如何將Linux配置成為代理防火牆

關 鍵 詞：協議  校園網  伺服器  存取控制  防火牆
Linux本身可以通過添加插座軟體包起到代理防火牆的作用，而且這一切都是免費
的。
                
        
        
                

什麼是代理防火牆

代理防火牆不讓任何直接的網路流通過，而由它作為互連網和內部網路電腦之間
的中間媒介。防火牆自己處理各種網路服務而不是只讓它們直接通過。例如，登入
到網路上的電腦請求一個網頁。電腦不直接連結到網路服務提供的網頁，而是
連到自己網路的Proxy 伺服器上，Proxy 伺服器識別代理請求，然後以合適的方式傳遞
給相應的網路伺服器。遠程網路伺服器視為來自防火牆伺服器的正常網路請求，發
送合適的網頁，防火牆伺服器再把網頁返送給電腦。

這樣，防火牆就對Internet隱蔽了你的電腦存在的事實，減少外界對內部網路的
可見度。

安裝

1.在http://www.socks.nec.com/cgi-bin/download.pl網站找到Socks軟體包，在
下載前要填寫有關的使用者資訊，然後單擊[Submit]按鈕，此後登入到具有下載連結
的頁面，單擊連結來下載插座軟體包。

2.在儲存下載的Socks軟體包的目錄中，使用Tar命令解開該軟體包。

Tar - xzvf sock5-vl. 0r11.tar.gz

此命令建立一個sock5-vl. 0r11目錄，把軟體包解壓到該目錄中，使用CD命令變成
該目錄。該目錄中有一個編輯和安裝軟體包的配置指令碼。使用Su命令變成根使用者，
然後在命令提示下運行指令碼。

3.輸入Make命令編譯Socks包，完成以後，通過輸入Make Install命令安裝軟體包
。

注意：在使用之前，必須在/etc目錄下建立一個Socks5.conf檔案，Socks5檢查
/etc/socks5.conf檔案得知將代理什麼協議和服務，以及哪個電腦將能夠使用此
代理服務。

建立Socks5.conf檔案

Socks5.conf檔案被分成6部分。每一部分控制Socks5守護進程處理特定連結的一個
特別項，當一個客戶電腦連到Proxy 伺服器上，Socks5連續搜尋每一部分的每一行
，並根據遇到的規則決定採取什麼行動，當找到與處理的連結相匹配的規則行時停
止，所以規則的順序很重要。

1.主機地址標誌。主機地址可以是完整的主機名稱或IP地址，例如：gzdd .sjsgz .
net或10.88.56.4，它也可能是一個部分主機名稱或地址，例如：. sjsgz .net或
10 .88.56.4。

注意：部分主機名稱以點(.)字元開始就允許Socks識別部分主機名稱用它匹配Sjsgz .
net域的任何主機。

2.禁止主機部分。禁止主機部分用于禁止對指定主機和協議的代理服務。一個禁止
主機行總是以關鍵詞Ban開始，後跟源主機參數和一個源連接埠參數。

命令格式：Ban source-host sour-ce-port

例如：Ban gzdd.sjsgz.net http，表明主機gzdd被禁止訪問系統上的網路服務；
Ban 199.170.176.-，表明199.170.176.x網上主機都不可訪問系統上任何代理服務
；Ban - -，表明任何主機不可訪問此系統的任何代理服務。

3.存取控制部分。這是Socks5.conf檔案最有用的部分，存取控制部分用於允許或
禁止基於源和目的機器的主機地址或連接埠號碼的代理串連，存取控制行總以關鍵詞
Permit或關鍵詞Deny開頭。

命令格式：Permit auth cmd src-host dest-host src-port dest-port或Deny 
auth cmd src-host dest-host src-port dest-port

例如：Permit - - 10.88.56. - 1880 http，表明允許在10.88.56. x網段的主機
通過連接埠1880訪問網路；Deny - - - - - -，表明拒絕所有串連。

當一個客戶機連到Proxy 伺服器上時，Socks掃描控制行列表，若找不到匹配的
Socks拒絕串連。

啟動Socks5服務

可以用手工啟動守護進程，只需以根使用者登入，在命令提示字元下輸入Socks5， 
Socks5守護進程被放到背景執行並返回提示符。也可以把Socks5命令放入
/etc/rc.d下的Rc.local啟動指令碼中，以使下次啟動機器時自動啟動Socks5。儘管
仍以根使用者登入，但還需要把/etc/rc.d/rc.local檔案調入文字編輯器並在檔案末
加入以下幾行：

# Start socks5 proxy services

/usr/local/bin/socks5

完成後存貯檔案並退出編輯器。

這樣通過在Linux中安裝軟體包，建立Socks5檔案，使得Linux起到代理防火牆的作
用，保證校園網路的安全。