HƯỚNG DẪN CÀI ĐẶT PROXY VÀ CẤU HÌNH CÁC ACCESS CONTROL LIST TRONG PROXY TRÊN LINUX

• Cài đặt squid từ packet :
                  squid-version.i386.rpm
• Các tập tin và thư mục mặc định của squid :
• /etc/squid/squid.conf : tập tin cấu hình chính.
• /var/log/squid : lưu các tập tin log.
• /usr/sbin : lưu những thư viện của squid.

II/ CẤU HÌNH SQUID.

Tập tin cấu hình chính : /etc/squid/squid.conf

• Thay đổi một số tùy chọn cơ bản để squid hoạt động.
• http_port <cổng> :  cấu hình cổng HTTP mà squid sẽ lắng nghe những yêu cầu được gởi đến. Mặc định là port 3128.
• icp_port <cổng> : cấu hình cổng để gởi và nhận ICP queries.
• cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư mục này có kích thước mặc định là 100MB.

cache_dir ufs /usr/local/squid/cache  100  16  256
Level 1: 16 , Level 2: 256

• cache_access_log : chỉ ra nơi lưu tập tin log.
• dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối.
• cache_effective_user, cache_effective_group : người dùng và nhóm có thể thay đổi squid.
• 
  
• cache_peer : truy vấn đến proxy khác và chia sẻ cache với nhau.

             cache_peer   host/IP   type   http_port   icp_port

• Type= parent : truy vấn đến proxy khác (proxy cha).

 sibling : chia sẻ cache giữa các proxy (ngang hàng).
Ví Dụ :
cache_peer  192.168.11.1   parent   8080   8082
cache_peer  192.168.11.10  sibling   8080   8082
cache_peer  192.168.11.15  sibling   8080   8082

• acl : định nghĩa Access Control List.
• a) acl  aclname  acltype  string1 hoaëc  “file” 

                        aclname: tên của acl
                       acltype =  src  IP address/netmask
                        srcdomain:  domain
                       dst: IP address/netmask
                        dstdomain: domain

• b) acl  aclname  time  [day of week]  [h1:m1-h2:m2]
• c) acl  aclname  port  80 70 21 . . .
• d) acl  aclname  proto  HTTP FTP . . .
• e) acl  aclname  method  GET  POST . . .

• Sử dụng access list vào các tag điều khiển truy cập :

http_access   allow/deny   aclname

• Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server.

               acl  mynetwork  src  172.29.10.0/255.255.255.0
               http_access  allow  mynetwork
                http_access  deny  all

• Ví Dụ: Cấm truy cập đến site yahoo.com

                 acl  baddomain  dstdomain  .yahoo.com
                   http_access  deny  baddomain

• Ví Dụ: Có thể lưu vào 1 tập tin dạng văn bản.

                     acl  baddomain  dstdomain  “/etc/squid/file_cấm”
                      http_access  deny  baddomain

• Nếu có nhiều acl thì ứng với mỗi  acl phải có một http_access.

• 
  
• Ví dụ mẫu : Cấu hình các tham số chính

                 visible_hostname     svr10
                  http_port    8080
                   icp_port    8082
                  cache_peer  192.168.10.210  parent  8080  8082
                   dead_peer_timeout  10 seconds
                    cache_dir  ufs  /var/spool/squid  100  16  256
                    cache_access_log  /var/log/squid/access.log

III/ KHỞI ĐỘNG SQUID.

• 
  
• Trước khi khởi động squid proxy, ta phải tạo thư mục cache bằng lệnh :  #squid  -z
• Chuyển quyền sở hữu trên thư mục squid cho user và nhóm squid :

              #chown  squid:squid  /var/spool/squid

• 
  
• Đặt quyền cơ bản cho user và nhóm có toàn quyền trên thư mục :

               #chmod  770  /var/spool/squid

• 
  
• Khởi động squid:

                #/etc/init.d/squid  restart

IV/ CHÚ Ý:

• Nếu các alc dùng để áp đặc cho thời gian (giờ) và ngày thì phải phủ định của các luật đó bằng cách thêm vào đấu ( ! ) .
• Dấu ( ! ) chỉ phủ định của luật.
• Luật nào nằm trên nhất sẽ có quyền ưu tiên cao nhất.
• VD: Tạo luật cho nhân viên truy cập internet ngoài giờ hành chình từ 11:30-13:00
• Thông thường thì bạn nghĩ đến sử dụng thuộc tính là ALLOW để áp đặc
         acl chophep time 11:30-13:00
          http_access allow chophep
  - Nhưng cú pháp trên hoàng toàn sai, cú pháp đúng chính là phủ định của luật trên
          acl chophep time 11:30-13:00
          http_access !chophep

Video