HƯỚNG DẪN CÀI ĐẶT PROXY VÀ CẤU HÌNH CÁC ACCESS CONTROL LIST TRONG PROXY TRÊN LINUX

HƯỚNG DẪN CÀI ĐẶT PROXY VÀ CẤU HÌNH CÁC ACCESS CONTROL LIST TRONG PROXY TRÊN LINUX

I/ CÀI ĐẶT SQUID.

Cài đặt squid từ packet :
squid-version.i386.rpm
Các tập tin và thư mục mặc định của squid :

/etc/squid/squid.conf : tập tin cấu hình chính.

/var/log/squid : lưu các tập tin log.

/usr/sbin : lưu những thư viện của squid.

II/ CẤU HÌNH SQUID.

Tập tin cấu hình chính : /etc/squid/squid.conf

Thay đổi một số tùy chọn cơ bản để squid hoạt động.
http_port <cổng> : cấu hình cổng HTTP mà squid sẽ lắng nghe những yêu cầu được gởi đến. Mặc định là port 3128.
icp_port <cổng> : cấu hình cổng để gởi và nhận ICP queries.
cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư mục này có kích thước mặc định là 100MB.

cache_dir ufs /usr/local/squid/cache 100 16 256
Level 1: 16 , Level 2: 256

cache_access_log : chỉ ra nơi lưu tập tin log.
dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối.
cache_effective_user, cache_effective_group : người dùng và nhóm có thể thay đổi squid.
cache_peer : truy vấn đến proxy khác và chia sẻ cache với nhau.

cache_peer host/IP type http_port icp_port

Type= parent : truy vấn đến proxy khác (proxy cha).

sibling : chia sẻ cache giữa các proxy (ngang hàng).
Ví Dụ :
cache_peer 192.168.11.1 parent 8080 8082
cache_peer 192.168.11.10 sibling 8080 8082
cache_peer 192.168.11.15 sibling 8080 8082

acl : định nghĩa Access Control List.

a) acl aclname acltype string1 hoaëc “file”

aclname: tên của acl
acltype = src IP address/netmask
srcdomain: domain
dst: IP address/netmask
dstdomain: domain

b) acl aclname time [day of week] [h1:m1-h2:m2]
c) acl aclname port 80 70 21 . . .
d) acl aclname proto HTTP FTP . . .
e) acl aclname method GET POST . . .

Sử dụng access list vào các tag điều khiển truy cập :

http_access allow/deny aclname

Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server.

acl mynetwork src 172.29.10.0/255.255.255.0
http_access allow mynetwork
http_access deny all

Ví Dụ: Cấm truy cập đến site yahoo.com

acl baddomain dstdomain .yahoo.com
http_access deny baddomain

Ví Dụ: Có thể lưu vào 1 tập tin dạng văn bản.

acl baddomain dstdomain “/etc/squid/file_cấm”
http_access deny baddomain

Nếu có nhiều acl thì ứng với mỗi acl phải có một http_access.

Ví dụ mẫu : Cấu hình các tham số chính

visible_hostname svr10
  http_port 8080
icp_port 8082
  cache_peer 192.168.10.210 parent 8080 8082
dead_peer_timeout 10 seconds
  cache_dir ufs /var/spool/squid 100 16 256
  cache_access_log /var/log/squid/access.log

III/ KHỞI ĐỘNG SQUID.

Trước khi khởi động squid proxy, ta phải tạo thư mục cache bằng lệnh : #squid -z
Chuyển quyền sở hữu trên thư mục squid cho user và nhóm squid :

#chown squid:squid /var/spool/squid

Đặt quyền cơ bản cho user và nhóm có toàn quyền trên thư mục :

#chmod 770 /var/spool/squid

Khởi động squid:

#/etc/init.d/squid restart

IV/ CHÚ Ý:

Nếu các alc dùng để áp đặc cho thời gian (giờ) và ngày thì phải phủ định của các luật đó bằng cách thêm vào đấu ( ! ) .
Dấu ( ! ) chỉ phủ định của luật.
Luật nào nằm trên nhất sẽ có quyền ưu tiên cao nhất.
VD: Tạo luật cho nhân viên truy cập internet ngoài giờ hành chình từ 11:30-13:00

Thông thường thì bạn nghĩ đến sử dụng thuộc tính là ALLOW để áp đặc
acl chophep time 11:30-13:00
http_access allow chophep
- Nhưng cú pháp trên hoàng toàn sai, cú pháp đúng chính là phủ định của luật trên
acl chophep time 11:30-13:00
http_access !chophep

Video:

Tác giả: Trần Hoàng Kha

HƯỚNG DẪN CÀI ĐẶT PROXY VÀ CẤU HÌNH CÁC ACCESS CONTROL LIST TRONG PROXY TRÊN LINUX

No comments:

Post a Comment

Bài Viết Xem Nhiều

Danh Sách