2012年3月2日金曜日

VPCのNATインスタンスを作ってみる(Squid編)

スズキです。

下記で"iptables"によるNATインスタンスを作成しました。
VPCのNATインスタンスを作ってみる(iptables編)
しかし"iptables"では、アウトバウンドの制限をIPアドレス/ポート単位でしか
できないので、もう少し高度な制限(DNS名など)を可能とするため、
さらにSquidを経由させることにしました。

まずはSquidのインストールです。

# yum -y install squid
# chkconfig squid on
# chkconfig --list squid
squid           0:off 1:off 2:on 3:on 4:on 5:on 6:off

設定ファイルは下記のようにしています。

# cat /etc/squid/squid.conf
visible_hostname unknown
http_port 3128 transparent
forwarded_for off
cache deny all
http_access allow all
http_access deny all

そしてSquidを起動します。

# /etc/init.d/squid start
squid を起動中: ..                                         [  OK  ]

"iptables"は次のように80番のアクセスを3128番にリダイレクトするようにしておきます。

# iptables -t nat -A PREROUTING -i eth0 -s 0.0.0.0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128

これで、HTTPの通信をSquid経由で調整(DNS名での制限など)ができるようになりました。

でも、HTTPSには通用しない...
--------
http://www.suz-lab.com

0 コメント: