1. Giới thiệu Squid:
Squid là một chƣơng trình Internet proxy-caching có vai trò tiếp nhận các yêu cầu từ các client và chuyển cho Internet server thích hợp. Đồng thời, nó sẽ lƣu lên đĩa những dữ liệu đƣợc trả về từ Internet server – gọi là caching. Chƣơng trình này dùng để cấu hình Proxy server, vì vậy ƣu điểm của Squid là khi một dữ liệu mà đƣợc yêu cầu nhiều lần thì Proxy server sẽ lấy thông tin từ cache trả về cho client. Điều này làm cho tốc độ truy xuất Internet nhanh hơn và tiết kiệm băng thông.
Hình 22: Squid Proxy
Squid dựa trên những đặc tả của giao thức HTTP nên nó chỉ là một HTTP Proxy. Do đó, Squid chỉ có thể là một Proxy cho những chƣơng trình mà chúng dùng giao thức này để truy cập Internet.
2. Những giao thức hổ trợ trên Squid:
Squid sẽ nhận những yêu cầu từ client. Squid hổ trợ những giao thức sau:
HTTP. FTP. Gopher.
Wide Area Information.
Secure Socket Layer – cơ chế bảo mật cho những giao dịch trên mạng. 3. Trao đổi cache:
Squid có khả năng chia sẻ dữ liệu giữa những cache với nhau. Việc chia sẻ này mang lại những lợi ích nhƣ:
User Base: Nếu số lƣợng client truy cập Internet thông qua Proxy càng nhiều thì khả năng một đối tƣợng nào đó đƣợc yêu cầu 2 lần sẽ cao hơn.
Disk space: Nếu chúng ta chuyển cân bằng giữa các cache với nhau sẽ tránh đƣợc việc sao lại dữ liệu đã lƣu. Do đó dung lƣợng đĩa cứng dành cho việc lƣu trữ cache sẽ giảm. 4. Cài đặt và cấu hình Squid Proxy:
Cài đặt package squid-version.i386.rpm
/usr/local/squid: thƣ mục cài đặt squid
/usr/local/squid/bin: thƣ mục lƣu binary squid và tool đƣợc hỗ trợ /usr/local/squid/cache: thƣ mục lƣu những dữ liệu đƣợc cache. /usr/local/squid/etc: những tập tin cấu hình squid.
/usr/local/squid/src: thƣ mục lƣu source code squid.
Vị trí các thƣ mục mặc định có những điểm khác sau:
/usr/sbin: Lƣu những thƣ viện của Squid . /etc/squid: Lƣu các tập tin cấu hình squid. /var/log/squid: Lƣu các tập tin log của squid.
Cấu hình squid: Tập tin cấu hình
Tất cả những tập tin cấu hình squid đƣợc lƣu trong thƣ mục /usr/local/squid/etc (Linux: /etc/squid). Một tập tin cấu hình quan trọng quyết định sự hoạt động của squid /etc/squid/squid.conf
Những tùy chọn cơ bản
- http_port: cấu hình cổng HTTP
http_port <cổng>
- cache_dir: cấu hình thƣ mục lƣu trữ dữ liệu đƣợc cache, thƣ mục này có kích thƣớc mặc định là 100MB.
cache_dir /usr/local/squid/cache 100 16 256
- 16 level-1 subdirectory của thƣ mục /usr/local/squid/cache, level-2 subdirectory cho mỗi level-1
- cache_access_log: chỉ ra nơi lƣu tập tin log.
cache_access_log /var/log/squid/access.log
- Cache_log: Lƣu trữ các thông tin chung về cache.
cache_log /var/log/squid/cache.log
- Cache_store_log: Lƣu trữ các thông tin về đối tƣợng đƣợc cache trên proxy, thời gian lƣu trữ,…
- Cache_effective_user, cache_effective_group: ngƣời dùng và nhóm có thể thay đổi squid.
- Ví dụ: cache_effective_user squid
cache_effective_group squid
- Access Control List và Access Control Operators: Bạn dùng Access Control List và Access Control Operators để ngăn chặn, giới hạn việc truy xuất dựa vào tên miền, địa chỉ IP đích.
- Cú pháp: acl aclname acltype string
acl aclname acltype “file”
- Ví dụ: Cấu trúc mẫu về ACL
acl aclname src ip-address/netmask ... acl aclname srcdomain .foo.com ... acl aclname dst ip-address/netmask ... acl aclname dstdomain .foo.com ...
acl aclname time [day-abbrevs] [h1:m1-h2:m2] acl aclname url_regex [-i] ^http:// ...
acl aclname method GET POST ... - Thẻ điều khiển truy xuất HTTP
http_access allow/deny [!]aclname…
- Thẻ điều khiển truy xuất cache_peer
cache_peer_access cache-host allow|deny [!]aclname ...
- Ví dụ 1: Cho phép mạng 172.31.0.0/24 dùng proxy server bằng từ khóa src trong acl.
acl MyNetwork src 172.31.0.0/255.255.255.0 http_access allow MyNetwork
http_access deny all
- Ví dụ 2: Cấm các máy truy xuất đến các site bằng từ khóa dstdomain trong acl.
acl BadDomain dstdomain .yahoo.com http_access deny BadDomain
http_access deny all
- Ví dụ 3: Cấm các máy truy xuất đến các site sử dụng tập tin dạng văn bản bằng từ khóa dstdomain trong acl.
acl BadDomain dstdomain “/etc/squid/danhsachcam” http_access deny BadDomain
http_access deny all
- Giới hạn thời gian truy xuất: mô tả cho phép truy cập internet trong giờ hành chính (M: thứ hai, T: thứ ba, W: thứ tƣ, H: thứ năm, F: thứ sáu )
acl business_hours time MTWHF 9:00-17:00 http_access allow business_hours
- Chỉ định hostname cho Proxy Server
Visible_hostname <hostname>
- Cache_peer: cho phép truy vấn đến proxy khác
cache_peer hostname type http_port icp_port type = 'parent','sibling' hoặc multicast
- Ví dụ: Cho phép truy vấn đến proxy “cha” vnuserv.vnuhcm.edu.vn
cache_peer vnuserv.vnuhcm.edu.vn parent 8080 8082
Khởi tạo squid:
Tạo thƣ mục cache bằng lệnh : # squid -z
Chuyển quyền sở hữu trên thƣ mục squid:
# chown squid:squid /var/spool/squid # chmod 770 /var/spool/squid
Sau khi tạo xong thƣ mục cache, khởi động squid bằng lệnh :
# /usr/local/squid/squid –D&
Trong môi trƣờng Linux, bạn không cần phải tạo cache. Khi khởi động bằng script, nó sẽ tự động tạo cache cho bạn:
# chkconfig squid on
# service squid restart
Quản lý kết nối:
Để theo dõi và quản lý kết nối qua proxy server ta có thể dùng lệnh:
# tail –f /var/log/squid/access.log