Squid proxy
Squid proxy Trang Squid proxy Giáo viên hướng dẫn: Nhóm Đặng Ngọc Cường Squid proxy Mục lục Trang Squid proxy Trang Tổng quan proxy 1.1 Khái niệm proxy Proxy Internet server làm nhiệm vụ chuyển tiếp thông tin kiểm soát tạo an toàn cho việc truy cập Internet máy khách ( Client ) Proxy server xác định yêu cầu từ client định đáp ứng hay không đáp ứng, yêu cầu đáp ứng, proxy server kết nối với server thật thay cho client tiếp tục chuyển tiếp đến yêu cầu từ client đến server, đáp ứng yêu cầu server đến client Vì proxy server giống cầu nối trung gian server client 1.2 Chức chế hoạt động proxy Chức năng: - Đối với người dùng: Giúp nhiều máy tính truy cập Internet thông qua máy tính với tài khoản truy cập định, máy tính gọi Proxy - server Đối với nhà cung cấp dịch vụ đường truyền internet (ISP): sử dụng proxy với kỹ thuật tường lửa để tạo lọc gọi firewall proxy nhằm ngăn chặn thông tin theo mục đích khác Địa website mà người dung truy cập lọc lọc này, địa không bị cấm yêu cầu tiếp tục gửi đi, tới DNS server nhà cung cấp dịch vụ Firewall proxy lọc tất thông tin từ internet gửi vào máy khách hàng ngược lại Squid proxy Trang Cơ chế hoạt động: Request Client 5.6.7.8 Respond Proxy Server 1.2.3.4:8080 abc.com Client có ip 5.6.7.8 muốn connect đến website http://abc.com giao thức HTTP thông qua proxy có ip 1.2.3.4 cổng 8080 có bước sau: Client 5.6.7.8 gửi request chứa thông tin truy cập website abc.com đến proxy server 1.2.3.4 cổng 8080 Proxy 1.2.3.4 sau nhận request từ client, tiếp tục gửi request đến website abc.com Website abc.com nhận request, xử lý trả kết (respond) cho proxy 1.2.3.4 Proxy server tiếp tục trả kết (respond) cho client 1.3 Phân loại proxy Theo chức năng: - Anonymous: Đôi gọi web proxy, giúp người dùng ẩn danh (giấu IP), lướt Web HTTP Proxy server không gửi thông số cụ thể biến HTTP_X_FORWARDED_FOR tới Host truy cập, che dấu IP bạn nhiên, điều nghĩa giúp bạn ẩn dấu hoàn toàn, website sử dụng site script để thu thập thông tin việc bạn truy cập Host họ thông qua Proxy “phục - vụ” cho bạn High Anonymity: Mức độ che dấu tung tích cao anonymous Http Proxy hoàn toàn không gửi thông số biến Squid proxy Trang HTTP_X_FORWARDED_FOR, HTTP_VIA HTTP_PROXY_CONNECTION Do Internet Host biết bạn - dùng Proxy server, không phát real IP bạn Transparent: Proxy xuyên suốt, Đôi gọi Intercepting proxy, khác với loại trên, transparent kết hợp proxy server gateway Đây phương thức thường Network Admin “ép” User mạng Lan, User không nhận thức truy cập internet qua “cổng giám sát” Yêu cầu truy cập Client đước chuyển đến gateway sau gateway chuyển sang Proxy server xử lý Khi user dùng loại proxy này, họ họ dùng proxy bị kiểm soát User cần thiết lập địa IP gateway Admin cung cấp, mà xác lập thông số Proxy trình duyệt Internet applications khác Thường Admin công ty triển khai, họ muốn sách Policy áp đặt lên user, user qua 1… proxy Theo khả hỗ trợ: - HTTP/HTTPS Proxy: Các proxy servers sẵn sàng cho dịch vụ thông thường internet, ví dụ như: HTTP proxy dùng cho truy cập Web, FTP proxy dùng cho truyền File Những Proxy trên, gọi application-level proxies hay “applicationlevel gateways”, chúng định để làm việc với application protocol nhận nội dung Packet gửi đến Một hệ thống proxy khác gọi circuit-level proxy, hỗ trợ nhiều applications lúc ví dụ, SOCKS IP-based proxy server (circuit-level proxy), hổ trợ hầu hết applications TCP UDP - SOCKS hay Sockets: Squid proxy Trang Chính circuit-level proxy server cho IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- cộng đồng chuyên gia network designers, operators, vendors, and researchers tham gia vào xây dựng kiến trúc Internet ngày hoàn thiện Internet hơn.) SOCKS viết David Michelle Koblas vào năm đầu thập niên 90 SOCKS nhanh chóng trở thành de facto standard (hardware hay software dùng rộng rãi không chứng nhận từ tổ chức chuyên cung cấp định chuẩn), ngược lại de jure standard Mặc dù SOCKS đời sớm dùng phổ biến, SOCKS IETF thông qua lần SOCKS5 SOCKS ban đầu hệ thống Proxy sủ dụng cho traffic FTP, Telnet, v.vv, không dành cho HTTP SOCKS4 kiểm soát TCP connections (là phần lớn Application Internet), SOCKS5 hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) giải hostname (DNS service) SOCKS bắt buộc Client phải cấu hình để chuyển trực tiếp yêu cầu đến SOCKS server, ngược lại SOCKS driver ngăn chặn Clients chuyển yêu cầu non-SOCKS application Nhiều Web browsers Internet applications khác hỗ trợ SOCKS, dễ dàng làm việc với SOCKS server tìm hiểu chi tiết SOCKS Applications tuân theo SOCKS Cũng cần xem thêm mô hình giao tiếp TCP/IP 1.4 Ý nghĩa proxy Proxy giá trị làm nhiệm vụ lọc thông tin, tạo an toàn cho khách hàng nó, firewal Proxy ngăn chặn hiệu xâm nhập đối tượng không mong muốn vào máy khách hàng Proxy lưu trữ thông tin mà khách hàng cần nhớ, làm giảm thời gian truy tìm làm cho việc sử dụng băng thông hiệu Proxy server giống vệ sĩ bảo vệ khỏi rắc rối Internet Một Proxy server thường nằm bên tường lửa, trình duyệt web server thật, làm chức tạm giữ yêu cầu Internet máy khách để chúng không giao Squid proxy Trang tiếp trực tiếp Internet Người dùng không truy cập trang web không cho phép (bị cấm) Mọi yêu cầu máy khách phải qua Proxy server, địa IP có proxy, nghĩa website lưu trữ cục bộ, trang truy cập mà không cần phải kết nối Internet, Proxy server trang không bị cấm, yêu cầu chuyển đến server thật, DNS server Internet Proxy server lưu trữ cục trang web thường truy cập đệm để giảm chi phí kết nối, giúp tốc độ duyệt web nhanh Proxy server bảo vệ mạng nội khỏi bị xác định bên cách mang lại cho mạng hai định danh: cho nội bộ, cho bên Điều tạo “bí danh” giới bên gây khó khăn người dùng “tự tung tự tác” hay hacker muốn xâm nhập trực tiếp máy tính Nhược điểm: Do proxy có quy mô nhớ khác số lượng người sử dụng proxy nhiều-ít khác nhau, Proxy server hoạt động tải tốc độ truy cập internet client bị chậm Squid proxy Trang Squid proxy 2.1 Squid proxy linux Squid proxy server, khả squid tiết kiệm băng thông (bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web cho người sử dụng trở thành proxy phổ biến nhiều người biết đến Hiện nay, thị trường có nhiều chương trình proxy-server chúng lại có hai nhược điểm, thứ phải trả tiền để sử dụng, thứ hai hầu hết không hỗ trợ ICP (ICP sử dụng để cập nhật thay đổi nội dung URL sẵn có cache – nơi lưu trữ trang web mà bạn qua) Squid lựa chọn tốt cho proxy-cache server, squid đáp ứng hai yêu cầu sử dụng miễn phí sử dụng đặc trưng ICP Squid đưa kỹ thuật lưu trữ cấp độ cao web client, đồng thời hỗ trợ dịch vụ thông thường FTP, Gopher HTTP Squid lưu trữ thông tin dịch vụ RAM, quản lý sở liệu lớn thông tin đĩa, có kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho kết nối bảo mật thông qua proxy Hơn nữa, squid liên kết với cache proxy server khác việc xếp lưu trữ trang web cách hợp lý Trang chủ squid: http://www.squid-cache.org 2.2 Cài đặt Squid Đầu tiên nên có số khái niệm đòi hỏi phần cứng proxy server: Tốc độ truy cập đĩa cứng : quan trọng squid thường xuyên phải đọc ghi liệu ổ cứng Một ổ đĩa SCSI với tốc độ truyền liệu lớn ứng cử viên tốt cho nhiệm vụ Dung lượng đĩa dành cho cache phụ thuộc vào kích cỡ mạng mà Squid phục vụ Từ đến Gb cho mạng trung bình khoảng 100 máy Tuy Squid proxy Trang nhiên số có tính chất ví dụ nhu cầu truy cập Internet yếu tố định cần thiết độ lớn đĩa cứng RAM: quan trọng, RAM Squid chậm cách rõ ràng CPU: không cần mạnh lắm, khoảng 133 MHz chạy tốt với tải requests/second Cài đặt Squid với RedHat Linux đơn giản Squid cài bạn chọn trình cài đặt từ đầu Hoặc bạn cài Linux không Squid, bạn cài sau qua tiện ích rpm với lệnh: # rpm –i tên_gói_Squid Cài đặt từ kho phần mềm linux: - Đối với Ubuntu: # apt-get install squid - Đối với Fedora/CentOS: # yum install squid Cài đặt từ source: Ta có file source squid squid-version.tar.gz, ta thực bước lệnh sau: # # # # # tar –xzvf squid-version.tar.gz cd squid-version /configure make make install Sau squid cài, bạn bước qua phần cấu hình squid Các thư mục mặc định squid: /usr/sbin /etc/squid /var/log/squid Squid proxy Trang 10 2.3 Cấu hình Squid 2.4.1 Cấu hình Sau cài đặt xong squid, ta phải cấu hình squid để phù hợp với yêu cầu riêng Ta cấu hình số tham số file /etc/squid/squid.conf sau: http_port 3128 (mặc định 3128) icp_port 3130 (mặc định 3130) cache_dir: khai báo kích thước thư mục cache cho squid, mặc định là: cache_dir /var/spool/squid/cache 100 16 256 Giá trị 100 tức dùng 100 MB để làm cache, dung lượng đĩa cứng lớn, ta tăng thêm tuỳ thuộc vào kích thước đĩa Như squid lưu cache thư mục /var/spool/squid/cache với kích thước cache 100MB Access Control List Access Control Operators: ta dùng hai chức để ngăn chặn giới hạn việc truy xuất dựa vào destination domain, IP address máy mạng Mặc định squid từ chối phục vụ tất cả, ta phải cấu hình lại tham số Để vậy, ta cấu hình thêm cho thích hợp với yêu cầu hai tham số là: acl http_access Ví dụ: Ta cho phép mạng 10.10.13.0/24 dùng proxy server từ khoá src acl: acl MyNetwork src 10.10.13.0/255.0.0.0 http_access allow MyNetwork http_access deny all Ta cấm máy truy xuất đến site không phép từ khoá dstdomain acl, ví dụ: acl BadDomain dstdomain yahoo.com http_access deny BadDomain http_access deny all Squid proxy Trang 11 Nếu danh sách cấm truy xuất đến site dài quá, ta lưu vào file text, file danh sách địa chủ sau: acl BadDomain dstdomain “/etc/squid/danhsachcam” http_access deny BadDomain Theo cấu hình file /etc/squid/danhsachcam file văn lưu địa không phép truy xuất ghi theo dòng Ví dụ nội dung file sau: yahoo.com facebook.com google.com Ta có nhiều acl, ứng với acl phải có http_access sau: acl MyNetwork src 10.10.13.0/255.0.0.0 acl BadDomain dstdomain yahoo.com http_access deny BadDomain http_access allow MyNetwork http_access deny all Như cấu hình cho ta thấy proxy cấm máy truy xuất đến site www.yahoo.com có mạng 10.10.13.0/24 phép dùng proxy “http_access deny all”: cấm tất ngoại trừ acl khai báo 2.4.2 Cấu hình cấm client truy cập khoảng thời gian định trước Ví dụ: Cấm client truy cập làm việc từ thứ đến thứ 6, từ 8h00 đến 17h00: acl giolamviec time M T W H F 8:00-17:00 http_access deny giolamviec Trong đó: M: Thứ T: Thứ W: Thứ Squid proxy Trang 12 H: Thứ F: Thứ A: Thứ S: Chủ nhật 2.4.3 Hạn chế tập tin download Ví dụ hạn chế download tập tin multimedia có đuôi mp3, mpg, mpeg, … Ta thêm dòng sau vào squid.conf: acl denyfiletypes url_regex -i mp3$ mpg$ mpeg$ mp2$ avi$ wmv$ wma$ exe$ http_access deny denyfiletypes 2.4.4 Tự động redirect sang website ấn định trước truy cập website ko phép Trong ví dụ mục 2.4.2 ta tạo file /etc/squid/danhsachcam lưu trang web bị cấm truy cập Khi client truy cập vào trang web squid đưa thông báo “Access Denied!” Ta thay đoạn thông báo cách redirect (chuyển hướng truy cập) sang website khác (chẳng hạn google.com) Tại dòng cấu hình cấm truy cập nhiều trang web ví dụ 2.4.2: acl BadDomain dstdomain “/etc/squid/danhsachcam” http_access deny BadDomain Ta thêm vào bên dòng sau: deny_info http://google.com.vn BadDomain 2.4.5 Yêu cầu client phải nhập user & password Bước 1: Tạo file rỗng /etc/squid/squid-passwd Bước 2: Tạo password dòng lệnh: # htpasswd /etc/squid/squid-passwd client_user Squid proxy Trang 13 Nhập password vào enter Bước 3: Cấu hình squid.conf Thêm dòng sau vào file: auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid-passwd acl passw proxy_auth REQUIRED http_access allow passw Sau khởi động lại squid, client truy cập vào địa website, họ phải nhập username password mà ta thiết lập Theo cấu hình username client_user password password ta thiết lập 2.4.6 Cấu hình cho máy kết nối trực tiếp vào Internet Nếu proxy kết nối trực tiếp với Internet địa IP thực proxy nằm sau Firewall ta phải cho proxy query đến proxy khác dùng Internet tham số sau : cache_peer 10.10.13.2 parent 8080 8082 Cấu hình cho thấy proxy query lên proxy “cha” 10.10.13.2 với tham số parent thông qua http_port 8080 icp_port 8082 Ngoài mạng có nhiều proxy server ta cho proxy server query lẫn sau: cache_peer 10.10.13.2 sibling 8080 8082 cache_peer 10.10.13.3 sibling 8080 8082 2.4 Khởi động Squid Sau cài đặt cấu hình lại squid, ta phải tạo cache trước chạy squid lệnh: # squid –z Squid proxy Trang 14 Nếu trình tạo cache bị lỗi, ta ý đến quyền thư mục cache khai báo tham số cache_dir Có thể thư mục không phép ghi Nếu có ta phải thay đổi bằng: # chown squid:squid /var/spool/squid # chmod 770 /var/spool/squid Sau tạo xong thư mục cache, ta khởi động dừng squid script sau: # service squid start # service squid stop Restart squid: # service squid restart Sau squid khởi động, muốn theo dõi quản lý việc truy cập client hay squid hoạt động cache nào, ta thường xuyên xem xét file sau đây: /var/log/squid/cache.log: bao gồm cảnh báo thông tin trạng thái cache /var/log/squid/store.log: bao gồm sở liệu thông tin cập nhật cache hết hạn /var/log/squid/access.log: chứa tất thông tin việc truy cập client, bao gồm địa nguồn, đích đến, thời gian… Squid proxy Trang 15 Sử dụng proxy Thiết lập sử dụng proxy trình duyệt: Đối với Chương trình Internet Explorer: - Mở Menu Tool -> Internet Options -> Connections -> chọn LAN Settings Sau bạn thấy mục “Use the proxy server for this connection bạn đánh dấu chọn vào Cuối gõ địa IP proxy server mà bạn muốn sử dụng nhớ kèm theo phần port proxy server có kèm port theo Squid proxy Trang 16 Đối với Firefox: Vào Tools -> Options -> Advanced -> Network -> Settings Tick vào Manual proxy configuration nhập địa proxy với port vào: Squid proxy Trang 17 Tài liệu tham khảo “Proxy server” “Các loại Proxy Server chức – Socks” “Cấu hình Squid (và webadmin)” “Cài đặt, cấu hình Linux SQUID Proxy Server” [...]... Tạo một file rỗng /etc /squid/ squid-passwd Bước 2: Tạo password bằng dòng lệnh: # htpasswd /etc /squid/ squid-passwd client_user Squid proxy Trang 13 Nhập password vào và enter Bước 3: Cấu hình squid. conf Thêm 3 dòng sau vào file: auth_param basic program /usr/lib /squid/ ncsa_auth /etc /squid/ squid-passwd acl passw proxy_ auth REQUIRED http_access allow passw Sau khi khởi động lại squid, khi client truy... phép ghi Nếu có ta phải thay đổi bằng: # chown squid: squid /var/spool /squid # chmod 770 /var/spool /squid Sau khi tạo xong thư mục cache, ta khởi động và dừng squid bằng script như sau: # service squid start # service squid stop Restart squid: # service squid restart Sau khi squid đã khởi động, muốn theo dõi và quản lý việc truy cập của các client hay những gì squid đang hoạt động cache như thế nào, ta... mục “Use the proxy server for this connection bạn đánh dấu chọn vào đó Cuối cùng là gõ địa chỉ IP của proxy server mà bạn muốn sử dụng nhớ kèm theo phần port nữa vì mỗi proxy server có kèm port đi theo Squid proxy Trang 16 Đối với Firefox: Vào Tools -> Options -> Advanced -> Network -> Settings Tick vào Manual proxy configuration và nhập địa chỉ proxy cùng với port của nó vào: Squid proxy Trang 17... icp_port là 8082 Ngoài ra trong cùng một mạng nếu có nhiều proxy server thì ta có thể cho các proxy server này query lẫn nhau như sau: cache_peer 10.10.13.2 sibling 8080 8082 cache_peer 10.10.13.3 sibling 8080 8082 2.4 Khởi động Squid Sau khi đã cài đặt và cấu hình lại squid, ta phải tạo cache trước khi chạy squid bằng lệnh: # squid –z Squid proxy Trang 14 Nếu trong quá trình tạo cache bị lỗi, ta chú... /var/log /squid/ cache.log: bao gồm những cảnh báo và thông tin trạng thái của cache /var/log /squid/ store.log: bao gồm những cơ sở dữ liệu về những thông tin gì mới được cập nhật trong cache và những gì đã hết hạn /var/log /squid/ access.log: chứa tất cả những thông tin về việc truy cập của client, bao gồm địa chỉ nguồn, đích đến, thời gian… Squid proxy Trang 15 3 Sử dụng proxy Thiết lập và sử dụng proxy. .. Squid proxy Trang 17 4 Tài liệu tham khảo 1 Proxy server” 2 “Các loại Proxy Server và chức năng – Socks” 3 “Cấu hình Squid (và webadmin)” 4 “Cài đặt, cấu hình Linux SQUID Proxy Server” ... hình cho máy không thể kết nối trực tiếp vào Internet Nếu proxy không thể kết nối trực tiếp với Internet vì không có địa chỉ IP thực hoặc proxy nằm sau một Firewall thì ta phải cho proxy query đến một proxy khác có thể dùng Internet bằng tham số sau : cache_peer 10.10.13.2 parent 8080 8082 Cấu hình trên cho chúng ta thấy proxy sẽ query lên proxy “cha” là 10.10.13.2 với tham số parent thông qua http_port.. .Squid proxy Trang 11 Nếu danh sách cấm truy xuất đến các site dài quá, ta có thể lưu vào 1 file text, trong file đó là danh sách các địa chủ như sau: acl BadDomain dstdomain “/etc /squid/ danhsachcam” http_access deny BadDomain Theo cấu hình trên thì file /etc /squid/ danhsachcam là file văn bản lưu các địa chỉ không được phép truy... đã tạo một file /etc /squid/ danhsachcam lưu các trang web bị cấm truy cập Khi client truy cập vào các trang web trên thì squid sẽ đưa ra thông báo “Access Denied!” Ta có thể thay đoạn thông báo trên bằng cách redirect (chuyển hướng truy cập) sang website khác (chẳng hạn như google.com) Tại dòng cấu hình cấm truy cập nhiều trang web trong ví dụ 2.4.2: acl BadDomain dstdomain “/etc /squid/ danhsachcam” http_access... acl giolamviec time M T W H F 8:00-17:00 http_access deny giolamviec Trong đó: M: Thứ 2 T: Thứ 3 W: Thứ 4 Squid proxy Trang 12 H: Thứ 5 F: Thứ 6 A: Thứ 7 S: Chủ nhật 2.4.3 Hạn chế tập tin download Ví dụ về hạn chế download các tập tin multimedia có đuôi là mp3, mpg, mpeg, … Ta thêm 2 dòng sau vào squid. conf: acl denyfiletypes url_regex -i mp3$ mpg$ mpeg$ mp2$ avi$ wmv$ wma$ exe$ http_access deny denyfiletypes ... điểm: Do proxy có quy mô nhớ khác số lượng người sử dụng proxy nhiều-ít khác nhau, Proxy server hoạt động tải tốc độ truy cập internet client bị chậm Squid proxy Trang Squid proxy 2.1 Squid proxy. .. install Sau squid cài, bạn bước qua phần cấu hình squid Các thư mục mặc định squid: /usr/sbin /etc /squid /var/log /squid Squid proxy Trang 10 2.3 Cấu hình Squid 2.4.1 Cấu hình Sau cài đặt xong squid, ... squid: squid /var/spool /squid # chmod 770 /var/spool /squid Sau tạo xong thư mục cache, ta khởi động dừng squid script sau: # service squid start # service squid stop Restart squid: # service squid