目的:
构建一台单网卡Linux网关(透明代理),该网关拨入某海外×××服务器,客户端设定该网关后,网络出口则为海外×××服务器,实现加速访问一些网站的目的。

环境信息:
硬件:DELL机器一台,单网卡(IP:10.39.100.253);
机器名:***GW
操作系统:CentOS 6.0  Kernel Linux 2.6.32-71.el6.i686
网络环境:局域网防火墙需允许该机器使用PPTP协议拨入某公网IP

安装步骤:
一. 安装操作系统,设定IP,机器名,可关闭防火墙,SELinux;
修改主机名:设置CentOS主机名称的配置文件为:/etc/sysconfig/network
修改hosts文件:修改/etc/hosts文件
关闭SELinux: 修改/etc/sysconfig/selinux
SELINUX=disabled   #这是最标准的方式


设定系统使用EPEL源:
CentOS 6.x 32-bit (x86/i386):
rpm –Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpm
CentOS 6.x 64-bit (x64):
rpm –Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm

二. 安装软件;
检查ppp, pptp, pptp-setup的安装情况,没有则yum install;

三. 使用pptpsetup命令创建×××节点;
pptpsetup命令用法及说明:

  1. pptpsetup  --create <TUNNEL> --server <ip address/hostname> [--domain <DOMAIN NAME>] --u sername <USERNAME> [--password <PASSWORD>] [--encrypt] [--start]
  2. pptpsetup –delete <TUNNEL> 删除一个节点 
Options:
 * <TUNNEL>  创建的连接名称,自指定。
 * <SERVER> PPTP SERVER的IP或域名。
 * <DOMAIN>   所在的域,很多Windows的服务器都是使用“域”来管理认证的。
 * <USERNAME> ××× 用户名(域用户名)
 * <PASSWORD> ×××上用户密码,也可以没这个参数,命令稍后会自动询问,这样保证账号安全
 * –encrypt 表示启用加密,不必指定加密方式,命令会读取配置文件中的加密方式
 * 当没使用–encrypt 连接时出现下面的错误时,表示使用了加密,这点也可以和×××的管理员联系确认一下,遇到下面的情况可以加上该参数。
 * CHAP authentication succeeded
 * LCP terminated by peer (ZM-76-^@<M-Mt^@^@^BM-f ) 类似乱码
 * –start  创建连接完后马上连接。

 运行该命令后实际上创建了两个配置文件:
 /etc/ppp/chap-secrets
 /etc/ppp/peers/连接名

 配置文件 /etc/ppp/peers/连接名 需要做些修改,我的如下:
  1. # written by pptpsetup
  2. pty "pptp 10.39.100.2 --nolaunchpppd"
  3. lock
  4. noauth
  5. nobsdcomp
  6. nodeflate
  7. name csnj\\administrator
  8. remotename cs***
  9. ipparam cs***
  10. #defaultroute  #使用本连接作为默认路由,本文单网卡没意义,可以不添加,说明见附录
  11. persist #当连接丢失时让pppd再次拨号,已验证
  12. require-mppe-128
  13. refuse-pap
  14. refuse-chap
  15. refuse-eap
  16. refuse-mschap
我在做这一步的时候,始终连接不上,怀疑过加密方法、握手协议什么的没用对,最终发现是用户名填写的方式要改变下。 
 需把上述两个配置文件里面的"DOMAIN\username" 改为"DOMAIN\\username" ,就可以了。
 这点在官方文档中亦有说明,链接:http://pptpclient.sourceforge.net/howto-redhat.phtml#setup
 引用:
  1. *  The script displays your choice, together with information about specifying a local name:
  2. Add a NEW CHAP secret.
  3. NOTE: Any backslashes (\) must be doubled (\\).
  4. Local Name:
  5. This is the 'local' identifier for CHAP authentication.
  6. NOTE: If the server is a Windows NT machine, the local name
  7. should be your Windows NT username including domain.
  8. For example:
  9. domain\\username
  10. Local Name: your_domain\\your_username
四. 设置拨号脚本;
 拨号脚本pon 和poff在下面的目录 /usr/share/doc/ppp-*/scripts/ 里:
 cp /usr/share/doc/ppp-2.4.5/scripts/pon /usr/sbin
 cp /usr/share/doc/ppp-2.4.5/scripts/poff /usr/sbin
 chmod +x /usr/sbin/pon /usr/sbin/poff  #使pon和poff脚本拥有执行权限
 这样就可以通过pon/poff <tunnel> 来启停×××连接。
 也可以使用 pppd call <tunnel> / killall pppd来启动/停止。

 五. 设置开机自动拨号,并在拨号后改变路由;
 把启动拨号的命令添加到/etc/rc.d/rc.local文件中:
开机后查看路由已使用***通道设备。

 六. 查看××× Log;
 相应的LOG可以在 /var/log/message中查看。
 to further diagnose a failure, add options to the command(使用命令行拨号并查看屏幕日志):
 pppd call ***_name debug dump logfd 2 nodetach

 七. 安装squid;
 yum –y install squid
 启动squid:/etc/rc.d/init.d/squid start

 八. 配置squid;
 修改配置文件 /etc/squid/squid.conf
 配置为透明代理:
 # Squid normally listens to port 3128
 http_port 10.39.100.253:3128  transparent
 配置squid开机自动启动:
 chkconfig squid on

 九. 关于访问控制;
 设置完成后,关键且重要的任务是访问控制。Squid支持的管理方式很多,使用起来也非常简单(这也是有人宁愿使用不做任何缓存的Squid,也不愿意单独使用iptables的原因)。
 Squid可以通过IP地址、主机名、MAC地址、用户/密码认证等识别用户,也可以通过域名、域后缀、文件类 型、IP地址、端口、URL匹配等控制用户的访问,还可以使用时间区间对用户进行管理,所以访问控制是Squid配置中的重点。
 Squid用ACL (Access Control List,访问控制列表)对访问类型进行划分,用http_access deny 或allow进行控制。
 本文通过Mac地址进行控制,在配置文件中修改
 acl  allowuser  arp  mac1  mac2
 http_access  allow  allowuser
 特别要注意的是,Squid将使用allow-deny-allow-deny……这样的顺序套用规则。例如,当一个用户访问代理服务器时, Squid会顺序测试Squid中定义的所有规则列表,当所有规则都不匹配时,Squid会使用与最后一条相反的规则。
 iptables –t filter –A INPUT –s 10.39.101.152 –I eth0 –j ACCEPT
 iptables –t filter –A INPUT –s 10.39.0.0/16 –I eth0 –j DROP

 十. 打开内核IP转发;
 方法一:修改/proc下内核参数文件内容
 直接修改内核参数ip_forward对应在/proc下的文件/proc/sys/net/ipv4/ip_forward。用下面命令查看ip_forward文件内容:
 # cat /proc/sys/net/ipv4/ip_forward
 该文件默认值0是禁止ip转发,修改为1即开启ip转发功能。修改命令如下:
 # echo 1 >/proc/sys/net/ipv4/ip_forward
 修改过后就马上生效,即内核已经打开ip转发功能。但如果系统重启后则又恢复为默认值0,如果想永久打开需要通过修改/etc/sysctl.conf文件的内容来实现。
 方法二.修改/etc/sysctl.conf文件
 默认sysctl.conf文件中有一个变量是
 net.ipv4.ip_forward = 0
   将后面值改为1,然后保存文件。因为每次系统启动时初始化脚本/etc/rc.d/rc.sysinit会读取/etc/sysctl.conf文件的 内容,所以修改后每次系统启动时都会开启ip转发功能。但只是修改sysctl文件不会马上生效,如果想使修改马上生效可以执行下面的命令:
 # sysctl –p

 十一. 配置iptables;
 1. 将客户端的请求NAT方式转给外网进行路由;
 iptables -t nat -A POSTROUTING -s 10.39.0.0/16 -o ppp0 -j MASQUERADE
 2. 将客户端对Web端口80的请求转发到Squid 3128端口,由Squid接手;
 iptables -t nat -A PREROUTING -s 10.39.0.0/16 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
 保存:/etc/rc.d/init.d/iptables save
 重启:service iptables restart

 十二. 安装过程中,学习了若干(>20)网络上的博客文章,知识库,无法一一列出,一并感谢。
 网络中很多文章使用脚本来实现开机自动拨号,断线重拨等功能,因我不懂脚本,待以后弄懂了再补充。
本文PDF版笔记下载:http://down.51cto.com/data/416640