Questo file contiene le opzioni di apt, come ad esempio il proxy::
- Acquire::http::Proxy "http://10.10.208.254:3128"
+ Acquire::http::Proxy "http://10.10.208.254:3128";
Si tenga conto che se si imposta un proxy per apt sul proprio portatile e tornati a casa propria si vuole scaricare nuovi pacchetti si dovra' disabilitare il proxy.
Squid
======
+Per installare Squid si usino i pacchetti::
+
+ squid3
+
+
+Configurazione: squid.conf
+-------------------------------
+
+Segue un estratto del file di configurazione::
+
+ #TAG: cache_dir (1628)
+ # Usage:
+ #
+ # cache_dir Type Directory-Name Fs-specific-data [options]
+ #
+ # You can specify multiple cache_dir lines to spread the
+ # cache among different disk partitions.
+ # ...
+ #Default:
+ # cache_dir ufs /var/spool/squid3 100 16 256
+ cache_dir aufs /var/spool/squid3 300 24 256
+ # algoritmo
+ # path della cache
+ # dimensione in MB
+ # directory primo livello
+ # secondo livello di directory
+
+Se si modifica la struttura del filesytem della cache di Squid, ad esempio variando il numero delle directory, puo' essere (ed in genere lo e') opportuno rigenerare la struttura della cache di squid. Tipicamente e' opportuno cancellare la vecchia cache e poi generarne una nuova::
+
+ # /etc/init.d/squid3 stop
+ # rm -r /var/spool/squid3/??
+ # squid3 -z
+ # /etc/init.d/squid3 start
+
+TAG: maximum_object_size
+~~~~~~~~~~~~~~~~~~~~~~~~~~
+
+Questa direttiva imposta la dimensione massima degli oggetti che vengono slvati sul supporto di storaggio, oggetti di dimensioni superiori verranno scaricati ma non tenuti in cache.
+
+TAG: maximum_object_size (1760)::
+
+ # TAG: maximum_object_size (1760)
+ # Objects larger than this size will NOT be saved on disk. The
+ # value is specified in kilobytes, and the default is 4MB. If
+ # you wish to get a high BYTES hit ratio, you should probably
+ # increase this (one 32 MB object hit counts for 3200 10KB
+ # hits). If you wish to increase speed more than your want to
+ # save bandwidth you should leave this low.
+ #
+ # NOTE: if using the LFUDA replacement policy you should increase
+ # this value to maximize the byte hit rate improvement of LFUDA!
+ # See replacement_policy below for a discussion of this policy.
+ #
+ #Default:
+ # maximum_object_size 4096 KB
+ maximum_object_size 150 MB
+
+TAG: cache_mem
+~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+
+*Cache_mem* imposta quanta memoria RAM utilizzare per la cache di Squid.
+Questo dipendera' dalla RAM disponibile sul sistema, e da quanta di questa volete mettere a disposizione di Squid.
+Questo paramentro influisce sulle prestazioni e sul degrado dei supporti di storaggio (sopratutto se magnetici).
+
+TAG: cache_mem (1566)::
+
+ # 'cache_mem' specifies the ideal amount of memory to be used
+ # for:
+ # * In-Transit objects
+ # * Hot Objects
+ # * Negative-Cached objects
+ #Default:
+ # cache_mem 8 M
+ cache_mem 100 M
+
+
+TAG: minimum_object_size
+~~~~~~~~~~~~~~~~~~~~~~~~~~
+
+Questo paramentro imposta la dimensione minima degli oggetti salvati nella cache. Settato a ``0`` o a valori molto piccoli puo' influire negativamente sulla deframmentazione del filesytem e consumare un numero elevato di *inode*.
+
+TAG: minimum_object_size::
+
+ # TAG: minimum_object_size (bytes)
+ # Objects smaller than this size will NOT be saved on disk. The
+ # value is specified in kilobytes, and the default is 0 KB, which
+ # means there is no minimum.
+ #
+ #Default:
+ # minimum_object_size 0 KB
+ minimum_object_size 0 KB
+
+Negoziazione degli accesi al servizio
+---------------------------------------
+
+Squid e' uno di quei servizi soggetto a problemi di tipo *open relay*, si deve quindi limitare la rete che puo' accedere al servizio.
+
+ACL e http access
+~~~~~~~~~~~~~~~~~~~~~
+Si proceda a creare una ``ACL`` di tipo ``src`` per identificare la lostra rete locale, poi si abiliti l'accesso a questa con la direttiva ``http_access``. Tutto quanto non e' espressamente autorizzato viene poi negato da un ``http_access deny all`` finale.
+
+::
+
+ # TAG: acl
+ # Defining an Access List
+ #
+ # Every access list definition must begin with an aclname and acltype,
+ # followed by either type-specific arguments or a quoted filename that
+ # they are read from.
+ # ...
+ # ***** ACL TYPES AVAILABLE *****
+ #
+ # acl aclname src ip-address/netmask ... # clients IP address
+ # riga 588
+
+ # Example rule allowing access from your local networks.
+ # Adapt to list your (internal) IP networks from where browsing
+ # should be allowed
+ #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
+ #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
+ #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
+ #
+ acl localnet src 10.10.208.0/24
+ # Riga 606
+ # TAG: http_access
+ # Allowing or Denying access based on defined access lists
+ #
+ # Access to the HTTP port:
+ # http_access allow|deny [!]aclname ...
+ #
+ # NOTE on default values:
+ #
+ # If there are no "access" lines present, the default is to deny
+ # the request.
+
+ # Riga 643
+ # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
+
+ # Example rule allowing access from your local networks.
+ # Adapt localnet in the ACL section to list your (internal) IP networks
+ # from where browsing should be allowed
+ #http_access allow localnet
+ http_access allow localnet
+
+Testare Squid
+---------------
+
+Configurato squid e' fondamentale testarne il corretto funzionamento per assicurarsi di non aver creato un *open-relay*. Per fare dei test significativi serve utilizzare degli host remoti: ci si connetta via ssh a questi per poi utilizzare ``wget`` da riga di comando.
+
+
+wgetrc
+~~~~~~~~~
+
+Nel file ``.wgetrc`` (si noti il punto iniziale: e' un file nascosto) si puo' impostare il proxy per wget. Si utililizzi l'indirizzo ip del server che si vuole testare, e si seguano i log ``/var/log/squid3/access.log`` sul server.
+
+Da notare che la prova va' fatta su una macchina della rete che si vuole testare, non da *localhost*. Per altro se si utilizzasse *direttamente* ``localhost`` non si testerebbe la *ACL* predisposta, dato che si si rientrerebbe nella ACL (pre-configurata di default) ``localhost``.
+
+.wgetrc
+ http_proxy=10.10.208.178:3128
+
+Si proceda a scaricare dal client scelto con un wget::
+
+ wget http://www.google.it
+
+Si puo' controllare il corretto funzionamento del server seguendo i log di accesso a Squid::
+
+ # tail -f /var/log/squid3/access.log
+
+
Apache
========
Esempio per permettere ad un pacchetto con IP sorgente 10.0.0.4 di raggiungere il server 192.168.0.1 attraversando il firewall:
iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1 -j ACCEPT
+Flush automatico per macchine remote
+---------------------------------------
+
+Se state provando una configurazione del firewall per una macchina remota e' buona norma per evitare brutte figure attivare uno script che faccia il *flush* delle regole dopo qualche minuto. Potreste infatti inavvertitamente impostare una regola che vi impedisca di raggiungere la macchina remota, cosi' da non poter neanche eliminare quella regola e ripristinare la situazioe precedente.
+
+*Veramnete*, prima di lavorare sul firewall di una macchina remota inpostate almeno un ``at now +5 min`` o con un'oretta di margine per fare il *flush* delle regole (su tutte le tabelle)::
+
+ at now +5 min
+ at> /sbin/iptables -F
+ at> [CTR+d]
projects / doc / .git / blobdiff