数应用层服务,不象squid仅支持http和ftp.但也需要客户的默认网关设为防火墙的地址。且不象squid有cache功能
4. plug-gw可代理各种服务器象HTTP,POP3等。但Apache反向代理则只能代理http反向请求
5. 端口转发适合大多数服务。与具体的应用无关。且速度快,在内核IP层实现,无需要特别的应用层服务在运行。但可能需要重新编译内核。
转自:
阅读(666) | 评论(0) | 转发(0) |