多VLAN下SQUID做透明网关

网络连接图

Cisco3750 ---> PANABIT ---> SQUID ---> INTERNET

3750上有,VLAN多个, 其中1号口做路由,IP,192.168.10.2

SQUID 有两个网卡 eth1 LAN 192.168.10.1  eth2 WAN 1.2.3.4

PANABIT和SQUID都位于ESXi中.网络配置为

其中PANABIT的WAN和FIREWALL(SQUID)的LAN在一个虚拟交换机中(设置了VLAN,VLAN ID 100)

FireWall和Panabit所在的网络要把混杂, 伪传输,MAC地址更改,都改为接受.

SQUID基于CENTOS6.4,

路由设置:

route add -net 192.168.1.0/24 gw 192.168.10.2 
route add -net 192.168.2.0/24 gw 192.168.10.2 
route add -net 192.168.3.0/24 gw 192.168.10.2 
route add -net 192.168.4.0/24 gw 192.168.10.2 
route add -net 192.168.5.0/24 gw 192.168.10.2 
route add -net 192.168.6.0/24 gw 192.168.10.2 
route add -net 0.0.0.0/0 gw 1.2.3.4 

IPTABLES设置:

#!/bin/sh 
#eth1 LAN eth2 WAN 
IPTABLES=/sbin/iptables 
INT_NET=192.168.0.0/16 
$IPTABLES -F 
$IPTABLES -X 
$IPTABLES -Z 
$IPTABLES -F -t nat 
$IPTABLES -X -t nat 
$IPTABLES -Z -t nat 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT 
$IPTABLES -P FORWARD ACCEPT 
$IPTABLES -A INPUT -i lo -j ACCEPT 
#INPUT CHAIN 
$IPTABLES -A INPUT -i eth1 -p tcp -s $INT_NET -j ACCEPT 
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
$IPTABLES -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT
#NAT 
$IPTABLES -t nat -A PREROUTING -p tcp --dport 22 -i eth2 -j DNAT --to 192.168.1.24:22
$IPTABLES -t nat -A PREROUTING -p tcp --dport 25 -i eth2 -j DNAT --to 192.168.2.24:25
$IPTABLES -t nat -A PREROUTING -p tcp --dport 110 -i eth2 -j DNAT --to 192.168.2.24:110
#(ADSL) 
#$IPTABLES -t nat -A POSTROUTING -s $INT_NET -o eth2 -j MASQUERADE  
#STATIC IP 
$IPTABLES -t nat -A POSTROUTING -s $INT_NET -j SNAT --to 1.2.3.4
#SQUID UNAUTH 
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -s $INT_NET --dport 80 -j REDIRECT --to-port 3128

Centos 添加静态路由

创建 /etc/sysconfig/static-routes 文件

vi 这个文件

any net 192.168.6.0/24 gw 192.168.10.2