Haproxy使用tproxy实现透明代理实验环境Server1为代理服务器,有两个网卡eth0:192.168.1.55用于对外服务eth1:10.0.0.1gw10.0.0.254用于内网通讯Server2为应用服务器,一块网卡eth0:10.0.0.2gw10.0.0.1service的网关一定要配成service的内网IP准备工作1.检查系统内科是否已支持tproxy2.安装haproxy编译参数makeTARGET=linux26USE_LINUX_TPROXY=1makeinstallPREFIX=/usr/local/haproyx安装完成后,检查haproxy是否支持tproxyHaproxy.cfgglobaldaemonstatssocket/var/run/haproxy.statmode600log127.0.0.1local4maxconn40000ulimit-n80013pidfile/var/run/haproxy.piddefaultslogglobalmodehttpcontimeout4000clitimeout42000srvtimeout43000balanceroundrobinlistenVIP-222bind192.168.1.222:80modehttpoptionforwardforsource0.0.0.0usesrcclientipcookieSERVERIDinsertnocacheindirectserverserver110.0.0.2:80weight1cookieserver1checkserverbackup127.0.0.1:80backupoptionredispatch在server1上配置网络、iptables及内核参数(可加入/etc/rc.local)net.ipv4.ip_forward=1net.ipv4.conf.all.send_redirects=1net.ipv4.conf.default.send_redirects=1net.ipv4.conf.all.forwarding=1iptables-tmangle-NDIVERT#在mangle中新建一条规则链DIVERTiptables-tmangle-APREROUTING-ptcp-msocket-jDIVERT#凡进入PREROUTING链的报文都跳转去新定义的DIVERT链iptables-tmangle-ADIVERT-jMARK--set-mark1#凡进入DIVERT链的报文均使用mangle表的标记功能标记上1标记iptables-tmangle-ADIVERT-jACCEPT#进入DIVERT链的报文均导入路由ipruleaddfwmark1lookup100#添加100策略路由表,并将由iptables打了标记1的数据报文从100路由表规定路由流动可以在/etc/iproute2/rt_tables查看或者使用此命令查看iprulesh本机的所有路由表iprouteaddlocal0.0.0.0/0devlotable100#由于到达本地的数据包要想成功到达,必须要找到一条local路由(类型对即可,无需非要在local表),因此为路由表100确定默认路由,进入环流最后启动相关软件即可Linux路由查找流程在Linux中,内置了三张路由表:local,main,default,其中local路由表的优先级最高,并且不能被替换,在有数据包进来的时候,首先无条件的查找local路由表,如果找到了路由,则数据包就是发往本机的,如果找不到,则接着在其它的路由表中进行查找。使用iproutelstablelocal命令可以看到local表的内容,比如机器的eth0网卡上配有192.168.0.7,则在local表中会有如下的路由:local192.168.0.7deveth0protokernelscopehostsrc192.168.0.7local表中的路由是可以删除的。路由的src项指的是当数据包从本机发出时,在local表中找到了源地址的路由,首选的源ip地址在local表和main表之间,可以插入251张策略路由表,因此如果有策略路由表的话,如果local表中没有找到路由,则会查找策略路由表Iptables规则表之间的优先顺序当数据包抵达防火墙时,将依次应用raw、mangle、nat和filter表中对应链内的规则mangle表,包含五个规则链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARDmangle表主要用于修改数据包的TOS(服务类型)、TTL(生存周期)值以及为数据包设置Mark标记,以实现Qos(服务器质量)调整以及策略路由等应用Iptables规则链之间的优先顺序入站数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理(是否修改数据包地址等),之后进行路由选择(判断该数据包应发往何处),如果数据包的目标地址是防火墙本机(如Internet用户访问防火墙主机中web服务端数据包),那么内核将其传递给INPUT链进行处理(决定是否允许通过等),通过以后在交给系统上层的应用程序(如httpd服务器)进行响应PREROUTING:在对数据包做路由选择之前,应用此链中的规则转发数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后进行路由选择,如果数据包的地址是其外部地址(如果局域网通过网关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包地址等)进行处理出站数据流向:防火墙本机向外部地址发送到数据包(如在防火墙主机中测试公网DNS服务时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理iptables规则链内部各条防火墙规则之间的优先顺序在数据包经由每条规则的处理过程中,依次按第一条、第二条......的顺序进行匹配,如果找到一条能够匹配该数据包的规则,则不继续检查后边的规则,如果比对完整个规则链,也找到和数据包相匹配的规则,就按照规则链的默认策略进行处理零下七度:411898301
