From: Andrea Manni Qui riportati per comodita' degli studenti (e del
docente che non sara' mai piu' costretto a
- ripeterli! )
@@ -395,315 +395,325 @@
squid.conf
Version:
- 0.4
+ 0.5
+
10.10.208.250 persistente | + +|
proxy http | + +10.10.208.254:3128 | +
Squid e' un proxy cache http (ma anche FTP e https) + robusto e strutturato, puo' essere usato sia in reti + relativamente piccole grazie alla semplicita' di + configurazione che in scenari piu' complessi grazie alla + possibilita' di gestirne in modo granulare le risorse + partendo dalle configurazioni piu' semplici per la semplice + condivisione della navigazione internet, la gestione + degli accessi, il filtraggio dei contenuti (Squid e' una + applicazione che si muove nel 4' livello del modello TCP/IP a + differenza di un ipfilter limitato al 2') nel l + bilanciamento del carico tra piu' hosts.
+ +Cosa a volte sottovalutata, squid permette la navigazione + web a una rete basata su indirizzi ip privati (es + una 192.168.0.0/24). E se la rete privata deve solo + navigare in internet, non serve un NAT od + altro, basta il solo Squid. Per altro non servira' neanche un + servizio DNS dato che sara' il solo squid a risolvere i + nomi di dominio per i suoi client http.
+ +Squid ascolta di default sulla porta 3128, per impostare + apt per utilizzarlo si aggiunga ad /etc/apt/apt.conf
++Acquire::http::Proxy "10.10.208.254:3128"; ++
Per installare Squid si usino i pacchetti:
squid3 @@ -1165,9 +1226,73 @@ squid3 "#id17">2.1 Configurazione: squid.conf -Segue un estratto del file di configurazione:
--#TAG: cache_dir (1628) +Segue un estratto delle direttive principali viste in + aula presenti nel file di configurazione /etc/squid3/squid.conf .
+ ++2.1.1 Cache_dir
+ +Cache dir serve per impostare dimensione e percorso + della cache creata sul supporto di storaggio. Essendo la + dimensione di default della cache pari a ~100 + MB e' altamente + consigliabili aumentare questo parametro se si vuole + poter utilizzare la funzione di cache http del + software.
+ +La dimensione ovviamente dipendera' dallo spazio + disponibile, dimensioni tipiche e massime degli oggetti + che si vuole tenere in cache (un solo file .iso e' + circa ``700 MB``, il pacchetto *Openoffice.org cira + 150 + MB, un pacchetto debian + circa 20 MB), numero + dei client.
+ +Si presti poi attenzione alla natura dei dati che + saranno salvati nella cache: sono tutti dati facilmenti + sostituibili (gli originali sono on-line) la cui + perdita non arreca danni permanenti. Questo rende la + cache di Squid un possibile candidato ad un RAID + stripe (livello 0), con vantaggi sia per le + prestazioni (e la velocita' di navigazione e' uno dei + motivi per cui si installa Squid) che per l'utilizzo + estensivo dello spazio di storaggio. Questo fino al + momento in cui per voi non sia piu' importante + garantire la disponibilita' del servizio (se il + RAID stripe dovesse rompersi gli utenti non potrebbero + piu' navigare, cosa che per natura dello stripe e' + maggiormente probabile rispetto ad un mirror o a + un filesytem normale) con un RAID mirror o + 5.
+ +Altra considerazione: i dati del proxy vengono slavati + sul filesytem del server dietro richiesta di utenti + esterni talvolta sconosciuti. Come per i servizi di file + sharing o per la posta elettronica non c'e' motivo che il + filesystem su cui sono ospitati questi dati abbia i + privilegi di eseguibilita' o suid (in genere si puo' + anche usare noatime per renderlo piu' veloce, + che si usi o meno il journal dipende dalle preferenze: + affidabilita' oppure prestazioni):
+ +/etc/fstab
++... +# Filesystem per Squid http cache +/dev/md3/ /var/spool/squid/ ext3,noexec,nosuid,noatime 0 3 ++ +Ora possiamo impostare la cache direttamente nel file + /etc/squid3/squid.conf:
++#TAG: cache_dir (riga 1628) # Usage: # # cache_dir Type Directory-Name Fs-specific-data [options] @@ -1185,27 +1310,34 @@ cache_dir aufs /var/spool/squid3 300 24 256 # secondo livello di directory-Se si modifica la struttura del filesytem della cache di - Squid, ad esempio variando il numero delle directory, puo' - essere (ed in genere lo e') opportuno rigenerare la - struttura della cache di squid. Tipicamente e' opportuno - cancellare la vecchia cache e poi generarne una nuova:
-+Se si modifica la struttura del filesytem della cache + di Squid, ad esempio variando il numero delle directory, + puo' essere opportuno rigenerare la struttura della cache + di squid (per lo meno se si aumenta il numero delle + directory di primo o secondo livello). Tipicamente e' + opportuno cancellare (se si ha *ridotto il numero + delle diectory) la vecchia cache e poi generare una nuova + struttura. Se si vuole star nel sicuro ogni + volta che si modifica l'impostazione delle directory + si svuoti la vecchia cache e se ne generi una + nuova
+# /etc/init.d/squid3 stop # rm -r /var/spool/squid3/?? # squid3 -z # /etc/init.d/squid3 start+2.1.1 TAG: + "#id19">2.1.2 TAG: maximum_object_size
Questa direttiva imposta la dimensione massima degli oggetti che vengono slvati sul supporto di storaggio, - oggetti di dimensioni superiori verranno scaricati ma non - tenuti in cache.
+ oggetti di dimensioni superiori saranno comunque + scaricati ma non tenuti in cache.TAG: maximum_object_size (1760):
@@ -1229,14 +1361,34 @@ maximum_object_size 150 MB2.1.2 TAG: cache_mem
+ "#id20">2.1.3 TAG: cache_mem -Cache_mem imposta quanta memoria RAM - utilizzare per la cache di Squid. Questo dipendera' dalla +
Cache_mem imposta quanta memoria RAM venga + utilizzata per la cache di Squid. Questo dipendera' dalla RAM disponibile sul sistema, e da quanta di questa volete - mettere a disposizione di Squid. Questo paramentro - influisce sulle prestazioni e sul degrado dei supporti di - storaggio (sopratutto se magnetici).
+ mettere a disposizione di Squid (altri servizi + iimportanti girano sulla stessa macchina?). Questo + paramentro influisce sulle prestazioni e sul degrado dei + supporti di storaggio (sopratutto se magnetici). + +Se si stesse pensando di usare dell'hardware + embedded a basse prestazioni / consumo per + realizzare un server gateway / NAT / Squid si tenga + presente che Squid e' relativamente esoso di risorse: + avra' bisogno di una macchina con ~25MB + (MegaByte) di RAM e ~150MHZ di CPU ARM per + servire decorosamente una decina di client http su una + rete ethernet 10/100. In questo caso non fate scendere + cache_mem sotto i 2/4 + MB pena un accesso continuo + al supporto di storaggio.
+ +Se invece si disponesse di una macchina dedicata a + Squid con gigabytes di RAM non si esiti a dedicarne buona + parte a cache_mem.
TAG: cache_mem (1566):
@@ -1253,15 +1405,16 @@ cache_mem 100 M2.1.3 TAG: + "#id21">2.1.4 TAG: minimum_object_size
-Questo paramentro imposta la dimensione minima degli +
Questo parametro imposta la dimensione minima degli oggetti salvati nella cache. Settato a 0 o a valori molto piccoli puo' influire negativamente sulla deframmentazione del filesytem e consumare un numero - elevato di inode.
+ elevato di inode (cosa non piu' importante con + ext4 o altri filesytem).TAG: minimum_object_size:
@@ -1280,16 +1433,59 @@ minimum_object_size 0 KB2.2 Negoziazione degli accesi al + "#id22">2.2 Negoziazione degli accesi al servizio
Squid e' uno di quei servizi soggetto a problemi di tipo - open relay, si deve quindi limitare la rete che + open relay , si deve quindi limitare la rete che puo' accedere al servizio.
++
+ +- Open Relay:
+ +- Un servizio a cui possono accedere tutti + indiscriminatamente. La cosa puo' andare bene per servizi + come i server web, che aspirano per loro natura al + maggior numero possibile di utenti, ma non a servizi come + i proxy http oppure ai server di posta elettronica (che + permetterebbero l'invio di SPAM).
+Generalmente non volete che il vostro proxy http venga + usato da persone sconosciute le quali sostanzialmente + navigherebbero sotto l'identita' del vostro proxy + (probabilmente per visionare materiali che non vorrebbero + fossero ricondotti direttamente a loro, per motivi che sta + a voi prendere in considerazione) consumando traffico e + banda della vostra connessione a internet. Tenere Squid in + modalita' Open relay e' al giorno d'oggi un buon + modo per essere inseriti in una black list.
+ +Per poter limitare gli accessi a Squid dal punto di + vista dell'applicazione (quarto livello TCP/IP) si + identifichera' inizialmente l'entita' rete locale + (es: localnet) con una ACL di tipo + src (indirizi IP sorgenti) indicando la classe + / range di ip della nostra rete.
+ ++ Dopodiche l'accesso (http_access) si concedera' + (allow) a questa entita' (es: localnet) negando chiunque altro. ++ +Per maggiori dettagli sulla sintassi utilizzabile per + esprimere i range di ip: + http://www.visolve.com/squid/squid24s1/access_controls.php
+2.2.1 ACL e http access
+ "#id23">2.2.1 ACL e http accessSi proceda a creare una ACL di @@ -1323,6 +1519,7 @@ minimum_object_size 0 KB #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network # acl localnet src 10.10.208.0/24 + # Riga 606 # TAG: http_access # Allowing or Denying access based on defined access lists @@ -1349,7 +1546,7 @@ http_access allow localnet
2.3 Testare Squid
+ "#id24">2.3 Testare SquidConfigurato squid e' fondamentale testarne il corretto funzionamento per assicurarsi di non aver creato un @@ -1359,9 +1556,9 @@ http_access allow localnet "docutils literal">wget da riga di comando.
-++ +2.3.1 wgetrc
+ "#id25">2.3.1 Client: ~/.wgetrcNel file .wgetrc (si noti il punto iniziale: e' @@ -1393,19 +1590,31 @@ http_access allow localnet
wget http://www.google.it++2.3.2 Server: + access.log
Si puo' controllare il corretto funzionamento del server seguendo i log di accesso a Squid:
# tail -f /var/log/squid3/access.log+ +In oltre e' possibile configurare diversi + analizzatori di log come Webalizer per studiare i log di + Squid.
3 Apache
+ "#id27">3 ApacheApache HTTP Server, o piu' comunemente Apache, e' il nome dato alla piattaforma server Web modulare piu' diffusa (ma @@ -1423,7 +1632,7 @@ wget http://www.google.it
3.1 Pacchetti da + "#id28">3.1 Pacchetti da installare::
@@ -1437,7 +1646,7 @@ wget http://www.google.it3.2 Configurazione di + "#id29">3.2 Configurazione di Apache
I file di configurazione di apache si trovano nella @@ -1496,7 +1705,7 @@ wget http://www.google.it
3.3 apache.conf
+ "#id30">3.3 apache.confFile di configurazione del servizio Apache, contiene le impostazioni generiche (ad esempio utilizzo della RAM e @@ -1553,7 +1762,7 @@ wget http://www.google.it
3.4 Installazione di PHP
+ "#id31">3.4 Installazione di PHPPacchetti da installare: php5 @@ -1561,7 +1770,7 @@ wget http://www.google.it
3.4.1 Test del modulo + "#id32">3.4.1 Test del modulo php
Creare nella cartella
3.4.2 Installazione del supporto + "#id33">3.4.2 Installazione del supporto per Mysql
Installare i pacchetti:
@@ -1608,7 +1817,7 @@ php5-mysql phpmyadmin3.4.3 phpmyadmin
+ "#id34">3.4.3 phpmyadminL'interfaccia web Phpmyadmin non richede necessariamente la presenza di un database Mysql locale, @@ -1633,7 +1842,7 @@ php5-mysql phpmyadmin
3.4.4 Installazione del supporto + "#id35">3.4.4 Installazione del supporto per Postgresql
Installare i pacchetti:
@@ -1650,7 +1859,7 @@ php5-pgsql phppgadmin3.4.5 phppgadmin
+ "#id36">3.4.5 phppgadminL'interfaccia web Phppgadmin per il database server PostgreSQL non richede necessariamente la presenza di un @@ -1675,7 +1884,7 @@ php5-pgsql phppgadmin
3.5 Virtual hosts
+ "#id37">3.5 Virtual hosts@@ -1716,7 +1925,7 @@ php5-pgsql phppgadmin
3.5.1 Gestione DNS
+ "#id38">3.5.1 Gestione DNSPrima di tutto per poter impostare i virtual hosts dovete avere un server DNS che risolva i vostri nomi di @@ -1799,7 +2008,7 @@ php5-pgsql phppgadmin
3.5.2 Virtual host
+ "#id39">3.5.2 Virtual hostEsempio di Virtual host:
@@ -1911,7 +2120,7 @@ php5-pgsql phppgadmin3.6 Negoziazione accessi
+ "#id40">3.6 Negoziazione accessiTipicamente quando si installa un server web il proprio desiderio e' di dare accesso ai materiali disponibili al @@ -1924,7 +2133,7 @@ php5-pgsql phppgadmin
3.6.1 Limiti su base ip
+ "#id41">3.6.1 Limiti su base ipLa forma piu' semplice di restrizine degli accessi e' su base degli indirizzi IP dei client: tipicamente i siti @@ -1979,7 +2188,7 @@ php5-pgsql phppgadmin
3.7 User Authentication
+ "#id42">3.7 User AuthenticationA volte conviene negoziare gli accessi ad un area di un sito tramite autenticazione basata sull'accopiata nome @@ -1996,7 +2205,7 @@ php5-pgsql phppgadmin
3.7.1 Definire la + "#id43">3.7.1 Definire la cartella
Decidere quale sara' il path della cartella @@ -2013,7 +2222,7 @@ php5-pgsql phppgadmin
3.7.2 Creazione del database + "#id44">3.7.2 Creazione del database delle passwords
Un modo semplice per gestire una database di @@ -2051,7 +2260,7 @@ htpasswd -c /home/utente/passwords luca
3.7.3 Configurazione di + "#id45">3.7.3 Configurazione di Apache
Ora possiamo passare alla configurazione vera e @@ -2126,7 +2335,7 @@ require valid-user
3.8 Cavets
+ "#id46">3.8 CavetsProblemi di cache:
@@ -2151,7 +2360,7 @@ require valid-user4 Domain Name System
+ "#id47">4 Domain Name SystemDomain Name System (spesso indicato con DNS) e' un servizio utilizzato per la risoluzione di nomi di host in @@ -2176,7 +2385,7 @@ require valid-user
4.1 Nomi di dominio
+ "#id48">4.1 Nomi di dominioUn nome a dominio e' costituito da una serie di stringhe separate da punti, ad esempio it.wikipedia.org. A @@ -2198,7 +2407,7 @@ require valid-user
4.2 Tipologie di record
+ "#id49">4.2 Tipologie di recordAd un nome DNS possono corrispondere diversi tipi di informazioni. Per questo motivo, esistono diversi tipi di @@ -2253,7 +2462,7 @@ require valid-user
4.3 Utilizzo
+ "#id50">4.3 UtilizzoI computer vengono identificati in rete grazie agli indirizzi IP, questi pero' non sono comodi per gli @@ -2270,7 +2479,7 @@ PING www.l.google.com (74.125.43.104) 56(84) bytes of data.
4.4 Risoluzione dei nomi di + "#id51">4.4 Risoluzione dei nomi di dominio
Ci sono vari strumenti per interrogare i server DNS e @@ -2335,7 +2544,7 @@ ns4.mydomain.com. 96208 IN A 63.251.83.74
4.5 Dig
+ "#id52">4.5 DigVediamo alcune opzioni utili nell'utilizzo di dig per @@ -2412,7 +2621,7 @@ l.google.com. 80856 IN NS g.l.google.com.
5 DNSmasq
+ "#id53">5 DNSmasqDnsmasq puo' svolgere le funzioni di un DNS cache / forwarder e un server DHCP caratterizzato dalla facilita' di @@ -2451,7 +2660,7 @@ l.google.com. 80856 IN NS g.l.google.com.
6 Samba
+ "#id54">6 SambaSamba e' un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS.
@@ -2472,7 +2681,7 @@ l.google.com. 80856 IN NS g.l.google.com.6.1 Pacchetti
+ "#id55">6.1 PacchettiPacchetti da installare per utilizzare Samba in modalita' client
6.2 Passwords e + "#id56">6.2 Passwords e autenticazione
Per poter configurare Samba in modo che usi un sistema @@ -2586,7 +2795,7 @@ dpkg-reconfigure samba-common
6.3 Creazione Utenti
+ "#id57">6.3 Creazione UtentiCreiamo per primo l'utente sotto GNU/Linux, facendo attenzione a non dargli una shell di sistema. Gli @@ -2623,7 +2832,7 @@ smbpasswd sambo
6.4 Creare la + "#id58">6.4 Creare la condivisione
La condivisione altro non e' che una cartella sul server @@ -2650,7 +2859,7 @@ smbpasswd sambo
6.4.1 Sicurezza: permessi di + "#id59">6.4.1 Sicurezza: permessi di esecuzione sul server
Bisognerebbe notare sul server i permessi di @@ -2680,7 +2889,7 @@ smbpasswd sambo
6.5 Configurazione + "#id60">6.5 Configurazione dell'applicativo Samba vero e proprio.
Avendo preparato gli utenti (ancora una volta: non si @@ -2720,7 +2929,7 @@ smbpasswd sambo
6.6 Testare il Servizio
+ "#id61">6.6 Testare il ServizioCome testare il servizio
@@ -2760,7 +2969,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo7 Firewall
+ "#id62">7 FirewallIn Informatica, nell'ambito delle reti di computer, un firewall (termine inglese dal significato originario di @@ -2810,7 +3019,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.1 Links
+ "#id63">7.1 Links
7.2 Ipfilter
+ "#id64">7.2 IpfilterLink: @@ -2860,7 +3069,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.3 Progettazione di un + "#id65">7.3 Progettazione di un firewall
Per implementare un firewall bisogna decidere un aio di @@ -2869,7 +3078,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.3.1 Collocazione
+ "#id66">7.3.1 CollocazioneDMZ e MZ, internet, intranet, extranet. Frammentazione della rete, decidere se diversi reparti di una azienda si @@ -2901,7 +3110,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.3.2 Policy di default
+ "#id67">7.3.2 Policy di defaultDrop o Accept: conseguenze per sicurezza, facilita' di gestione.
@@ -2909,7 +3118,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo7.3.3 Hardware
+ "#id68">7.3.3 HardwareSostanzialmente potremmo distinquere due tipologie di hardware:
@@ -2937,7 +3146,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo7.4 Percorso dei pacchetti tra + "#id69">7.4 Percorso dei pacchetti tra tabelle e catene
link:
7.5 Concetti di base
+ "#id70">7.5 Concetti di base7.5.1 Tabelle, catene, + "#id71">7.5.1 Tabelle, catene, regole
Iptables lavora su 3 tabelle (tables) di default:
@@ -2978,7 +3187,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo7.5.2 Match
+ "#id72">7.5.2 MatchI Match di una regola (rule) servono a testare un pacchetto per valutare se corrisponda a certe @@ -3030,7 +3239,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.5.3 Targets
+ "#id73">7.5.3 TargetsSe un pacchetto soddisfa le condizioni del Match salta (jump) su uno dei target possibili, in @@ -3159,7 +3368,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.6 Tabella Filter
+ "#id74">7.6 Tabella FilterE' quella implicita e predefinita (-t filter) Riguarda le attività di filtraggio del traffico. Ha 3 catene @@ -3183,7 +3392,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
7.7 Flush automatico per macchine + "#id75">7.7 Flush automatico per macchine remote
Se state provando una configurazione del firewall per @@ -3210,7 +3419,7 @@ at> [CTR+d]
7.8 Gestione regole + "#id76">7.8 Gestione regole (rules)
Il comando iptables viene usato per ogni attività @@ -3278,7 +3487,7 @@ at> [CTR+d]
8 NOTE
+ "#id77">8 NOTE
- controllare apache
diff --git a/source/servizi.txt b/source/servizi.txt index 12a372a..d3aaf4c 100644 --- a/source/servizi.txt +++ b/source/servizi.txt @@ -7,7 +7,7 @@ Appunti sulla installazione e configurazione dei servizi :Author: Andrea Manni :Copyright: GFDL - :Version: 0.4 + :Version: 0.5 Questa guida e' dedicata agli studenti delle lezioni di informatica tenute da Andrea nel lab208. Nella parte iniziale sono presenti alcuni richiami alle impostazioni di rete e di installazione del laboratorio 208 (lab208) dove generalmente si tengono le lezioni. Questi parametri non sono interessanti per chiunque si trovasse al di fuori della rete piffa.net . @@ -24,7 +24,7 @@ Solo per uso interno Impostazioni di base per la configurazione del sistema operativo e della rete nel laboratorio 208 facente parte della rete piffa.net . -Qui riportati per comodita' degli studenti (e del docente che non sara' **mai piu'** costretto a ripeterli! ) +Qui riportati per comodita' degli studenti (e del docente che non sara' **mai piu'** costretto a ripeterli continuamente! ). Gli altri lettori potranno tenerli presenti per cercare di comprendere gli esempi nel testo. Ad esempio: quando leggerete ``10.10.208.254:3128`` saprete che si tratta del nostro *proxy http*, stara' quindi a voi sostituire i dati con gli *ip* della vostra rete. Rete ------ @@ -43,9 +43,10 @@ gateway 10.10.208.250 DNS 10.10.208.254 DNS 10.10.208.250 persistente +proxy http 10.10.208.254:3128 ============= ================ -Sul portatile di Andrea, corrispondente all'ip 254, gira un DHCP, proxy http e mirror di Debian ( http://debian.piffa.net). Se Andrea non e' in aula (o ancora peggio non c'e' il suo portatile Net) gli studenti dovranno darsi un indirizzo ip manualmente e disabilitare il proxy (che pero' e trasparente, quindi fate pure come se non ci fosse ;) . +Sul portatile di Andrea, corrispondente all'ip 254, gira un DHCP, proxy http e mirror di Debian ( http://debian.piffa.net). Se Andrea non e' in aula (o ancora peggio non c'e' il suo portatile Net) gli studenti dovranno darsi un indirizzo ip manualmente e disabilitare il proxy (che pero' e trasparente, quindi fate pure come se non ci fosse ;) . Questo in attesa che si sappia se sara' nuovamente utilizzabile il vecchio server Bender. Bash completion ------------------- @@ -243,6 +244,18 @@ Si tenga conto che se si imposta un proxy per apt sul proprio portatile e tornat Squid ====== +Squid e' un proxy cache http (ma anche FTP e https) robusto e strutturato, puo' essere usato sia in reti relativamente piccole grazie alla semplicita' di configurazione che in scenari piu' complessi grazie alla possibilita' di gestirne in modo granulare le risorse partendo dalle configurazioni piu' semplici per la semplice *condivisione della navigazione* internet, la gestione degli accessi, il filtraggio dei contenuti (Squid e' una applicazione che si muove nel 4' livello del modello TCP/IP a differenza di un *ipfilter* limitato al 2') nel l bilanciamento del carico tra piu' hosts. + +Inoltre svolge la funzione di *anonymizer*: + nasconde i client http alla rete internet: risulta solo il server proxy nei log dei server web frequentati dagli utenti di Squid. + +Cosa a volte sottovalutata, squid permette la navigazione web a una rete basata su *indirizzi ip privati* (es una 192.168.0.0/24). E se la rete privata deve *solo navigare* in internet, non serve un *NAT* od altro, basta il solo Squid. Per altro non servira' neanche un servizio DNS dato che *sara' il solo squid a risolvere i nomi di dominio* per i suoi client http. + +Squid ascolta di default sulla porta 3128, per impostare *apt* per utilizzarlo si aggiunga ad ``/etc/apt/apt.conf`` :: + + Acquire::http::Proxy "10.10.208.254:3128"; + + Per installare Squid si usino i pacchetti:: squid3 @@ -251,9 +264,28 @@ Per installare Squid si usino i pacchetti:: Configurazione: squid.conf ------------------------------- -Segue un estratto del file di configurazione:: +Segue un estratto delle direttive principali viste in aula presenti nel file di configurazione ``/etc/squid3/squid.conf`` . + +Cache_dir +~~~~~~~~~~~~ + +Cache dir serve per impostare dimensione e percorso della cache creata sul supporto di storaggio. Essendo la dimensione di default della cache pari a ``~100 MB`` e' altamente consigliabili aumentare questo parametro se si vuole poter utilizzare la funzione di *cache* http del software. + +La dimensione ovviamente dipendera' dallo spazio disponibile, dimensioni tipiche e massime degli oggetti che si vuole tenere in cache (un solo file *.iso e' circa ``700 MB``, il pacchetto *Openoffice.org* cira ``150 MB``, un pacchetto debian circa ``20 MB``), numero dei client. + +Si presti poi attenzione alla natura dei dati che saranno salvati nella cache: sono tutti dati facilmenti sostituibili (gli originali sono *on-line*) la cui perdita non arreca danni permanenti. Questo rende la cache di Squid un possibile candidato ad un *RAID stripe* (livello 0), con vantaggi sia per le prestazioni (e la velocita' di navigazione e' uno dei motivi per cui si installa Squid) che per l'utilizzo estensivo dello spazio di storaggio. Questo fino al momento in cui per voi non sia piu' importante *garantire la disponibilita' del servizio* (se il RAID stripe dovesse rompersi gli utenti non potrebbero piu' navigare, cosa che per natura dello stripe e' maggiormente probabile rispetto ad un *mirror* o a un filesytem *normale*) con un RAID mirror o 5. + +Altra considerazione: i dati del proxy vengono slavati sul filesytem del server dietro richiesta di utenti esterni talvolta sconosciuti. Come per i servizi di file sharing o per la posta elettronica non c'e' motivo che il filesystem su cui sono ospitati questi dati abbia i privilegi di eseguibilita' o suid (in genere si puo' anche usare *noatime* per renderlo piu' veloce, che si usi o meno il journal dipende dalle preferenze: affidabilita' oppure prestazioni): + +/etc/fstab :: + + ... + # Filesystem per Squid http cache + /dev/md3/ /var/spool/squid/ ext3,noexec,nosuid,noatime 0 3 - #TAG: cache_dir (1628) +Ora possiamo impostare la cache direttamente nel file ``/etc/squid3/squid.conf``:: + + #TAG: cache_dir (riga 1628) # Usage: # # cache_dir Type Directory-Name Fs-specific-data [options] @@ -270,7 +302,7 @@ Segue un estratto del file di configurazione:: # directory primo livello # secondo livello di directory -Se si modifica la struttura del filesytem della cache di Squid, ad esempio variando il numero delle directory, puo' essere (ed in genere lo e') opportuno rigenerare la struttura della cache di squid. Tipicamente e' opportuno cancellare la vecchia cache e poi generarne una nuova:: +Se si modifica la struttura del filesytem della cache di Squid, ad esempio variando il numero delle directory, puo' essere opportuno rigenerare la struttura della cache di squid (per lo meno se si *aumenta il numero delle directory di primo o secondo livello). Tipicamente e' opportuno cancellare (se si ha *ridotto* il numero delle diectory) la vecchia cache e poi generare una nuova struttura. Se si vuole *star nel sicuro* ogni volta che si modifica l'impostazione delle directory *si svuoti la vecchia cache e se ne generi una nuova* :: # /etc/init.d/squid3 stop # rm -r /var/spool/squid3/?? @@ -280,7 +312,7 @@ Se si modifica la struttura del filesytem della cache di Squid, ad esempio varia TAG: maximum_object_size ~~~~~~~~~~~~~~~~~~~~~~~~~~ -Questa direttiva imposta la dimensione massima degli oggetti che vengono slvati sul supporto di storaggio, oggetti di dimensioni superiori verranno scaricati ma non tenuti in cache. +Questa direttiva imposta la dimensione massima degli oggetti che vengono slvati sul supporto di storaggio, oggetti di dimensioni superiori saranno comunque scaricati ma non tenuti in cache. TAG: maximum_object_size (1760):: @@ -303,10 +335,14 @@ TAG: maximum_object_size (1760):: TAG: cache_mem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -*Cache_mem* imposta quanta memoria RAM utilizzare per la cache di Squid. -Questo dipendera' dalla RAM disponibile sul sistema, e da quanta di questa volete mettere a disposizione di Squid. +*Cache_mem* imposta quanta memoria RAM venga utilizzata per la cache di Squid. +Questo dipendera' dalla RAM disponibile sul sistema, e da quanta di questa volete mettere a disposizione di Squid (altri servizi iimportanti girano sulla stessa macchina?). Questo paramentro influisce sulle prestazioni e sul degrado dei supporti di storaggio (sopratutto se magnetici). +Se si stesse pensando di usare dell'hardware *embedded* a basse prestazioni / consumo per realizzare un server gateway / NAT / Squid si tenga presente che Squid e' relativamente esoso di risorse: avra' bisogno di una macchina con ``~25MB`` (MegaByte) di RAM e *~150MHZ di CPU ARM* per servire decorosamente una decina di client http su una rete ethernet 10/100. In questo caso non fate scendere ``cache_mem`` sotto i ``2/4 MB`` pena un accesso continuo al supporto di storaggio. + +Se invece si disponesse di una macchina dedicata a Squid con gigabytes di RAM non si esiti a dedicarne buona parte a *cache_mem*. + TAG: cache_mem (1566):: # 'cache_mem' specifies the ideal amount of memory to be used @@ -322,7 +358,7 @@ TAG: cache_mem (1566):: TAG: minimum_object_size ~~~~~~~~~~~~~~~~~~~~~~~~~~ -Questo paramentro imposta la dimensione minima degli oggetti salvati nella cache. Settato a ``0`` o a valori molto piccoli puo' influire negativamente sulla deframmentazione del filesytem e consumare un numero elevato di *inode*. +Questo parametro imposta la dimensione minima degli oggetti salvati nella cache. Settato a ``0`` o a valori molto piccoli puo' influire negativamente sulla deframmentazione del filesytem e consumare un numero elevato di *inode* (cosa non piu' importante con ext4 o altri filesytem). TAG: minimum_object_size:: @@ -338,7 +374,23 @@ TAG: minimum_object_size:: Negoziazione degli accesi al servizio --------------------------------------- -Squid e' uno di quei servizi soggetto a problemi di tipo *open relay*, si deve quindi limitare la rete che puo' accedere al servizio. +Squid e' uno di quei servizi soggetto a problemi di tipo *open relay* , si deve quindi limitare la rete che puo' accedere al servizio. + +Open Relay: + Un servizio a cui possono accedere tutti indiscriminatamente. + La cosa puo' andare bene per servizi come i server web, che aspirano per loro natura + al maggior numero possibile di utenti, ma non a servizi come i proxy http oppure + ai server di posta elettronica (che permetterebbero l'invio di SPAM). + +Generalmente non volete che il vostro proxy http venga usato da persone sconosciute le quali sostanzialmente *navigherebbero sotto l'identita' del vostro proxy* (probabilmente per visionare materiali che non vorrebbero fossero ricondotti direttamente a loro, per motivi che sta a voi prendere in considerazione) consumando traffico e banda della vostra connessione a internet. Tenere Squid in modalita' *Open relay* e' al giorno d'oggi un buon modo per essere inseriti in una *black list*. + +Per poter limitare gli accessi a Squid dal punto di vista dell'applicazione (quarto livello TCP/IP) si identifichera' inizialmente l'entita' *rete locale* (es: ``localnet``) con una ACL di tipo *src* (indirizi IP sorgenti) indicando la *classe / range di ip* della nostra rete. + + Dopodiche l'accesso (``http_access``) si concedera' (*allow*) a questa entita' (es: ``localnet``) negando chiunque altro. + +Per maggiori dettagli sulla sintassi utilizzabile per esprimere i range di ip: +http://www.visolve.com/squid/squid24s1/access_controls.php + ACL e http access ~~~~~~~~~~~~~~~~~~~~~ @@ -366,6 +418,7 @@ Si proceda a creare una ``ACL`` di tipo ``src`` per identificare la lostra rete #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network # acl localnet src 10.10.208.0/24 + # Riga 606 # TAG: http_access # Allowing or Denying access based on defined access lists @@ -393,8 +446,8 @@ Testare Squid Configurato squid e' fondamentale testarne il corretto funzionamento per assicurarsi di non aver creato un *open-relay*. Per fare dei test significativi serve utilizzare degli host remoti: ci si connetta via ssh a questi per poi utilizzare ``wget`` da riga di comando. -wgetrc -~~~~~~~~~ +Client: ~/.wgetrc +~~~~~~~~~~~~~~~~~~~ Nel file ``.wgetrc`` (si noti il punto iniziale: e' un file nascosto) si puo' impostare il proxy per wget. Si utililizzi l'indirizzo ip del server che si vuole testare, e si seguano i log ``/var/log/squid3/access.log`` sul server. @@ -407,10 +460,15 @@ Si proceda a scaricare dal client scelto con un wget:: wget http://www.google.it +Server: access.log +~~~~~~~~~~~~~~~~~~~~~ + Si puo' controllare il corretto funzionamento del server seguendo i log di accesso a Squid:: # tail -f /var/log/squid3/access.log +In oltre e' possibile configurare diversi *analizzatori di log* come ``Webalizer`` per studiare i log di Squid. + Apache ========