Bài giảng Proxy server - Squid

PROXY SERVER - SQUID NỘI DUNG Firewall. Các loại Firewall. Squid là gì? Cài đặt Squid. Cấu hình Squid. Khởi động Squid. 1. FIREWALL. Firewall : là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống. Cụ thể firewall sẽ bảo vệ mạng nội bộ (LAN) với mạng Internet. Firewall có các chức năng sau : Tất cả các trao đổi từ trong ra ngoài và ngược lại đều phải thông qua Firewall. Chỉ có những trao đổi được phép bởi hệ thống mạng nội bộ mới được quyền thông qua Firewall. Quản lý chứng thực. Quản lý cấp quyền. Quản lý kế toán. FIREWALL (tt). Những chính sách Firewall : Những dịch vụ nào cần ngăn chặn? Những người nào bạn cần phục vụ? Mỗi nhóm cần truy cập những dịch vụ nào? Mỗi dịch vụ sẽ được bảo vệ như thế nào? 2. CÁC LOẠI FIREWALL. Packet filtering (Bộ lọc packet) Địa chỉ IP nơi xuất phát. Địa chỉ IP nơi nhận. Cổng TCP nơi xuất phát. Cổng TCP nơi nhận. Application gateway : Cơ chế hoạt động dựa trên mô hình Proxy Service. Đòi hỏi trong mô hình này cần phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. 3. SQUID LÀ GÌ? Squid là một chương trình Internet Proxy – Caching có vai trò tiếp nhận các yêu cầu từ Client và chuyển cho Internet Server thích hợp. Đồng thời nó sẽ lưu lại trên đĩa những dữ liệu được trả về từ Internet Server – gọi là caching. Squid hỗ trợ những giao thức sau : HTTP FTP GOPHER Wire Area Information Secure Socket Layer (SSL). 4. CÀI ĐẶT SQUID. Cài đặt squid từ packet : squid-version.i386.rpm Các tập tin và thư mục mặc định của squid : /etc/squid/squid.conf : tập tin cấu hình chính. /var/log/squid : lưu các tập tin log. /usr/sbin : lưu những thư viện của squid. 5. CẤU HÌNH SQUID. Tập tin cấu hình chính : /etc/squid/squid.conf Thay đổi một số tùy chọn cơ bản để squid hoạt động. http_port : cấu hình cổng HTTP mà squid sẽ lắng nghe những yêu cầu được gởi đến. Mặc định là port 3128. icp_port : cấu hình cổng để gởi và nhận ICP queries. cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư mục này có kích thước mặc định là 100MB. cache_dir ufs /usr/local/squid/cache 100 16 256 Level 1: 16 , Level 2: 256 cache_access_log : chỉ ra nơi lưu tập tin log. dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối. cache_effective_user, cache_effective_group : người dùng và nhóm có thể thay đổi squid. CẤU HÌNH SQUID (tt). cache_peer : truy vấn đến proxy khác và chia sẻ cache với nhau. cache_peer host/IP type http_port icp_port Type= parent : truy vấn đến proxy khác (proxy cha). sibling : chia sẻ cache giữa các proxy (ngang hàng). Ví Dụ : cache_peer 192.168.11.1 parent 8080 8082 cache_peer 192.168.11.10 sibling 8080 8082 cache_peer 192.168.11.15 sibling 8080 8082 CẤU HÌNH SQUID (tt). acl : định nghĩa Access Control List. a) acl aclname acltype string1 hoaëc “file” aclname: tên của acl acltype = src IP address/netmask srcdomain domain dst IP address/netmask dstdomain domain b) acl aclname time [day of week] [h1:m1-h2:m2] c) acl aclname port 80 70 21 . . . d) acl aclname proto HTTP FTP . . . e) acl aclname method GET POST . . . CẤU HÌNH SQUID (tt). Sử dụng access list vào các tag điều khiển truy cập : http_access allow/deny aclname Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server. acl mynetwork src 172.29.10.0/255.255.255.0 http_access allow mynetwork http_access deny all Ví Dụ: Cấm truy cập đến site yahoo.com acl baddomain dstdomain .yahoo.com http_access deny baddomain Ví Dụ: Có thể lưu vào 1 tập tin dạng văn bản. acl baddomain dstdomain “/etc/squid/file_cấm” http_access deny baddomain Nếu có nhiều acl thì ứng với mỗi acl phải có một http_access. CẤU HÌNH SQUID (tt). Ví dụ mẫu : Cấu hình các tham số chính visible_hostname svr10 http_port 8080 icp_port 8082 cache_peer 192.168.10.210 parent 8080 8082 dead_peer_timeout 10 seconds cache_dir ufs /var/spool/squid 100 16 256 cache_access_log /var/log/squid/access.log Trước khi khởi động squid proxy, ta phải tạo thư mục cache bằng lệnh : #squid -z Chuyển quyền sở hữu trên thư mục squid cho user và nhóm squid : #chown squid:squid /var/spool/squid Đặt quyền cơ bản cho user và nhóm có toàn quyền trên thư mục : #chmod 770 /var/spool/squid Khởi động squid: #/etc/init.d/squid restart 6. KHỞI ĐỘNG SQUID.