June 18, 2015

HƯỚNG DẪN CÀI ĐẶT PROXY VÀ CẤU HÌNH CÁC ACCESS CONTROL LIST TRONG PROXY TRÊN LINUX

  • Cài đặt squid từ packet :
  •                   squid-version.i386.rpm
  • Các tập tin và thư mục mặc định của squid :
  • /etc/squid/squid.conf : tập tin cấu hình chính.
  • /var/log/squid : lưu các tập tin log.
  • /usr/sbin : lưu những thư viện của squid.
II/ CẤU HÌNH SQUID.








  • Tập tin cấu hình chính : /etc/squid/squid.conf
    • Thay đổi một số tùy chọn cơ bản để squid hoạt động.
    • http_port <cổng> :  cấu hình cổng HTTP mà squid sẽ lắng nghe những yêu cầu được gởi đến. Mặc định là port 3128.
    • icp_port <cổng> : cấu hình cổng để gởi và nhận ICP queries.
    • cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư mục này có kích thước mặc định là 100MB.
    cache_dir ufs /usr/local/squid/cache  100  16  256
    Level 1: 16 , Level 2: 256
    • cache_access_log : chỉ ra nơi lưu tập tin log.
    • dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối.
    • cache_effective_user, cache_effective_group : người dùng và nhóm có thể thay đổi squid.

    • cache_peer : truy vấn đến proxy khác và chia sẻ cache với nhau.
                 cache_peer   host/IP   type   http_port   icp_port
    • Type= parent : truy vấn đến proxy khác (proxy cha).
     sibling : chia sẻ cache giữa các proxy (ngang hàng).
    Ví Dụ :
    cache_peer  192.168.11.1   parent   8080   8082
    cache_peer  192.168.11.10  sibling   8080   8082
    cache_peer  192.168.11.15  sibling   8080   8082
    • acl : định nghĩa Access Control List.
      • a) acl  aclname  acltype  string1 hoaëc  “file” 
                            aclname: tên của acl
                           acltype =  src  IP address/netmask
                            srcdomain:  domain
                           dst: IP address/netmask
                            dstdomain: domain
      • b) acl  aclname  time  [day of week]  [h1:m1-h2:m2]
      • c) acl  aclname  port  80 70 21 . . .
      • d) acl  aclname  proto  HTTP FTP . . .
      • e) acl  aclname  method  GET  POST . . .
    • Sử dụng access list vào các tag điều khiển truy cập :
    http_access   allow/deny   aclname
      • Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server.
                   acl  mynetwork  src  172.29.10.0/255.255.255.0
                   http_access  allow  mynetwork
                    http_access  deny  all
      • Ví Dụ: Cấm truy cập đến site yahoo.com
                     acl  baddomain  dstdomain  .yahoo.com
                       http_access  deny  baddomain
      • Ví Dụ: Có thể lưu vào 1 tập tin dạng văn bản.
                         acl  baddomain  dstdomain  “/etc/squid/file_cấm”
                          http_access  deny  baddomain
      • Nếu có nhiều acl thì ứng với mỗi  acl phải có một http_access.

    • Ví dụ mẫu : Cấu hình các tham số chính
                     visible_hostname     svr10
                      http_port    8080
                       icp_port    8082
                      cache_peer  192.168.10.210  parent  8080  8082
                       dead_peer_timeout  10 seconds
                        cache_dir  ufs  /var/spool/squid  100  16  256
                        cache_access_log  /var/log/squid/access.log

    III/ KHỞI ĐỘNG SQUID.

    • Trước khi khởi động squid proxy, ta phải tạo thư mục cache bằng lệnh :  #squid  -z
    • Chuyển quyền sở hữu trên thư mục squid cho user và nhóm squid :
                  #chown  squid:squid  /var/spool/squid

    • Đặt quyền cơ bản cho user và nhóm có toàn quyền trên thư mục :
                   #chmod  770  /var/spool/squid

    • Khởi động squid:
                    #/etc/init.d/squid  restart
    IV/ CHÚ Ý:
    • Nếu các alc dùng để áp đặc cho thời gian (giờ) và ngày thì phải phủ định của các luật đó bằng cách thêm vào đấu ( ! ) .
    • Dấu ( ! ) chỉ phủ định của luật.
    • Luật nào nằm trên nhất sẽ có quyền ưu tiên cao nhất.
    • VD: Tạo luật cho nhân viên truy cập internet ngoài giờ hành chình từ 11:30-13:00
      • Thông thường thì bạn nghĩ đến sử dụng thuộc tính là ALLOW để áp đặc
               acl chophep time 11:30-13:00
                http_access allow chophep
        - Nhưng cú pháp trên hoàng toàn sai, cú pháp đúng chính là phủ định của luật trên
                acl chophep time 11:30-13:00
                http_access !chophep
    Video

    Related Posts:

    • [LINUX] CÀI ĐẶT WHM/CPANEL TRÊN MÁY CHỦ HOẶC VPS Để cài đặt Cpanel, bạn hãy login vào VPS qua SSH bằng tài khoản root, sau đó sử dụng các lệnh ở phía dưới để cài đặt Cpanel. 1. Cài đặt Cpanel/WHM # yum install selinux coreutils binutils make dialog gcc gcc-* glib* # y… Read More
    • [LINUX] HƯỚNG DẪN KIỂM TRA CẤU HÌNH MÁY CHỦ MỤC ĐÍCH: Bài viết này dành cho khách hàng tự thực hiện việc kiểm tra các thông số phần cứng trên máy chủ vậy lý dành cho dịch vụ Máy chủ riêng hoặc Thuê chỗ đặt máy chủ. Bài viết hướng dẫn cách thực hiện các… Read More
    • Một số lệnh cơ bản kiểm tra server khi bị DDoS Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS… Read More
    • [LINUX] CÀI ĐẶT FIREWALL CSF TRÊN DIRECTADMIN VÀ CPANEL CSF (ConfigServer Security & Firewall) là một firewall miễn phí cực mạnh và cực hay trên các hệ thống máy chủ Linux. Hiện tại luôn được cập nhật và CSF tương thích với tất cả các hệ thống Linux, tuy nhiên chỉ mới có giao… Read More
    • CÁCH CÀI ĐẶT EXTENSION PHP CHO VPS HOẶC SERVER RIÊNG - LINUXNhư các bạn đã biết, Server Riêng cũng như vps là một phân vùng riêng độc lập mà mỗi khách hàng có thể tùy ý chỉnh sửa cấu hình, cài đặt ứng dụng và triển khai theo ý muốn. Và khi các bạn cần cài đặt exten… Read More

    0 comments:

    Post a Comment