Hôm nay, T.Bảy Tháng 12 16, 2017 5:47 pm

Múi giờ UTC + 7 Giờ





Tạo chủ đề mới Gửi bài trả lời  [ 4 bài viết ] 
Người gửi Nội dung
 Tiêu đề bài viết: Hướng Dẫn Cài Đặt và Cấu Hình Squid Proxy Server
Gửi bàiĐã gửi: T.Năm Tháng 5 05, 2011 7:07 am 
Ngoại tuyến

Ngày tham gia: T.Ba Tháng 4 14, 2009 6:16 am
Bài viết: 114
1. Giới thiệu về Squid

Squid là 1 proxy server, khả năng của squid là tiết kiệm băng thông, cải tiến việc bảo mật, tăng tốc độ truy cập web cho người sử dụng và trở thành 1 trong những proxy phổ biến được nhiều người sử dụng. Squid hỗ trợ ICP được sử dụng để cập nhật những thay đổi về nội dung của những URL sẳn có trong cache, Squid là lựa chọn tốt nhất cho một proxy cache server.
Squid đưa ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các dịch vụ thông thường như FTP, HTTP và Gopher. Squid lưu trữ các thông tin mới nhất của các dịch vụ trên RAM, quản lý cơ sở dữ liệu lớn của các thông tin trên disk, có 1 kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho các kết nối bảo mật thông qua proxy. Hơn nữa Squid có thể liên kết với các cache của các proxy khác trong việc sắp xếp lưu trữ các trang web một cách hợp lý, do đó các clients sẽ thấy việc truy cập được cải thiện rất nhiều.

2. Cài đặt

Bạn có thể cài bằng yum :

Trích dẫn:
# yum -y install squid*


hoặc cài từ source code :
Trích dẫn:
# wget http://www.squid-cache.org/Versions/v3/ ... .12.tar.gz
# tar -xvzf squid-3.1.12.tar.gz
# cd squid-3.1.12
# ./configure
# make
# make install


Nếu bạn có một folder /programs để là nơi chứa các chương trình của bạn và bạn build Squid vào folder này :

Trích dẫn:
# ./configure --prefix=/programs/squid
# make
# make install


3. Cấu hình Squid Proxy

Sửa file cấu hình của Squid /usr/local/squid/etc/squid.conf
Trích dẫn:
#vi vi /usr/local/squid/etc/squid.conf


Cấu hình cơ bản của 1 Squid Proxy
Trích dẫn:
http_port 3128
icp_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 170 MB
maximum_object_size 2048 KB
ipcache_size 1024
ipcahce_low 90
ipcache_high 95
fqdcache_size 1024
cache_dir diskd /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
debug_options ALL,1
diskd_program /usr/lib/squid/diskd
unlinkd_program /usr/lib/squid/unlinkd
request_header_max_size 30 KB
request_body_max_size 1024 KB
refresh_pattern ^ftp 1440 20% 10080
refresh_pattern ^gopher 1440 0% 1440
refresh_pattern 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quic_abort_pct 95
negative_ttl 3 minutes
negative_dns_ttl 5 minutes
request_timeout 1 minutes
acl manager proto cache_object
acl localhost src 172.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
act SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_port port 81
acl Safe_port port 21
acl Safe_port port 443 667 563
acl Safe_port port 3000

# Allow IP Group Connect to Cache Server

acl allow ip src "/etc/squid/allowip.txt"
http_access allow manager localhost
http_access deny manager

# Deny request to unknow ports

http_access deny !Safe_port

# Deny CONNECT to other than SSL ports

http_access deny CONNECT !SSL_ports
http_access deny dennywebsite
http_access allow allowip
http_access allow localhost
http_access deny all
icp_access allow all
cache_mgr webmaster
httpd_access_host virtual
httpd_access_port 80
httpd_access_user_host_header on
snmp_port 3401
coredump_dir /var/splool/squid
ie_refresh on

Một số tham số trong file cấu hình squid :

- http_port 3128 : cấu hình http port trên squid để lắng nghe các proxy clients, bởi mặc định squid không lắng nghe các proxy client trên bất kì port nào, vì thế phải mở tối thiểu 1 port để cho việc sử dụng tag http_port trong squid, mặc định là port 3128.

- cache_men 170 MB : tùy theo hệ thống mạng lớn hay bé, nhưng có thể sử dụng công thức chung sau : lấy ram hệ thống chia 3.

- cache_dir diskd /var/spool/squid 5000 16 256 : khai náo kích thước thư mục cache cho squid, mặc định là 100 16 256.
+ Giá trị 5000 là dùng 5000MB đĩa làm cache như vậy squid sẻ lưu cache trong /var/spool/squid với kích thước cache là 5000MB.
+ Giá trị 16 là qui định số thư mục con tạo trong squid.
+ Giá trị 256 là thiết lập các thư mục con được tạo trong squid, nếu cache quá lớn ta có thể tăng giá trị này lên.

- acl allowip src "/etc/squid/allowip.txt" : trong file txt ta chỉ định lớp mạng trong local.

- http_access allow allowip : cho phép lớp mạng ta chỉ định trong file allowip.txt truy cập internet.

Cấp quyền cho squid tạo cache trên thư mục /var/spool/squid
Trích dẫn:
#chown squid:squid /var/spool/squid
#chmod 770 /var/spool/squid


Tạo cache trước khi chạy Squid bằng lệnh :
Trích dẫn:
#squid -z


khở động squid
Trích dẫn:
#service squid start
#chkconfig squid on


Lúc này từ máy trạm ta có thể truy cập internet thông qua squid proxy với port 3128

_________________
Asterisk đem đến cho người sử dụng các tính năng và ứng dụng của hệ thống tổng đài PBX và cung cấp nhiều tính năng mà tổng đài PBX không có, như sự kết hợp giữa chuyển mạch VOIP và chuyển mạch TDM, đó là khả năng mở rộng đáp ứng nhu cầu cho từng ứng dụng…


Đầu trang
 Xem thông tin cá nhân  
 
 Tiêu đề bài viết: Re: Hướng Dẫn Cài Đặt và Cấu Hình Squid Proxy Server
Gửi bàiĐã gửi: T.Sáu Tháng 4 13, 2012 1:25 am 
Ngoại tuyến

Ngày tham gia: T.Sáu Tháng 4 13, 2012 12:36 am
Bài viết: 1
sao ko viết tiếp bài đi Bro ơi. đang rất quan tâm :) thanks


Đầu trang
 Xem thông tin cá nhân  
 
 Tiêu đề bài viết: Re: Hướng Dẫn Cài Đặt và Cấu Hình Squid Proxy Server
Gửi bàiĐã gửi: T.Ba Tháng 4 17, 2012 10:09 pm 
Ngoại tuyến

Ngày tham gia: T.Ba Tháng 4 14, 2009 6:16 am
Bài viết: 114
4. Cấu hình Squid proxy server với ACL

4.1 Cấm truy cập web dựa trên IP

thêm vào file cấu hình squid:
#vi /usr/local/squid/etc/squid.conf

thêm vào :
Trích dẫn:
#Cam truy cap ra ngoai
acl ipoutsite dst "/etc/squid/ipoutsite.txt"
http_access deny ipoutsite


tạo file ipoutsite.txt chứa địa chỉ IP của các site mà không cho phép clients truy cập tới:
#vi /etc/squid/ipoutsite.txt
có nội dung chứa các ip của web cần deny
Trích dẫn:
173.231.59.114
74.117.178.83


4.2 Cấm truy cập website dựa trên Domain

thêm vào file cấu hình squid.conf
Trích dẫn:
#Allow/Deny access list
acl allowurl_client src "/etc/squid/ip_access_list.txt"
acl allowurl dstdomain url_regex "etc/squid/allow_site.txt"
http_access deny allowurl_client !allowurl
http_access allow allowurl_client


- http_access deny allowurl_client !allowurl cấm các ip trong ip_access_list.txt truy cập ngoại trừ các site có trong allow_site.txt thì được phép truy cập.

- http_access allow allowurl_client cho phép allowurl_client được phép truy cập cái site có trong allow_site.txt

khởi động lại service
Trích dẫn:
#service squid restart


4.3 Cấm truy cập website dựa trên domain

thêm vào file cấu hình squid.conf
Trích dẫn:
acl denywebsite dstdom_regex "etc/squid/ban_list.txt"
http_access deny denywebsite


tạo file ban_list.txt
Trích dẫn:
#vi /etc/squid/ban_list.txt
mail.yahoo.com
nhacso.net
lauxanh.us


khởi động lại squid service
Trích dẫn:
#service squid restart


5.4 Cấu hình Squid proxy server để điều khiển băng thông

Thêm vào file cấu hình squid.conf
Trích dẫn:
#Add ip bandwith
acl ip src "/etc/squid/ip.txt"
acl all src 0.0.0.0/0.0.0.0

#Add control bandwith
delay_pool 1
delay_class 1 2
delay_access 1 allow ip
delay_addess 1 deny all
delay_parameters 1 -1/-1 15000/15000

với delay_paramenters 1 -1/-1 15000/15000 ta sẽ giới hạn băng thông cho các clients không thể vượt quá 15000 tương đương 15kps.

tạo và nhập vào ip mà ta muốn control băng thông
Trích dẫn:
#vi /etc/squid/ip.txt
192.168.1.33/32
192.168.1.24/32


khởi động lại service
#service squid restart

4.5 Sử dụng ACL cho Proxy Server để điều khiển truy cập internet của nhân viên

Cho phép ip list truy cập web nhưng cấm vào các trang được chỉ định trước
Trích dẫn:
acl allowip src "/etc/squid/allowip_list.txt"
acl denywebsite dstdom_regex "/etc/squid/denywebsite_list.txt"
http_access deny denywebsite
http_access allow allowip


Cho phép ip LAN (localnet) truy cập web trong giờ làm việc thứ 2 -> thứ 6
Trích dẫn:
acl localnet src 192.168.1.0/24
acl work_hours time M T W H F 8:00-19:00
http_access allow localnet work_hours


với M= Thứ 2 , T= Thứ 3, W= Thứ 4, H= Thứ 5, F= Thứ 6

- cũng có thể acl localnet với localnet.txt

Hạn chế máy trong Lan truy cập web theo thời gian và cấm các IP chỉ định đi web
Trích dẫn:
acl localnet src 192.168.1.0/24
acl work_hours time M T W H F 8:00-19:00
acl RestrictedHost src 192.168.1.100
http_access deny RestrictedHost
http_access allow localnet work_hours

- các máy trong mạng lan được truy cập web từ 8am đến 7pm ngoại trừ máy có ip 192.168.196.100 hoặc có thể list ip.

Chỉ cho phép LAN truy cập web theo thời gian 8am đến 7pm riêng IP của VIP là ngoại lệ
Trích dẫn:
acl localnet src 192.168.1.0/24
acl work_hours time M T W H F 8:00-19:00
acl VIPHost src "/etc/squid/VIPHost.txt"
http_access allow VIPHost
http_access allow home_network allow_hours

ví dụ có 3 ip của VIP cho phép ngoại lệ

Trích dẫn:
#vi /etc/squid/VIPHost.txt
192.168.1.10
192.168.1.11
192.168.1.12


Tự động redirect sang website ấn định trước khi truy cập những website ko được phép
Trích dẫn:
acl localnet src 192.168.1.0/24
acl denywebsite dstdom_regex "/etc/squid/denywebsite.txt"
http_access deny denywebsite
deny_info http://asterisk.vn/proxy/deny.html denywebsite
#deny_info http://www.google.com.vn denywebsite
# deny_info TCP_RESET denywebsite
http_access allow localnet


nội dung file deny.html

Trích dẫn:
# vi /var/www/html/asterisk.vn/proxy/deny.html
"This site has restricted by administrator"


Hạn chế tên tập tin download
Trích dẫn:
acl localnet src 192.168.1.0/24
acl blockfiles urlpath_regex "/etc/squid/block.files.acl"
http_access deny blockfiles
http_access allow localnet

hoặc có thể
Trích dẫn:
acl localnet src 192.168.1.0/24
acl denyfiletypes url_regex -i .mp3$ .mpg$ .mpeg$ .mp2$ .avi$ .wmv$ .wma$ .exe$
http_access deny denyfiletypes
http_access allow localnet


Cấm các clients trong mạng download file có dung lượng >=10MB
Trích dẫn:
acl localnet src 192.168.1.0/24
acl denywebsite dstdom_regex "/etc/squid/denywebsite.txt"
http_access deny denywebsite
deny_info http://www.google.com.vn denywebsite
reply_body_max_size 10000000 allow localnet
http_access allow localnet
http_access deny all
icp_access allow all


Cho phép một range IP chỉ truy cập vào những trang web trong list
Trích dẫn:
acl allow_domains dstdomain url_regex "/etc/squid/local/access_website.txt"
acl ip_local src "/etc/squid/ip_local.txt"
http_access deny ip_local !allow_domains
http_access allow ip_local


danh sách các website được phép truy cập
Trích dẫn:
#vi /etc/squid/local/access_website.txt
.vnexpress.net
.tuoitre.com.vn

range ip chỉ được truy cập list
Trích dẫn:
#vi /etc/squid/local/ip_local.txt
192.168.1.0/24


Cấm truy cập vào yahoo
Trích dẫn:
acl aclyahoo dstdomain pager.yahoo.com
acl aclyahoo dstdomain shttp.msg.yahoo.com
acl aclyahoo dstdomain update.pager.yahoo.com
acl aclyahoo dstdomain scsa.yahoo.com
acl aclyahoo dstdomain msg.yahoo.com
http_access deny aclyahoo


Cấu hình hạn chế truy cập theo port
Trích dẫn:
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 995 # POP3s
acl Safe_ports port 587 # smtp ttl
acl Safe_ports port 465 # smtp ssl
acl Safe_ports port 443 563 # https, snews
http_access deny !safe_ports


Hạn chế truy cập theo giao thức
Trích dẫn:
acl FTP proto FTP
http_access deny FTP


5.6 Xác thực Squid bằng NCSA

tạo file passwpord rỗng
Trích dẫn:
#touch /etc/squid/squid_passwd
#chmod o+r /etc/squid/squid_passwd


Dùng htpasswd để add user và pass vào file squid_passwd mới tạo
Trích dẫn:
#htpasswd /etc/squid/squid_passwd u1
New password:
Re-type new password:
Adding password for user u1


mở và thêm vào file cấu hình squid.conf
Trích dẫn:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

_________________
Asterisk đem đến cho người sử dụng các tính năng và ứng dụng của hệ thống tổng đài PBX và cung cấp nhiều tính năng mà tổng đài PBX không có, như sự kết hợp giữa chuyển mạch VOIP và chuyển mạch TDM, đó là khả năng mở rộng đáp ứng nhu cầu cho từng ứng dụng…


Đầu trang
 Xem thông tin cá nhân  
 
 Tiêu đề bài viết: Re: Hướng Dẫn Cài Đặt và Cấu Hình Squid Proxy Server
Gửi bàiĐã gửi: T.Năm Tháng 4 19, 2012 7:39 am 
Ngoại tuyến

Ngày tham gia: T.Ba Tháng 4 14, 2009 6:16 am
Bài viết: 114
Tài liệu tham khảo

Setting Up Squid Web Cache
Hình ảnh
Download

Squid.Proxy.Server.3.1.Beginners.Guide
Hình ảnh
Download

_________________
Asterisk đem đến cho người sử dụng các tính năng và ứng dụng của hệ thống tổng đài PBX và cung cấp nhiều tính năng mà tổng đài PBX không có, như sự kết hợp giữa chuyển mạch VOIP và chuyển mạch TDM, đó là khả năng mở rộng đáp ứng nhu cầu cho từng ứng dụng…


Đầu trang
 Xem thông tin cá nhân  
 
Hiển thị bài viết cách đây:  Sắp xếp theo  
Tạo chủ đề mới Gửi bài trả lời  [ 4 bài viết ] 

Múi giờ UTC + 7 Giờ


Đang trực tuyến

Đang xem chuyên mục này: Không có thành viên nào trực tuyến.2 khách.


Bạn không thể tạo chủ đề mới.
Bạn không thể trả lời bài viết.
Bạn không thể sửa những bài viết của mình.
Bạn không thể xóa những bài viết của mình.
Bạn không thể gửi tập tin đính kèm.

Tìm với từ khóa:
Chuyển đến:  
cron
Powered by The Vietnam Asterisk User Group © 2008