Monday, August 25, 2014

Trang chủ » » CÀI ĐẶT VÀ CẤU HÌNH SQUID PROXY TRONG SUỐT TRÊN UBUNTU DESKTOP 13.04 (Phần 2)

CÀI ĐẶT VÀ CẤU HÌNH SQUID PROXY TRONG SUỐT TRÊN UBUNTU DESKTOP 13.04 (Phần 2)

  August 25, 2014    No comments

1.     Giới thiệu chung :
       Sau khi đã cài đặt Squid proxy như đã giới thiệu ở phần trước, chúng ta tiến hành cấu hình Squid ở trong phần này để tiến hành quản lý người dùng truy cập Web.
Để giới hạn người dùng truy cập Web, chúng ta sử dụng access control lists (ACLs). Mỗi dòng ACL định nghĩa một loại giới hạn hoạt động cụ thể, ví dụ như thời gian truy cập hoặc IP (thường là LAN). Các dòng ACL sau đó được liên kết tới các phát biểu http_access tương ứng, cung cấp thông tin cho Squid Allow (cho phép) hay Deny (hạn chế)yêu cầu khi yêu cầu nằm trong phạm vi của ACL.
Squid so sánh mỗi yêu cầu truy cập web mà nó nhận được bằng cách kiểm tra danh sách http_access từ đầu tới cuối. Nếu nó tìm thấy 1 phát biểu phù hợp, nó sẽ áp dụng để Allow hay Deny và dừng không đọc tiếp các phát biểu phía dưới nữa. vậy, chúng ta cần phải chú ý khi sắp sếp các phát biểu. Không được đặt các phát biểu Deny bên trên các phát biểu Allow trong khi muốn Allow các ACL thỏa mãn phát biểu đó. Cuối cùng, phải có phát biểu: http_access deny all để từ chối tất cả các yêu cầu mà không được nói đến trong các phát biểu trước đó.
File config để cấu hình của Squid có đường dẫn /etc/squid3/squid.conf chúng ta thực hiện giới hạn người dùng bằng cách thêm các rule vào file squid.config.
2.     Một số ví dụ giới hạn người dùng truy cập Web:
a.     Giới hạn truy cập Web theo địa chỉ IP
-   Chúng ta muốn cho phép dải mạng 192.168.110.0/24 được phép truy cập Internet thì ta sẽ thêm các phát biểu sau vào file cấu hình:
acl home_network src 192.168.110.0/24 # định nghĩa một dải mạng
http_access allow home_network # cho phép dải mạng trên được phép truy cập Internet
-   Chúng ta không muốn dải mạng 192.168.110.0/24 được phép truy cập Internet thì ta sẽ thêm các phát biểu sau vào file cấu hình:
acl ban_network src 192.168.255.0/24 # định nghĩa một dải mạng
http_access deny ban_network # không cho phép dải mạng trên được phép truy cập Internet
b.    Giới hạn truy cập Web theo thời gian
-   Chúng ta muốn người dùng chỉ được phép truy cập Internet từ 8h00 đến 17h00 thì ta sẽ thêm các phát biểu sau vào file cấu hình:
acl business_hours time M T W H F 8:00-17:00 # định nghĩa thời gian trong giờ làm việc
http_access allow business_hours
-   Chúng ta kết hợp cho phép dải mạng home_network được phép truy cập mạng trong giờ hành chính:
acl home_network src 192.168.110.0/24
acl business_hours time M T W H F 8:00-17:00
http_access allow home_network business_hours
c.      Giới hạn truy cập Web theo trang Web
-   Chúng ta muốn giới hạn người dùng không được phép truy cập trang 24h.com.vn thì chúng ta có thể thực hiện thêm các phát biểu sau vào file config:
acl webcam dstdomain 24h.com.vn
http_access deny webcam
-   Chúng ta cũng có thể hạn chế danh sách các trang web không muốn người dùng truy cập đến:
 acl webcam dstdomain “/etc/squid3/webcam.txt” # danh sách các web cấm chúng ta đưa vào nội dung file webcam.txt lưu trữ theo đường dẫn /etc/squid3/webcam.txt
http_access deny webcam
d.    Giới hạn file download
Chúng ta có thể tiến hành giới hạn file download về máy bằng cách thêm các phát biểu sau:
acl filecam urlpath_regex .exe$ .mp3$ .mp4$
http_access deny fliecam
Hiện nay một số trình duyệt Crom+ có công cụ hỗ trợ download thì việc quản lý này chưa thể thực hiện được.
e.      Giới hạn băng thông
Chúng ta có thể tiến hành giới hạn bang thông của một mạng hay dải mạng bằng cách thêm các phát biểu sau:
acl ip src192.168.110.0/24 # có thể ip là một hoặc nhiều đường mạng
delay_pool 1
delay_class 1 2
delay_access 1 allow ip # áp dụng cho ip định nghĩa ở trên
delay_access 1 deny all
delay_parameters 1 -1/-1 15000/15000 # giới hạn bang thông của máy có ip định nghĩa ở trên là 15kbytes/s
f.   Xác thực truy cập Web
touch /etc/squid3/pass_chungthuc # tạo file pass_chungthuc theo đường dẫn
chmod +r /etc/squid3/pass_chungthuc # thêm quyền read cho file pass_chungthuc
htpasswd /etc/squid3/pass_chungthuc user # tạo tên user đăng nhập là user
sau đó đặt password cho user
Trong file cấu hình Squid ta tiến hành thêm các phát biểu sau:
auth_param basic program usr/lib/squid3/ncsa_auth /etc/ squid3/pass_chungthuc
acl chungthuc proxy_auth REQUIRED

http_access allow chungthuc

Related Posts:

  • Tại sao bài báo khoa học bị từ chối?Năm 2009, các nhà khoa học VN chỉ công bố được khoảng 960 bài báo khoa học trên các tập san quốc tế. Con số này cực kì khiêm tốn khi so với các nước trong vùng. Đằng sau con số này là hàng trăm bài báo bị các tập san từ chối … Read More
  • [Kỹ năng cơ bản] Tạo Blog cá nhân bằng Blogspot Bạn muốn làm 1 trang Blog để chia sẻ những cảm nghĩ về cuộc sống hoặc những câu chuyện đời của bạn. Hoặc bạn muốn chia sẽ những kiến thức của mình vào 1 nơi nào đó trên Internet như trang Blog tacchienmang.blogspot.com c… Read More
  • Các lỗ hổng trên phần mềm nhúngTheo http://electronicdesign.com/, trên phần mềm nhúng có các lỗ hổng sau: Loại 1 gồm - Chèn mã kiểu SQL Injection - Lỗ hổng định dạng kiểu Format-String Vulnerabilities Loại 2 Lộ thông tin thông qua Normal Cha… Read More
  • Tìm hiểu một số công nghệ Web! CGI trong lập trình web là gì? CGI (Common Gateway Interface) là một bộ thông dịch script cho các web server, là công cụ để chạy các ứng dụng web trên Linux/Unix, còn trên Windows thì có ASP.net. Đây là một phương p… Read More
  • Các công nghệ đảm bảo an toàn phần mềm 1. Address Space Layout Randomization (ASLR) ASLR là tính năng bảo mật khiến vị trí dữ liệu của chương trình được sắp xếp một cách ngẫu nhiên trong bộ nhớ. Trước ASLR, vị trí dữ liệu của chương trình trong bộ nhớ có thể dự… Read More

0 comments:

Post a Comment