[HeaveN]

IPTABLES ile Transparan PROXY Kurulumu

Bilindiği gibi proxy sunucular internet paylaşımını sağlamanın yanı sıra çok kullanılan web sayfalarını kendi üzerinde saklayarak kullanıcılara kendi üzerinden erişim verirler. ancak sayfaların güncellenmesi durumunda internet üzerinden yenilenen bölümler tekrar proxy sunucuya indirilir ve kullanıcıların erişimine sunulur.

diğer bir faydası ise kullanıcıların internet erişimlerinin denetiminin kolaylaşması, proxy üzerinden de bazı ayarlamalar ile erişim denetimi uygulanabilmektedir.

Biz burada internete bağlanan kullanıcıların http erişimlerinin proxy üzerinden bağlanmasının zorunlu hale getirilmesi ama diğer yandan e-mail veya icq gibi programların ise doğrudan çalışmasına müsaade edilmesini sağlamak üzere kullandığım yöntemi anlatmaya çalışacağım.

yararlandığım kaynağın orijinaline ise http://netfilter.sam...lter-faq-3.html adresinden ulaşabilirsiniz.

iptables -F
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
insmod ip_nat_ftp
iptables -t nat -A POSTROUTING -o "ppp+" -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.202.0:3128 ; burada 80. porta gelen istekler SQUİD 3128. porta yönlendiriliyor

bu parametreleri;
/etc/init.d/boot.local dosyasının içerisine yazılabilir. böylece sistem her yüklendiğinde otomatik olarak çalışabilsin.

proxy ayarlarını aşağıdaki gibi veya değiştirin.
/etc/squid.conf
httpd_port 3128
cahe_mem 20 MB
cache_dir ufs /var/squid/cache 400 20 256
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl yerel_ag1 src 192.168.202.255/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT


#buraya yerleştireceğimiz iki satır ile önceden belirlenebilen internet sitelerine erişim yasaklanabilir.
acl erisilemez dstdomain "/etc/yasak"
http_access deny erisilemez
#her eklenen web adresinden sonra squid sunucu yeniden restart edilmelidir. burada kolaylık olsun diye yasak isminde bir dosya oluşturuluyor ve yeri de /etc/ dizininin içinde olduğu belirtiliyor. böylece yasaklama konulan web adresleri bu yasak isimli dosya içerisinde belirleniyor.

#www.yasaksite1.com
#www.yasaksite2.com.tr gibi tabii '#' ler yok.


http_access allow localhost
http_access allow yerel_ag1
http_access deny all

#bir kereye mahsus olarak
squid -z
#çalıştırılır ve web sayfalarının saklanacağı (cache) alanın oluşturulması sağlanır..

/etc/rc.config dosyasında ayarlar aşağıdaki gibi yapılmalıdır....
IP_FORWARD="yes"
IP_ADDR_0="192.168.202.254"
IFCONFIG_0="192.168.202.254 broadcast 192.168.202.255 netmask 255.255.255.0"

/etc/resolv.conf ;dosyasındaki ayarlarda aşağıdaki gibi yapılmalıdır.

nameserver 212.57.1.12
nameserver 212.57.1.13

/etc/route.conf ;ağ geçidi ayarları da aşağıdaki gibi yapılmalıdır.
192.168.202.0 0.0.0.0 255.255.255.0 eth0
default 192.168.202.254 0.0.0.0 none

not:buradaki ayarlar benim servis sağlayıcı ayarlarım ve yerel ağ ayarlarım ile ilgilidir. siz kendi servis sağlayıcınız ve yerel ağ ayarlarınız içi değiştirmelisiniz. Ayarları olduğu gibi vermem sizi daha iyi bilgilendirecektir.

PII-300
64MB Ram
Kernel 2.4.4-4 SuSE 7.2
iptables-1.2.1a-37.i386.rpm
squid-2.3.STABLE4-51.i386.rpm

iptables hakkında hiç bilgim olmadığını söylemiştim hata yaptığım noktalarda konu ile ilgili bilgisi olan arkadaşların önerilerini de bekliyorum. Verilen bilgiler SuSE-Linux içindir ama kolaylıkla diğer dağıtımlar için uygulanabilir.

İnternete açılacak olan makinemizin
IP=192.168.202.254
GATEWAY=192.168.202.254
olarak belirtildiğini söylemiştik. dikkat etmişseniz ip ve gateway ip numaralarının aynı olduğudur. Çünkü internet bağlanmak için bu bilgisayarı geçit olarak kullanacağız. siz bu ayarları kendi ağınıza göre ayarlayabilir veya ağınızı bu ayarlara göre değiştirebilirsiniz.

ayarlar mümkün olduğu kadar text tabanlı olarak yapılmaya çalışılmıştır. SuSE yi bilenler bu ayarları ve daha fazlasını yast veya yast2 ile yapabilirler...

zbahadir@bursa-linux.org