Đang tải... (xem toàn văn)
Giáo trình Hệ điều hành Linux nâng cao
PROXY SERVER - SQUID NỘI DUNGFirewall.Các loại Firewall.Squid là gì?Cài đặt Squid.Cấu hình Squid.Khởi động Squid. 1. FIREWALL.Firewall : là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống. Cụ thể firewall sẽ bảo vệ mạng nội bộ (LAN) với mạng Internet.Firewall có các chức năng sau :Tất cả các trao đổi từ trong ra ngoài và ngược lại đều phải thông qua Firewall.Chỉ có những trao đổi được phép bởi hệ thống mạng nội bộ mới được quyền thông qua Firewall.Quản lý chứng thực.Quản lý cấp quyền.Quản lý kế toán. FIREWALL (tt).Những chính sách Firewall :•Những dịch vụ nào cần ngăn chặn?•Những người nào bạn cần phục vụ?•Mỗi nhóm cần truy cập những dịch vụ nào?•Mỗi dịch vụ sẽ được bảo vệ như thế nào? 2. CÁC LOẠI FIREWALL.Packet filtering (Bộ lọc packet)•Địa chỉ IP nơi xuất phát.•Địa chỉ IP nơi nhận.•Cổng TCP nơi xuất phát.•Cổng TCP nơi nhận.Application gateway : Cơ chế hoạt động dựa trên mô hình Proxy Service. Đòi hỏi trong mô hình này cần phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. 3. SQUID LÀ GÌ?Squid là một chương trình Internet Proxy – Caching có vai trò tiếp nhận các yêu cầu từ Client và chuyển cho Internet Server thích hợp. Đồng thời nó sẽ lưu lại trên đĩa những dữ liệu được trả về từ Internet Server – gọi là caching.Squid hỗ trợ những giao thức sau :•HTTP•FTP•GOPHER•Wire Area Information•Secure Socket Layer (SSL). 4. CÀI ĐẶT SQUID.Cài đặt squid từ packet : squid-version.i386.rpmCác tập tin và thư mục mặc định của squid :•/etc/squid/squid.conf : tập tin cấu hình chính.•/var/log/squid : lưu các tập tin log.•/usr/sbin : lưu những thư viện của squid. 5. CẤU HÌNH SQUID.Tập tin cấu hình chính : /etc/squid/squid.confThay đổi một số tùy chọn cơ bản để squid hoạt động.•http_port <cổng> : cấu hình cổng HTTP mà squid sẽ lắng nghe những yêu cầu được gởi đến. Mặc định là port 3128.•icp_port <cổng> : cấu hình cổng để gởi và nhận ICP queries.•cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư mục này có kích thước mặc định là 100MB.cache_dir ufs /usr/local/squid/cache 100 16 256Level 1: 16 , Level 2: 256•cache_access_log : chỉ ra nơi lưu tập tin log.• dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối.•cache_effective_user, cache_effective_group : người dùng và nhóm có thể thay đổi squid. CẤU HÌNH SQUID (tt).cache_peer : truy vấn đến proxy khác và chia sẻ cache với nhau.cache_peer host/IP type http_port icp_portType= parent : truy vấn đến proxy khác (proxy cha). sibling : chia sẻ cache giữa các proxy (ngang hàng).Ví Dụ : cache_peer 192.168.11.1 parent 8080 8082cache_peer 192.168.11.10 sibling 8080 8082cache_peer 192.168.11.15 sibling 8080 8082 CẤU HÌNH SQUID (tt).acl : định nghĩa Access Control List.a) acl aclname acltype string1 hoaëc “file” aclname: tên của aclacltype = src IP address/netmasksrcdomain domaindst IP address/netmaskdstdomain domainb) acl aclname time [day of week] [h1:m1-h2:m2]c) acl aclname port 80 70 21 . . .d) acl aclname proto HTTP FTP . . .e) acl aclname method GET POST . . . [...]... http_access CẤU HÌNH SQUID (tt) Ví dụ mẫu : Cấu hình các tham số chính visible_hostname svr10 http_port 8080 icp_port 8082 cache_peer 192. 168 .10.210 parent 8080 8082 dead_peer_timeout 10 seconds cache_dir ufs /var/spool/squid 100 16 2 56 cache_access_log /var/log/squid/access.log 6 KHỞI ĐỘNG SQUID Trước khi khởi động squid proxy, ta phải tạo thư mục cache bằng lệnh : #squid -z Chuyển quyền sở hữu trên thư mục...CẤU HÌNH SQUID (tt) Sử dụng access list vào các tag điều khiển truy cập : http_access allow/deny aclname Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server acl mynetwork src 172.29.10.0/255.255.255.0 http_access allow mynetwork http_access . mặc định là 100MB.cache_dir ufs /usr/local/squid/cache 100 16 256Level 1: 16 , Level 2: 2 56 cache_access_log : chỉ ra nơi lưu tập tin log.• dead_peer_timeout. hàng).Ví Dụ : cache_peer 192. 168 .11.1 parent 8080 8082cache_peer 192. 168 .11.10 sibling 8080 8082cache_peer 192. 168 .11.15 sibling 8080 8082 CẤU