🔗 TPROXY v4 配合 CentOS 5.3

作者：Nicholas Ritter

🔗 目录

下面是我目前已完成的步骤。这些步骤不完整，我省略了一些，稍后会添加并重新发布。如果您对这些步骤有任何疑问/困难，请告诉我。我尚未完全检查这些步骤的清晰度和准确性……但我最终会检查的。

这些步骤是用于配置 Squid-3.1 配合 TPROXYv4、IP 欺骗和 Cisco WCCP。这不是一个桥接设置。同样需要注意的是，这些步骤特定于 CentOS 5.3 的 x86_64 版本，尽管只需非常小的改动就可以使此解决方案适用于任何 CentOS 5 版本（我会尽量在有差异的地方做笔记）。

🔗 路由配置

根据 TPROXYv4 的常规配置

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

以下 iptables 命令可以在正在运行的 iptables 实例中启用 TPROXY 功能。

iptables -t mangle -N DIVERT
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT

iptables -t mangle -A DIVERT -j MARK --set-mark 1
iptables -t mangle -A DIVERT -j ACCEPT

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129

🔗 WCCP 配置

接下来需要创建 WCCP 相关的 iptables 规则……这些以及后续的步骤仅在路由器使用 L4 WCCPv2 而非交换机使用 L2 WCCP 时才需要。

iptables -A INPUT -i gre0 -j ACCEPT    
iptables -A INPUT -p gre -j ACCEPT

对于不在 GRE 隧道中的 WCCP UDP 流量

iptables -A RH-Firewall-1-INPUT -s 10.48.33.2/32 -p udp -m udp --dport 2048 -j ACCEPT

在运行 **iptables** 命令时，您可能会发现没有任何防火墙规则。在这种情况下，您需要创建一个输入链来添加一些规则。我创建了一个名为 **LocalFW** 的链（见下文），并将最终的 WCCP 规则添加到了该链中。其他规则保持不变。要做到这一点，请学习 iptables……或者类似下面列出的内容。

iptables -t filter -NLocalFW
iptables -A FORWARD -j LocalFW
iptables -A INPUT -j LocalFW
iptables -A LocalFW -i lo -j ACCEPT
iptables -A LocalFW -p icmp -m icmp --icmp-type any -j ACCEPT

---

⚠️ Disclaimer: Any example presented here is provided "as-is" with no support
or guarantee of suitability. If you have any further questions about
these examples please email the squid-users mailing list.

类别： ConfigExample

导航：站点搜索、站点页面、分类、🔼 向上