Linux防火墙上的Apache反向代理

admin

　　一、测试环境与网络结构

本文所使用的测试环境是Redhat Linux 7.2、Apache 1.3.24，公司域名假设是company.com。公司的典型网络构造如附图所示。

　　Linux防火墙上的Apache反向代理

注意: 附图中的防火墙上安装了2块网卡，其中e0端口的外部公共地址为1.2.3.4，e1端口对应内部保留地址为192.168.2.1。局域网内部有3台 Web服务器A、B和C，它们对应的域名分别为weba.company.com、webb.company.com和 webc.company.com，均使用内部保留地址。
<div align="center">


　　注意事项:

①要支持最多为1024个客户的同时请求，不仅需要更改上面提到的源文件，在编译安装后还需要设置/usr/local/apache/conf/httpd.conf文件，将其中的“MaxClients”一行后面的参数更改为“1024”。

②如果您仅仅为了进行测试，或者不会有很多人使用，可以不修改httpd.h文件。

　　4. 编译Apache

编译代码如代码1所示。

代码1

#cd apache_1.3.24

#./configure --prefix=/usr/local/apache

--enable-module=most

--enable-shared=max

--enable-module=proxy

--enable-shared=proxy

--enable-module=rewrite

--enable-shared=rewrite 设置安装默认目录

编译大多数模块

设置模块为DSO(动态共享对象)模式

启动代理模块

安装代理模块为DSO模式

启动重写功能模块

安装重写功能模块为DSO模式
注意: 在编译Apache的时候，必须编译大多数模块，并将它们设置为DSO模式，同时启动proxy和rewrite模块，同时也将其设置为DSO模式。

#make

#make install

将安装所有Apache所需文件到/usr/local/apache目录下。


　　5.在httpd.conf文件中设置基于域名的虚拟主机

在/usr/local/apache目录找到httpd.conf文件，并将下面的内容添加至此文件后。

NameVirtualHost 1.2.3.4:80

< VirtualHost 1.2.3.4:80 >

ServerAdmin root@company.com

DocumentRoot /usr/local/apache/htdocs

ServerName default.company.com

ErrorLog /usr/local/apache_http/logs/error_log

CustomLog /usr/local/apache_http/logs/access_log combined

UseCanonicalName Off

ProxyRequests Off

RewriteEngine on

RewriteCond %{HTTP_HOST}.*.company.com$

RewriteRule ^/(.*)$ http://%{HTTP_HOST}/$1 [P，L]

< /VirtualHost >

　　注意事项:

①上面设置了基于域名的反向代理虚拟主机，这样当您从外部访问IP地址为1.2.3.4的主机，且URL地址后面部分的域名为“company.com”，Apache就可以把用户的请求转发到局域网内部的Web服务器上，并重写响应数据包去掉代理协议部分。

②“ServerName”一行可以任意指定。

③“ProxyRequest Off”一行用来禁止Apache在IP地址为1.2.3.4的主机和端口80上进行代理服务，在这里Apache作为一个透明的代理服务器来使用。

④“RewriteEngine on”一行用来启动Apache修改响应数据包的功能，否则下面的“RewriteCond”和“RewriteRule”将不起作用。　　6.添加记录进入/etc/hosts文件

在上面的虚拟主机重写规则中，重写后的URL与您所请求的URL是一样的，我们的设想是将下面3个域名放到防火墙的/etc/hosts文件中，这样Apache将从内部3台Web服务器获得内容，并返回给外部用户，域名对应记录如下。

192.168.2.2 weba.company.com

192.168.2.3 webb.company.com

192.168.2.4 webc.company.com

　三、总结

这样，当外部用户访问http://weba.company.com时，请求被送到防火墙的Apache上，而防火墙上的Apache反向代理将根据/etc/hosts文件中定义的记录直接从IP地址为192.168.2.2的Web服务器获取内容并返回给外部用户，从而完成内部Web服务器weba.company.com对外提供访问的功能。

在对Apache配置完毕后，如果还需要增加更多的内部Web服务器来提供外部访问服务，只需设置其DNS服务器的IP地址为1.2.3.4，并在/etc/hosts文件中增加相应记录即可。