1. Giới
thiệu chung :
Sau khi đã cài đặt Squid proxy như đã giới thiệu ở phần trước, chúng ta tiến hành cấu hình Squid ở trong phần này để tiến hành quản lý người dùng truy cập Web.
Để giới hạn người dùng truy cập Web, chúng ta sử dụng access control lists (ACLs). Mỗi dòng ACL định nghĩa một
loại giới hạn hoạt động cụ thể, ví dụ như thời gian truy cập hoặc IP (thường là LAN). Các dòng ACL sau đó được liên kết tới
các phát biểu http_access tương ứng, cung cấp thông tin cho Squid Allow
(cho phép) hay Deny (hạn
chế)yêu cầu khi yêu cầu nằm trong
phạm vi của ACL.
Squid so sánh mỗi yêu cầu truy cập web mà nó nhận được bằng cách kiểm tra
danh sách http_access từ đầu tới cuối. Nếu nó tìm thấy 1 phát biểu phù hợp, nó
sẽ áp dụng để Allow hay Deny và dừng không đọc tiếp các phát biểu phía dưới nữa.
Vì vậy, chúng ta cần phải chú ý khi sắp sếp các phát biểu. Không được đặt các phát biểu Deny bên trên các phát biểu
Allow trong khi muốn Allow các ACL thỏa mãn phát biểu đó. Cuối cùng, phải có
phát biểu: http_access deny all để từ
chối tất cả các yêu cầu mà không được nói đến trong các phát biểu trước đó.
File config để cấu hình
của Squid có đường dẫn /etc/squid3/squid.conf
chúng ta thực hiện giới hạn người dùng bằng cách thêm các rule vào file squid.config.
2.
Một
số ví dụ giới hạn người dùng truy cập Web:
a.
Giới
hạn truy cập Web theo địa chỉ IP
-
Chúng ta muốn cho phép dải mạng 192.168.110.0/24 được phép truy cập Internet thì ta sẽ thêm các phát biểu sau vào file cấu
hình:
acl home_network src 192.168.110.0/24 # định nghĩa một dải mạng
http_access allow home_network # cho phép dải mạng trên được phép truy cập Internet
-
Chúng ta không muốn dải mạng 192.168.110.0/24 được phép truy cập Internet thì ta sẽ thêm các phát biểu sau vào file cấu
hình:
acl ban_network src 192.168.255.0/24 # định nghĩa một dải mạng
http_access deny ban_network # không cho phép dải mạng trên được phép truy
cập Internet
b.
Giới
hạn truy cập Web theo thời gian
-
Chúng ta muốn người dùng chỉ được phép truy cập Internet từ 8h00 đến
17h00 thì ta sẽ thêm các phát biểu sau vào file cấu hình:
acl business_hours time M T W H F 8:00-17:00
# định nghĩa thời gian trong giờ làm việc
http_access allow business_hours
-
Chúng
ta kết hợp cho phép dải mạng home_network được phép truy cập mạng trong giờ
hành chính:
acl home_network src 192.168.110.0/24
acl business_hours time M T W H F 8:00-17:00
http_access allow home_network business_hours
c.
Giới
hạn truy cập Web theo trang Web
- Chúng
ta muốn giới hạn người dùng không được phép truy cập trang 24h.com.vn thì chúng
ta có thể thực hiện thêm các phát biểu sau vào file config:
acl
webcam dstdomain 24h.com.vn
http_access
deny webcam
- Chúng
ta cũng có thể hạn chế danh sách các trang web không muốn người dùng truy cập đến:
acl webcam dstdomain “/etc/squid3/webcam.txt”
# danh sách các web cấm chúng ta đưa vào nội dung file webcam.txt lưu trữ theo
đường dẫn /etc/squid3/webcam.txt
http_access
deny webcam
d.
Giới
hạn file download
Chúng ta có thể tiến hành giới hạn file download về
máy bằng cách thêm các phát biểu sau:
acl
filecam urlpath_regex .exe$ .mp3$ .mp4$
http_access
deny fliecam
Hiện nay một số trình duyệt Crom+ có công cụ hỗ trợ
download thì việc quản lý này chưa thể thực hiện được.
e.
Giới
hạn băng thông
Chúng ta có thể tiến hành giới hạn bang thông của một
mạng hay dải mạng bằng cách thêm các phát biểu sau:
acl
ip src192.168.110.0/24 # có thể ip là một hoặc nhiều đường mạng
delay_pool
1
delay_class
1 2
delay_access
1 allow ip # áp dụng cho ip định nghĩa ở trên
delay_access
1 deny all
delay_parameters
1 -1/-1 15000/15000 # giới hạn bang thông của máy có ip định nghĩa ở trên là 15kbytes/s
f.
Xác
thực truy cập Web
touch
/etc/squid3/pass_chungthuc # tạo file pass_chungthuc
theo đường dẫn
chmod +r /etc/squid3/pass_chungthuc
# thêm
quyền read cho file pass_chungthuc
htpasswd
/etc/squid3/pass_chungthuc user # tạo tên user đăng nhập
là user
sau đó đặt password cho user
Trong file cấu hình Squid ta tiến hành thêm các phát
biểu sau:
auth_param
basic program usr/lib/squid3/ncsa_auth /etc/ squid3/pass_chungthuc
acl
chungthuc proxy_auth REQUIRED
http_access
allow chungthuc
No comments:
Post a Comment