Bài giảng Dịch vụ mạng Linux - Chương 7: Squid server

Thông tin tài liệu

Bài giảng cung cấp cho người học các kiến thức: Tìm hiểu Squid server, giới thiệu Squid server, cấu hình Squid server, kiến thức Squid Authentication,... Hi vọng đây sẽ là một tài liệu hữu ích dành cho các bạn sinh viên đang theo học môn dùng làm tài liệu học tập và nghiên cứu. Mời các bạn cùng tham khảo chi tiết nội dung tài liệu.

Squid server Nội dung  Giới thiệu Squid server  Cấu hình Squid server Option  Cấu hình ACL   Squid Authentication Giới thiệu Squid server  Squid caching proxy server Squid server đặt Web client Web server  Khi có request yêu cầu Web page, Squid kiểm tra, xác nhận tính hợp lệ request dựa policy định nghĩa Squid  Sau đó, truy vấn Web page để trả kết cho request Nếu kết có cache Squid, Squid trả kết cho request Giới thiệu Squid server (tt)  Squid server cài đặt source rpm  Squid server gồm file sau hệ thống:     /etc/squid /usr/lib/squid /usr/sbin/squid /var/log/squid Cấu hình Squid server  Một số option cấu hình Squid server:   http_port: port Squid server lắng nghe request để phục vụ Mặc định port 3128 cache_dir: định nghĩa Squid server chứa cache đâu   cache_dir storage_type directory-name megabytes L1 L2 [options] cache_dir ufs /var/spool/squid 10000 16 Directory Megabytes 256 Top level directory Second level directory Cấu hình Squid server (tt)    cache_mem: Squid server sử dụng memory RAM cache_access_log: Squid server ghi nhận lại request query Squid acl: phần phức tạp Squid server, cho phép người truy cập Web, truy cập trang acl intranet src 192.168.1.0/24 http_access allow intranet http_access deny all Cấu hình Squid server (tt)  Có thể dùng acl để giới hạn truy cập nhiều cách:        Giới hạn truy cập theo thời gian Giới hạn truy cập theo IP Giới hạn truy cập theo port Giới hạn truy cập theo giao thức Giới hạn truy cập theo trang web Giới hạn file phép download Giới hạn băng thơng tối đa sử dụng Cấu hình Squid server (tt) Squid Authentication  Để sử dụng Squid, user phải có username/pass hợp lệ => Squid Authentication  Để sử dụng tính Squid Authentication, cần biên dịch ncsa_auth với Squid  Tạo password cho user:  Cấu hình Squid hỗ trợ tính Squid Authentication: THỰC HÀNH 10 Giới thiệu iptables  Cần quản lý loại traffic sau:   Cho phép traffic từ firewall (10.0.0.0/24) Cấm tất traffic từ vào firewall, ngoại trừ traffic sau:     TCP port 80, port 22, port 443 filter TCP port 80: forward đến web server TCP port 22: forward đến file server TCP port 443: forward đến file server nat 14 Mơ hình logic iptables chain table 15 Mơ hình logic iptables Server 10.0.0.2 Default route: 10.0.0.1 From: 200.2.2.2: 1025 To: 10.0.0.2: 80 Eth1: 10.0.0.1 DNAT Eth0: 172.20.12.88 From: 200.2.2.2: 1025 To: 172.20.12.88: 80 Client: 200.2.2.2 ` 16 Mơ hình logic iptables Server: 10.0.0.2 Default route: 10.0.0.1 From: 10.0.0.2: 80 To: 200.2.2.2: 1025 Eth1: 10.0.0.1 SNAT Eth0: 17.20.12.88 From: 172.20.12.88: 80 To: 200.2.2.2: 1025 Client: 200.2.2.2 ` 17 Cú pháp iptables  iptables –t table –A chain [match] [target]          rules table: filter (default), nat, mangle -A chain: thêm rule -D chain: xóa rule -I chain number: chèn rule vào dòng [number] -R chain number: thay rule dòng [number] -L chain: xem rule có -F chain: xóa rule có -N chain: định nghĩa chain -E [old_chain] [new_chain]: đổi tên chain (chỉ thay đổi với chain người dùng tạo ra) 18 Cú pháp iptables (tt)  iptables –A INPUT –p tcp –dport 22 –j ACCEPT      match target ACCEPT: cho phép gói tin qua DROP: vứt bỏ gói tin QUEUE: chuyển gói tin vào hàng đợi queue RETURN: trả cho chain cấp default policy LOG: ghi lại thông tin packet system log  log-level  log-prefix  log-tcp-sequence  log-tcp-options  log-ip-options 19 Cú pháp iptables – TARGET  REJECT:   drop gói tin, đồng thời gởi gói tin ICMP trả lời cho người gửi Nếu gửi nhiều lần, không gởi reject-with type: gửi ICMP với type định     icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable icmp-proto-unreachable 20 TARGET (tt)  SNAT: sử dụng table nat chain POSTROUTING  to-source address[-address][:port-port]  -j SNAT to-source 172.20.12.88  DNAT: sử dụng table nat chain PREROUTING  to-destination address[-address][:port-port]  -j DNAT to-destination 10.0.0.2:80  MASQUERADE: dạng đặc biệt SNAT  REDIRECT: chuyển hướng gói tin tới port khác máy local  -j REDIRECT to-ports 80 21 Match  -p [!] name: chọn packet dựa protocol Protocol tên port tương ứng file /etc/protocols  -s [!] address[/mask]: chọn packet dựa địa nguồn Address hostname địa IP  -d [!] address[/mask]: giống trường hợp địa đích packet 22 Match (tt)  -i name: chọn packet nhận từ interface name (input)  -o name: chọn packet gửi từ interface name (output)  [!] –f: chọn gói tin bị phân mảnh (từ mảnh vụn thứ hai) 23 Match (tt)  sport [!] [port][:port]: chọn packet có port nguồn xác định  dport [!] [port][:port]: chọn packet có port đích xác định  iptables –A INPUT -p tcp –s 10.1.1.0/24 –i eth0 -d 192.168.1.1 dport 80 -j ACCEPT 24 Match icmp & mac (tt)  Đối với icmp (sử dụng -p icmp)  icmp-type [!] type: chọn packet icmp thuộc kiểu type Type định số tên (iptables -p icmp -h)  Đối với mac (sử dụng -m)  mac-source [!] address: chọn packet có địa MAC nguồn address Address viết dạng 00:60:08:91:CC:B7 25 Match limit (tt)  Đối với limit (sử dụng -m)   limit rate: giới hạn tần suất packet, định số đằng sau /second, /minute, /hour, /day Default 3/hour limit-burst [number]: xác định số lượng packet tối đa chấp nhận Default 26 Match state (tt)  Module state cho phép nhận biết chọn packet dựa trạng thái kết nối packet Iptables stateful   state states: chọn gói tin có trạng thái trạng thái liệt kê states Các trạng thái kết nối là: INVALID, ESTABLISHED, NEW, RELATED 27 THỰC HÀNH 28 ... Giới thiệu Squid server  Cấu hình Squid server Option  Cấu hình ACL   Squid Authentication Giới thiệu Squid server  Squid caching proxy server Squid server đặt Web client Web server  Khi... Giới thiệu Squid server (tt)  Squid server cài đặt source rpm  Squid server gồm file sau hệ thống:     /etc /squid /usr/lib /squid /usr/sbin /squid /var/log /squid Cấu hình Squid server  Một số... POSTROUTING  to-source address[-address][:port-port]  -j SNAT to-source 172.20.12.88  DNAT: sử dụng table nat chain PREROUTING  to-destination address[-address][:port-port]  -j DNAT to-destination

Ngày đăng: 09/05/2021, 19:13

Xem thêm: