5. DỊCH VỤ SQUID
5.1.6. Điều khiển quá trình truy cập qua proxy
Chính sách điều khiển truy cập Web thông qua proxy cho phép người quản trị có thể mềm dẻo trong quá trình quản trị dịch vụ. Nó cho phép người quản trị ngăn cấm những địa chỉ trang Web độc hại đến việc chỉ cho phép những máy nào được phép sử dụng dịch vụ.
5.1.6.1.Định nghĩa một danh sách truy cập
Trước hết để có thể cho phép hay ngăn cấm bạn cần phải tạo ra các danh sách truy cập. Câu lệnh cho phép bạn tạo các danh sách truy cập có dạng như sau :
Acl aclname acltype string1………
Aclname : là tên của danh sách truy cập. Tên này hoàn toàn do người quản trị đặt sao
cho dễ gợi nhớ.
Acltype : là kiểu do người quản trị lựa chọn. Có nhiều loại để lựa chọn nhằm phục vụ cho
1 mục đích nào đó. Trong đó có một số kiểu chúng ta cần chú ý :
Dst : Cú pháp câu lệnh có dạng
Acl aclname dst ip-address/netmask…………..
Câu lệnh thường được sử dụng khi bạn muốn chỉ rõ đích danh địa chỉ đích với mục đích ngăn không cho phép người sử dụng truy cập tới địa chỉ này.
Ví dụ :
Acl ngancam dst 203.162.152.184/255.255.255.255
Src : Cú pháp câu lệnh có dạng
acl aclname src ip-address/netmask …… acl aclname src addr1-addr2/netmask ……
Cả hai câu lệnh đều cho phép bạn lựa chọn địa chỉ IP của các máy trạm hoặc một dải địa chỉ nào đó. Thông thường câu lệnh này được sử dụng khi bạn chỉ cho phép các máy trạm trong mạng cục bộ hoặc các máy chủ squid cấp dưới được phép sử dụng dịch vụ squid. Ví dụ :
Acl LAN src 192.168.50.0/255.255.255.0
Dstdomain : Cú pháp câu lệnh có dạng
acl aclname dstdomain .test.com ……
Câu lệnh được sử dụng khi bạn muốn chỉ rõ domain đích với mục đích ngăn không cho phép người sử dụng truy cập tới domain này.
Ví dụ :
Acl ngancam dstdomain www.sex.com
url_regex : Cú pháp câu lệnh có dạng :
acl aclname url_regex [-i] http://...
Câu lệnh được sử dụng để chỉ rõ toàn bộ URL. Bạn có thể sử dụng lựa chọn [-i] khi bạn không muốn có sự phân biệt chữ hoa và chữ thường.
Ví dụ :
Acl ngancam url_regex http://203.162.152.184
time : Cú pháp câu lệnh có dạng
acl aclname time [chữ viết tắt ngày trong tuần] [h1:m1 – h2:m2]
Câu lệnh cho phép bạn giới hạn thời gian truy cập Web của người sử dụng. Cần chú ý :
chữ viết tắt ngày trong tuần như sau : Chủ nhật : S Thứ hai : M
Thứ ba : T
Thứ tư : W
Thứ năm : H
Thứ bảy : A
h1:m1 phải nhỏ hơn h2:m2 Ví dụ :
Acl chopheptruycap time M,T,W,H,F 08:00 – 17:00
Còn rất nhiều kiểu cho phép người quản trị lựa chọn. Trong file cấu hình squid.conf có một danh sách truy cập mặc định do hệ thống tạo ra. Tất cả danh sách này chúng ta sẽ giữ nguyên và chỉ thêm những danh sách cho phù hợp với những chính sách của từng tổ chức đề ra.
5.1.6.2.Cho phép hoặc ngăn cấm dựa trên các chính sách truy cập
Sau khi đã tạo ra các danh sách truy cập việc tiếp theo người quản trị cần làm là cho phép hoặc ngăn cấm các danh sách đó được phép hoặc không được phép thực hiện một công việc nào đó. Sử dụng câu lệnh http_access để thực hiện điều này.
Cú pháp câu lệnh này có dạng như sau :
http_access allow|deny [!] aclname …..
Chú ý :
Nếu không có dòng access nào thì mặc định sẽ là cho phép yêu cầu.
Nếu không có dòng access nào đáp ứng thì theo mặc định kết quả sẽ là sự ngược lại của dòng cuối cùng trong danh sách các tham số này. Nếu dòng cuối cùng là ngăn cấm thì mặc định sẽ là cho phép. Nếu dòng cuối cùng là cho phép thì mặc định sẽ là ngăn cấm. Chính vì vậy, tốt nhất chúng ta nên đặt một tham số “deny all” hoặc “allow all” tại dòng cuối cùng trong danh sách để tránh những xung đột có thể xảy ra.
! : có nghĩa là sẽ thực hiện theo phép toán đối với tất cả các đối tượng
khác với các đối tượng được nêu trong aclname.
Chúng ta sẽ rõ hơn về danh sách truy cập này thông qua file cấu hình squid.conf của các máy chủ squid ở cả 3 cấp trong mô hình ở phần sau.
5.1.6.3.Hạn chế quá trình gửi các yêu cầu
Đối với người quản trị mạng, họ cần có một cơ chế cho phép hạn chế các yêu cầu được phép gửi tới 1 server nào đó. Squid cho phép bạn sử dụng các ACL để xác định xem những yêu cầu nào sẽ được đưa trực tiếp tới các server mong muốn và những yêu cầu nào không được đưa tới đó. Điều này sẽ làm giảm quá trình xử lý các yêu cầu của các server đó.
Cú pháp câu lệnh cho phép bạn thực hiện điều này có dạng :
Never_direct allow|deny [!] aclname …..
Ví dụ để bắt buộc tất cả phải sử dụng proxy ngoại trừ những yêu cầu cuả các máy chủ trong phạm vi domain nội bộ của bạn, sử dụng tham số sau :
Acl local_servers dstdomain vietpart.gov.vn # định nghĩa danh sách
các máy chủ cục bộ
Acl all src 0.0.0.0/0.0.0.0 # định nghĩa danh sách bao gồm tất cả
Never_direct deny local_servers # cho phép các server được gửi yêu
Nerver_direct allow all # không cho phép các yêu cầu khác ngoại trừ các
yêu cầu của các server được gửi trực tiếp .