1 Ознайомитися з необхідними загальними відомостями.
2 Створити групу з заданою кількістю користувачів.
3 Ліквідувати групу користувачів.
4 Створити обліковий запис користувача.
5 Ліквідувати обліковий запис користувача.
6 Оформити звіт.
5.4 Контрольні питання
1 Які типи груп існують?
2 Що таке групи користувачів?
3 Для чого створюють групи користувачів?
4 Що таке обліковий запис користувача?
5 Які параметри можна задати при створенні нового облікового запису користувача?
Лабораторна робота № 6
Тема: Налаштування проксі-сервера
Мета: навчитись використовувати та налаштовувати проксі-сервер на базі Squid.
Основні теоретичні відомості
SQUID - це програма, яка одержує http/ftp запити клієнтів і по них звертається до ресурсів Інтернет. Застосування проксі-сервера (squid) дає можливість використовувати фіктивні IP-адреси у внутрішній мережі (Masquerading), збільшує швидкість обробки запиту при повторному звертанні (кешуванні), забезпечує додаткову безпеку. Проксі-сервер варто застосовувати лише в тому випадку, якщо у мережі три-чотири комп'ютери, яким потрібен вихід в Інтернет. В цьому випадку запит від браузера до проксі-серверу обробляється швидше, ніж від проксі до ресурсів Інтернет, і таким чином збільшується продуктивність. До того ж, можна сміливо встановити розмір кеша в браузерах клієнтів рівним нулю.
|
|
Для налаштування Squid використовується файл конфігурації squid.conf. Звичайно він розташовується в каталозі /etc/squid (або /usr/local/squid/etc – раніші версії). Він відкривається в будь-якому текстовому редакторі.
Нехай проксі провайдера:
cache_peer proxy.isp.ru
В даному випадку proxy.isp.ru стає «сусідом» (neighbour, peer).
Встановлюється об'єм пам'яті, доступний squid, і каталог для кеша (1024 - кількість мегабайт для кеша):
cache_mem 65536
cache_dir /usr/local/squid/cache 1024 16 256
Після виконання базової настройки SQUID, його потрібно запустити:
/usr/local/squid/bin/squid -z
Параметр -z потрібен для створення (обнулення) каталога, що містить кеш (зазвичай потрібен тільки при першому запуску). Також існує ряд інших параметрів, основні з них наведені в таблиці 6.1.
Таблиця 6.1 – Параметри запуску SQUID
Параметр | Опис |
-a | порт для вхідних HTTP-запитів |
-d | відладка (на stderr) |
-f | ім'я файлу конфігурації |
-h | допомога |
-k reconfigure | посилка сигналу HUP |
-k shutdown | завершення роботи проксі |
-k kill | завершення без закриття журналів |
-u | порт для вхідних ICP запитів |
-v | версія |
-D | не робити DNS-тест при запуску |
-N | не ставати фоновим процесом |
-Y | швидше відновлення після збоїв |
Для форматування файлу squid.conf потрібно вказати ряд параметрів, наведених в таблиці 6.2.
Таблиця 6.2 – Параметри форматування squid.conf
|
|
Параметр | Команда |
Параметри мережі | http_port 3128 |
Порт для запитів клієнтів | icp_port 3130 |
Якщо сусідів (peer) немає | icp_port 0 |
Порт для спілкування з сусідами - ICP - через TCP | htcp_port 4827 |
Вказує за якою адресою приймати вхідні пакети, якщо хост має декілька інтерфейсів | tcp_incoming_address 0.0.0.0 |
При посилці ставити вказану адресу в якості початкової | tcp_outgoing_address 0.0.0.0 |
При посилці ставити вказану адресу як початкову для ICP | udp_outgoing_address 0.0.0.0 |
При прийомі ставити вказану адресу як початкову для ICP | udp_incoming_address 0.0.0.0 |
Кожен сусід прописується окремим рядком:
cache_peer hostname type proxy-port icp-port options
hostname – ім'я сусіда.
parent – за відсутності запиту в локальному кеші, він перенаправляється до parent, той, якщо запиту не опиниться в його кеші, пересилає його далі і т.д. Повертає готову відповідь підлеглому. Якщо squid одержує TCP_DENIED від parent, то звертається до ресурсу напряму.
sibling – за відсутності запиту в локальному кеші, запит перенаправляється в sibling, за відсутності запиту в ньому, повертає повідомлення про це, ніяких додаткових дій не робиться.
Для управління кешем потрібно використовувати параметри, наведені в таблиці 6.3.
Таблиця 6.3 – Параметри управління кешем
Параметр | Команда |
При досягнення цього рівня заповнення кеша (у процентному співвідношенні) починається прискорений процес видалення старих об'єктів | cache_swap_high 99 |
Процес видалення припиняється досягши цього рівня | cache_swap_low 90 |
Максимальний розмір кешованого об'єкту | maximum_object_size 4096 KB |
Файли меншого розміру не зберігаються | minimum_object_size 0 KB |
Для протоколювання використовуються параметри таблиці 6.4.
Таблиця 6.4 – Параметри протоколювання
Параметр | Команда |
Протоколюється кожен запит до SQUID | cache_access_log /usr/local/squid/logs/access.log |
Журнал запусків процесів | cache_log /usr/local/squid/logs/cache.log |
Журнал запису об'єктів в кеш | cache_store_log /usr/local/squid/logs/store.log |
Якщо якийсь журнал не потрібен, потрібно встановити none замість ім’я файлу.
Команда ACL (визначення списку доступу) визначається так:
acl ім'я тип рядок
Тип - це тип об'єкту, а рядок - регулярний вираз. Також можна використовувати список:
acl ім'я тип «ім'я файлу» (по одному параметру в рядку)
Існують наступні типи:
src ip-address/netmask IP адреса клієнтів
src addr1-addr2/netmask діапазон адрес
dst ip-address/netmask URL хостів
time [day-abbrevs] [h1:m1-h2:m2] час, де день це одна буква з SMTWHFA
port список портів
port port1-port2 діапазон портів
proto протокол - HTTP/FTP
method метод - GET/POST
browser [-i] regexp порівнюється заголовок User-Agent
[-i] ігнорується регістр букв.
Параметри доступу наведені в таблиці 6.5
Таблиця 6.5 – Параметри доступу
Параметр | Команда |
Дозволити доступ до проксі по HTTP | http_access allow|deny aclname |
Дозволити доступ до проксі по ICP | icp_access allow|deny aclname |
Дозволити одержувати відповідь MISS | miss_access allow|deny aclname |
Обмежити запити до даного сусіда | cache_peer_access cache-host allow|deny aclname |
Рядок тексту, який буде виданий на екран клієнта при запиті імені/пароля доступу до кешу | proxy_auth_realm Squid proxy-caching web server |
Достатньо часто виникає ситуація, що каналу доступу в глобальну мережу Інтернет на всіх користувачів не вистачає і виникає бажання дати кожному по максимуму, але при цьому не перевантажити канал. Засоби проксі-сервера Squid дозволяють добитися цього декількома шляхами:
- перший шлях це оптимізація кешування об'єктів;
- другий – це обмеження за часом певних користувачів, що не зовсім коректно;
- третій шлях полягає в обмеженні швидкості для певних типів файлів, користувачів і всього того, що визначено через Acl.
Регулювання швидкості в проксі-сервері Squid здійснюється за допомогою пулів. Пул - це свого роду бочка з водою, в якій воду постійно заливають по самі вінця, а клієнти наливають в свої стакани або інші місткості для подальшого внутрішнього споживання у міру потреби через свої персональні крани. Пули можуть бути трьох класів:
|
|
1. Весь потік води обмежений одним краном (на всю мережу).
2. Весь потік води обмежений одним краном, але при цьому кран ділиться на підкраники (на кожен IP).
3. Весь потік води обмежений одним краном, але кран ділиться на підкраники (на підмережі), які також діляться на міні краники (на кожен IP).
Для обмеження швидкості існують наступні команди (таблиця 6.6):
Таблиця 6.6 – Параметри обмеження швидкості
Параметр | Команда |
Визначення кількості пулів | delay_pools кількість_пулів |
Доступ для певного пула | delay_access номер_пула дія ім’я_acl |
Визначення класу пула | delay_class номер_пула клас_пула |
Параметри пула 1-го класу | delay_parameters номер_пула байт_на_всю_мережу |
Параметри пула 2-го класу | delay_parameters номер_пула на_всю_мережу на_клієнта |
Параметри пула 3-го класу | delay_parameters номер_пула на_всю_мережу на_підмережу на_клієнта |
Завдання
Налаштувати squid згідно заданого варіанту (див. таблиця 6.7) і налаштувати браузер на роботу з проксі-сервером.
Таблиця 6.7 – Варіанти роботи
Варіант | Завдання | |||
Встановити об'єм пам'яті для squid 32 Мб, для кеша – 8 Мб, директорію для squid – С:/Temp/Squid, кількість каталогів – 8, кількість підкаталогів – 32, протокол запитів до Squid С:/Temp/Squid/logs/zapyt.log | ||||
Дозволити доступ до проксі-сервера, що розміщений за адресою 192.168.0.230 на порті 3128, тільки з локальної мережі з адресами від 192.168.0.1 до 192.168.0.254 | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до підмережі 192.168.1.0/16 | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до сайтів google.com.ua та rumbler.ru | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до Internet з 10 до 15 години кожен день | ||||
Обмежити користувачу з IP адресою 192.168.0.25 доступ до Internet швидкістю 4 Кбайт/с | ||||
Обмежити користувачам підмережі з адресами від 192.168.0.1 до 192.168.0.10 доступ до Internet швидкістю 10 Кбайт/с на всіх і на кожного по 5 Кбайт/с | ||||
Обмежити всім користувачам мережі доступ до Internet для скачування mp3 файлів швидкістю 3 Кбайт/с | ||||
Виділити на всю мережу і на підмережі максимальний канал, а кожному користувачу обмежити швидкість максимум в 5 Кбайт/с після того, як він викачає на максимальній швидкості перші 15 Кбайт документа | ||||
Встановити об'єм пам'яті, доступний squid, 64 Мб, об’єм пам’яті для кеша – 16 Мб, директорію для squid – С:/Squid, кількість каталогів – 32, кількість підкаталогів – 128, журнал запуску процесів С:/Squid/logs/proces.log | ||||
Заборонити всім доступ до програми Mirc, що використовує порти 6667-6669, через проксі-сервер | ||||
Заборонити користувачу з IP адресою 192.168.0.25 можливість увійти до своєї поштової скриньки через форму входу на сайті, тобто заборонити проглядати пошту на сайті mail.ru, але при цьому дозволити прогулюватися по сайту без заборон. | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до сайтів google.com.ua в неділю з 17 години | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до Internet у суботу та неділю | ||||
Встановити об'єм пам'яті, доступний squid, 16 Мб, об’єм пам’яті для кеша – 4 Мб, директорію для squid – С:/Temp/Squid/cache, кількість каталогів – 4, кількість підкаталогів – 316, журнал запису об’єктів в кеш С:/Temp/Squid/cache/logs/object.log | ||||
Заборонити користувачу з IP адресою 192.168.0.25 використовувати протокол FTP через проксі-сервер | ||||
Заборонити доступ користувачу з IP адресою 192.168.0.25 на всі домени, що містять слово “password”, і на всі домени в зонах.com і.net | ||||
Заборонити користувачу з IP адресою 192.168.0.25 доступ до сайтів з словом “password” щодня після 17 години | ||||
Дозволити користувачу з IP адресою 192.168.0.25 користуватися програмою Mirc, що використовує порти 6667-6669, з 13 до 14 години щодня | ||||
Встановити свіжість об'єктів для картинок з розширенням.gif і музичних файлів з розширенням.mp3 цілих 30 днів (43200 хв) | ||||
|
|