Cài đặt SQUID Hệ điều hành máy chủ Asianux Server 3

Cài đặt SQUID Hệ điều hành máy chủ Asianux Server 3

CÀI ĐẶT SQUID

Hệ điều hành máy chủ Asianux Server 3

VietSoftware Inc

Asianux Vietnam

Ha noi, 16-20/06/2008

Giới thiệu

Dịch vụ đệm/ủy quyền (proxy) cho phép người sử dụng cung cấp dịch vụ đệm dữ liệu (thông tin) cho truy cập từ xa Những người

trong mạng LAN có thể truy cập Internet thông qua máy chủ Proxy,

và người quản trị hệ thống có thể đặt quyền truy xuất cho từng

đối tượng cụ thể

Chức năng dịch vụ

Dịch vụ đệm/uỷ quyền (proxy) sử dụng Squid có các chức năng sau:

-Uỷ quyền và đệm dữ liệu cho dịch vụ HTTP, FTP,

và các liên kết (links)

-Uỷ quyền cho giao thức bảo mật SSL (Secure Socket Layer)

Cơ chế đệm phân nhánh tăng tốc phục vụ người sử dụng

-Hỗ trợ giao thức khai thác bộ đệm hiệu quả (ICP, HTCP,

CARP, Cache Digests)

-Đệm trong suốt đối với người sử dụng

-Hỗ trợ WCCP

-Khả năng kiểm soát mở rộng

-Tăng tốc truy cập đối với máy chủ phục vụ HTTP (Web Server) -Hỗ trợ giao thức quản trị dựa trên SNMP

(Simple Network Management Protocol)

-Đệm dữ liệu tìm kiếm cho dịch vụ phân giải tên miền

Chức năng dịch vụ

Thiết lập cấu hình dịch vụ

Sau khi được cài dặt thì phải cấu hình squid từ tập tin

/etc/squid/squid.conf.

Tập tin này định nghía cấu hình squid chẳng hạn như

http port number mà squid

dùng để lắng nghe những yêu cầu http, những yêu

cầu đến và đi, thông tin timeout và dữ liệu truy cập firewall

Tập tin squid.conf được cấu hình cho tiến trình cài đặt mặc đinh,

phải chỉnh sửa lại tập tin này vì việc mặc định nó sẽ từ chối việc truy cập đến tất cả các (browser)

Mỗi tuỳ chọn cấu hình trong tập tin squid trong tập tin squid.conf

được nhận biết như một (tag) Mỗi (tag) là một cấu hình squid

Ví dụ như port yêu cầu http(client) được http_port

Tag http_port: tag http_port cấu hình http port trên

squid để lắng nghe các proxy client

Bởi mặc định squid không lắng nghe các proxy client trên bất kỳ port nào Vì thế phải mở tối thiểu một

port để cho việc sử dụng tag http_port trong squid

Port mặc định là 3128 cũng thường được dùng

cho dịch này có thể cấu hình squid để lắng nghe trên

cả 2 port bằng cách đưa vào mỗi số trong tag http_port

Trong ví dụ sau sẽ cấu hình squid để lắng nghe

trên các port 3128 và 8080 cho các proxy client

http_port 3128 8080

Thiết lập cấu hình dịch vụ

Tag visible_hostname: Chỉ rõ xem tên máy chủ proxy server

Trong tệp squid.conf mặc định , phải thêm dòng

visible_hostname <Tên máy >

Tag Cache_dir: Chỉ rõ dữ liệu cache được lưu trữ ở đâu

có thể chỉ rõ những thư mục khác nhau cho thư mục cache bằng cách dùng nhiều hơn một tag cache_dir trong tập tin squid.conf

Cache_dir ufs /var/spool/squid 100 16 256

Trong đó :

/var/spool/squid: thư mục cho tất cả các đối tượng được cache sẽ lưu trữ trong /var/spool/squid

100: Tổng số dữ liệu cache mà squid sẽ lưu trữ trong thư mục cache MẶc định là 100M

Thiết lập cấu hình dịch vụ

Tag acl

Tag acl: cho phép định nghĩa một danh sách truy cập

Danh sách này có thể bao gồm các địa chỉ IP của client,

một khoảng IP, một địa chỉ URL, một địa chỉ IP nội bộ hay một domain Bất kỳ danh sách truy cập định nghĩa sử dụng tag acl có thể sau đó được sử dụng để cho phép (allow) hoặc từ chối (deny) các yêu cầu gửi tới cache server

Chẳng hạn định nghĩa một khoảng của các địa chỉ sử dụng tag acl,

có thể cho phép hệ thống sử dụng 1 địa chỉ từ khoảng của các địa chỉ

IP này để sử dụng cache server Định nghĩa 1 danh sách rất quan trọng, nếu không làm sẽ không có bất kỳ một định nghĩa để tạo ra các quy tắc theo ý muốn Khi squid tìm được 1 quy tắc chẳng hạn như “từ chối truy cập hệ thốngtừ một khoảng địa chỉ IP từ 192.168.1.1 đến 192.168.1.100” nó sẽ kiểm tra

một acl tương ứng được tạo mà định nghĩa khoảng địa chỉ IP này.

Nếu như bạn muốn thêm vào một client other_networks

nữa bạn có thể làm như sau

acl other_networks src 192.168.0.0/16

http_access allow other_networks

Tag http_access: Cho phép hoặc từ chối truy cập tới squid Tức là có thể cho phép hay từ chối tất cả các yêu cầu

cũng có thể cho phép hoặc từ chối các yêu cầu dựa trên một danh sách truy cập đã được đinh nghĩa Nếu loại bỏ tất cả các http_access thì mặc định tất cả các yêu cầu đều được cho phép

# And finally deny all other access to this proxy

#http_access allow all

http_access allow localhost

http_access deny all

Tag acl

Cho phép khởi động service SQUID mỗi khi khởi động máy

#chkconfig level 345 squid on

Khởi động Squid

#service squid start

Tắt dịch vụ Squid

#service squid stop

kiểm tra Squid đã chạy hay chưa

# service squid status

Kiểm tra cổng http_port

Dùng lệnh #netstat -an |grep <cổng

Khi squid được khởi động thành công thì có kết quả như sau

[root@firewall root]# netstat -an|grep 3128 tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN

Kiểm tra dịch vụ SQUID ngay trên máy FW

# /usr/sbin/squidclient -h firewall.gov.vn -r -v http://mail.yahoo.com

Thank you!