เทคนิคและการประยุกต์ใช้งาน Squid Proxy Server

Download Report

Transcript เทคนิคและการประยุกต์ใช้งาน Squid Proxy Server

เทคนิคและการประยุกต์ใช้งาน
Squid Proxy Server
ส่ วนประกอบที่สาคัญ
Squid Proxy Server
• Hardware
• OS
• RULE
การเลือก Hardware
• จานวนการให้บริ การ
• ความน่าเชื่อถือ ของอุปกรณ์
• งบประมาณ
Hardware ที่เหมาะสม
พิจารณาจากการทางาน
• HDD ที่มีความเร็ วรอบที่สูง ATA 7,200 รอบขึ้นไป
• ไม่เน้น CPU เนื่องจากไม่มีการคานวณ การทางาน
เป็ นเพียงการอ่าน cache ไปให้ลูกข่าย
• Ram ยิง่ มากยิง่ ดี ช่วยลดจานวนครั้งในการอ่าน HDD
• LAN ขึ้นอยูก่ บั ความเร็ วของสวิทซ์
การเลือก Hardware
ความน่าเชื่อถือ ของอุปกรณ์
• ระยะเวลาการเปิ ดใช้งาน
• การรองรับของ OS
• การบริ การ ของผูข้ าย
• คุณสมบัติเสริ มของ อุปกรณ์
• การรับประกัน (ระยะเวลาการเปลี่ยนอุปกรณ์)
RULE
• ไม่ควร กาหนดการตรวจสอบต่อกฎหนึ่ งที่ มากเกินไปเช่น
files ที่กาหนดเว็บที่หา้ มเข้า นั้น ไม่ควรมีเกิน 100 บรรทัด
หากมีมากเกินกว่านี้ขอแนะนา squidguard จะดีกว่า
เพราะมีกลักการจัดเก็บเป็ น data base ลดการ ตรวจสอบ
ของ squid
• ไม่ควรกาหนด cache ที่มีขนาดเกิน 500 M เนื่องจาก หลักการ
squid จะทาการค้นหาค่าในแรมก่อน แล้วจึงหาใน hdd ซึ่ งเป็ น
จุดอ่อนของระบบที่เรี ยกว่าคอขวด
RULE
• ควรสร้าง squid.conf มีบรรทัดเท่าที่จาเป็ นเท่านั้นเนื่องจากจะทาให้
การรัน squid ได้เร็ วขึ้น ง่ายต่อการปรับแต่งแก้ไข
• ไม่ควรกาหนด cache ที่มีขนาดเกิน 500 M เนื่องจาก หลักการ
squid จะทาการค้นหาค่าในแรมก่อน แล้วจึงหาใน hdd ซึ่ งเป็ น
จุดอ่อนของระบบที่เรี ยกว่าคอขวด
RULE
• ควรมีการ แบ่ง subnet เป็ น ส่ วน ๆ เพื่อให้ง่ายต่อการควบคุมดูแล
ลดภาระของ Lan card
RULE
• วางกฎให้ถูกบรรทัด ก่อนหลัง
RULE
• การใช้ ! หมายถึงนอกเหนือ
การปรับแต่ง squid
• การตรวจสอบลูกข่ายจาก Macaddess
• การใช้ mrtg จับค่า squid
• การกาหนดความเร็ ว ของลูกข่าย ด้วย delay pool
• การแก้ไขหน้า Error เป็ นของเราเอง
• การติดตั้ง squidguard
การตรวจสอบลูกข่ายจาก Macaddess
• ต้องเลือกตัวเลือก ARP ACL ตอนติดตั้งด้วย
การตรวจสอบลูกข่ายจาก Macaddess
• การใช้ acl ใน squid.conf
การตรวจสอบลูกข่ายจาก Macaddess
• การหา mac address win98
• สั่ง winipcfg ที่รัน
การใช้ mrtg จับค่า squid
• ติดตั้ง squid ให้รองรับ snmp โดยติก X ตามภาพ
การใช้ mrtg จับค่า squid
• ให้เพิ่ม acl ดังนี้ไปที่ squid.conf
acl snmppublic snmp_community public
snmp_port 3401 snmp_access allow
snmppublic all
การใช้ mrtg จับค่า squid
• สร้าง Files mrtg-squid.cfg download ได้ที่
http://chrismiles.info/unix/mrtg/mrtg-squid.cfg
• copy mrtg-squid.cfg ไปไว้ ที่ /etc/mrtg
• download
http://chrismiles.info/unix/mrtg/squid-mib.txt
ไปเก็บไว้ที่ /opt/mrtg/squid/mib.txt
• สัง่ mkdir -p /opt/mrtg/squid
• download หน้า index ได้ที่
http://chrismiles.info/unix/mrtg/index-squid.html.txt
การใช้ mrtg จับค่า squid
• แก้ไข httpd.conf โดยเพิม่
ScriptAlias /squid-mrtg/ "/opt/mrtg/squid/”
<Directory "/opt/mrtg/squid">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
• Reboot server
การใช้ mrtg จับค่า squid
• เรี ยกหน้าเว็บโดยhttp://yourdomain/squid-mrtg/
การกาหนดความเร็ว ของลูกข่ าย ด้ วย delay pool
• ขั้นตอนติดตั้ง หากลงแบบ tar ให้เพิม่ ออฟชัน่
enable-delay-pools
• ใส่ค่า config ใน squid.conf
การกาหนดความเร็ว ของลูกข่ าย ด้ วย delay pool
• 1280000/12800000 หมายถึง Upload/Download ได้
128KB
• หากจะกาหนดช่วงเวลาด้วยสามารถ นา acl time มาเพิ่ม
เติมได้
การแก้ไขหน้า Error เป็ นของเราเอง
• Files Error ทั้งหมดจะอยูท่ ี่
• Files ทั้งหมดจะเป็ น Files HTML สามารถแก้ไขได้โดยเขียนเป็ น
html แล้ว save เป็ นชื่อเดิม
การแก้ไขหน้า Error เป็ นของเราเอง
%B
URL with FTP %2f hack
%c
Squid error code
%d
seconds elapsed since request
received (not yet implemented)
%e
errno
%E
strerror()
%m
Error message returned by external auth helper
%p
URL port \#
%P
Protocol
%R
Full HTTP Request
%S
squid default signature
%s
caching proxy software with version
%t
local time
การแก้ไขหน้า Error เป็ นของเราเอง
%f
FTP request line
%F
FTP reply line
%g
FTP server message
%h
cache hostname
%H
server host name
%i
client IP address
%I
server IP address
%L
contents of err_html_text config option
%M
Request Method
%T
UTC
%U
URL without password
%u
URL with password (Squid-2.5 and later only)
%w
cachemgr email address
%z
dns server error message
การติดตั้ง Squidguard
• cd /usr/ports/www/squidguard
• make install clean
• cd /usr/local/etc/squid
• cp squidGuard.conf.sample squidGuard.conf
• แก้ไข squid.conf เพิ่ม
redirect_program
/usr/local/bin/squidGuard
แนะนาว่าควรเพิ่มการบรรทัด allow ให้ออก internet ได้
การติดตั้ง Squidguard
• เพิ่มเว็บที่ไม่พึงประสงค์โดย
• cd /var/db/squidGuard
• จะมีรายชื่อเว็บ ที่ไม่พึงประสงค์แยกเก็บเป็ นหมวดหมู่ เมื่อ จัดการเรี ยบร้อยแล้ว
• ให้สงั่
• /usr/local/bin/squidGuard –C all
• ทาการเพิ่มเข้าไปในฐานข้อมูทุกครั้งด้วย