Téma: | Proxy szerver kialakítása NethServer Linux rendszeren. Az internetmegosztás korlátozásai. |
---|---|
A munka célja: | Elsajátítani a proxy szerver beállításának alapjait. Megismerkedni a listákon alapuló tartalomszűréssel és más internetkorlátozásokkal |
Elméleti ismeretek: | proxy server, squid, gyorsítótár, port, DNS, alias, tűzfal, NAT, blacklist |
Szükséges eszközök és programok: | Oracle VirtualBox futtatására alkalmas számítógép (>= 4 G RAM) és operációs rendszer, telepített NethServer Linux operációs rendszer, Internet kapcsolat |
Név:
Dátum, idő:
Számítógép:
Indítsa el a szövegszerkesztő programot. Másolja a laboratóriumi munka teljes szövegét majd illessze be a dokumentumba.
Indítsa el a VirtualBox programot, benne a NethServer Linux és az XP1 operációs rendszereket. Az XP1-n futtatott böngészőben jelentkezzen be az adminisztrációs felületre IP címmel, vagy névvel: https://sr1.suli.lan:980/
Telepítse a Web proxy és a Web filter modulokat.
Nyissa meg a Web proxy / Cache ablakot. Kapcsolja be a Disk cache-t. A mérete 1000 Mb, a min. object size 2 kB, a max pedig 4096 legyen. Érvényesítse a beállításokat: Submit
A Proxy fülön kapcsolja be a szolgáltatást és a green zónának állítson be kézi (Manual) beállítást. A Block HTTP and HTTPS kapcsolót engedélyezze. Érvényesítse a beállításokat: Submit
A böngészőben ellenőrizze, hogy alapbeállításokkal az Internet nem érhető el. (Windowsban alapértelmezett az automatikus proxybeállítás, a beépített böngésző letölti a wpad.dat fájlt és az tartalmazza a proxy beállításokat). Állítsa be a Firefox böngészőt a képen látható módon: és ellenőrizze az Internet működését.
XP1 gépen indítsa el a putty.exe programot. Indítsa el és kapcsolódjon segítségével az ssh porton a NethServer kiszolgálóhoz. Host name: sr1 (vagy teljes név sr1.suli.lan, vagy IP cím: 192.168.21.1). Bejelentkezéshez a root felhasználónevet és a megadott jelszót használja.
Listázza ki a putty-ban a wpad.dat fájlt.
cat /var/www/html/wpad.dat
Ez a fájl az automatikus proxybeállítást valósítja meg. A legtöbb böngészőprogram (amennyiben be van állítva ez a funkció) induláskor megpróbálja letölteni ezt a fájlt a wpad nevű gépről a http protokollt használva:
Alapértelmezés szerint a Windows kliens operációs rendszerek is alkalmazzák ezt a funkciót.
Adja ki a következő parancsot:
tail -f /var/log/squid/access.log
és figyelje meg a megjelenő sorokat böngészés közben. (ctrl+c megszakítás)
Az első oszlop idő értékét alakítsa át hagyományos formátumra:
tail -f /var/log/squid/access.log | perl -pe 's/\d+/localtime($&)/e'
A tűzfal szabályok közül listázza ki azokat a sorokat, amelyek a tartalmazzák a 80 szamot:
iptables-save | grep 80
A megjelenő sorok közül jelölje ki azt, amelyik tiltja a proxy megkerülését. Készítsen képet az ablakról és illessze be a dokumentumba.
Figyelje meg a webszerver logját:
tail -f /var/log/httpd/access_log
A firefoxban kapcsolja át a beállításokat: Proxybeállítások automatikus felismerése a hálózatban. Figyelje meg a log-ban, hogy a webszerverhez fordul és letölti a wpad.dat fájlt.
Indítsa el az mc programot és vizsgálja meg a Squid proxy kiszolgáló konfigurációs állományának sorait:
/etc/squid/squid.conf
Nyissa meg a Web content filter ablak Blacklists részét. Válassza a Toulouse egyetem ingyenes listáját és a Save and download kapcsolót. (az UrlBlacklist adatbázisa sokkal nagyobb de a letöltése hosszadalmas)
A Filters részben módosítsa az alapértelmezett (default) filtert: Edit. A kategóriákból jelölje ki a következőket:
Adult Agressif Dangerous_material Gambling Hacking Warez
Ellenőrizze, hogy a Mindent engedélyez, kijelölteket tiltja (Allow all, block selected content) kapcsoló aktív. Kapcsolja be a „Block porn sites by regular expressions on URL” kapcsolót. Érvényesítse a beállításokat: Submit.
Kapcsolja be a szűrést General ablakban „Enable filter” és kapcsolja be „Enable expression…” kapcsolót is. Érvényesítse a beállításokat: Submit.
A globális fehérlistához adja hozzá magát a kiszolgálót: Global whitelist, Add allowed domain, megadni az sr1.suli.lan címet és a jobb oldali mentés gombra kattintani,
Indítsa el az mc programot és vizsgálja meg az /etc/squid/squidGuard.conf állományt. Figyelje meg a dbhome kezdetű sort, ami a feketelisták könyvtárát adja meg.
A /var/squidGuard/blacklists/hacking fájlból valamelyik webcímet írja a böngészőbe és figyelje meg a tiltás érvényre jutását. Készítsen képet az ablakról és illessze be a dokumentumba.
Figyelje meg az /etc/squid/squidGuard.conf fájl dest.. részeit és az acl részt:
Hozzon létre sajat neven új kategóriát (Custom categories) és a Domains listába vegyen fel tetszőleges weboldalakat. Pl. tiltottoldal.uz.ua
A Filters részben kapcsolja be az uj Sajat kategóriát. Ellenőrizze az oldal elérhetőségét böngészőben. Készítsen képet a böngésző ablakáról és illessze be a dokumentumba.
Oldja meg az infotermek IP tartományra, hogy semmilyen porton se történjen csomagok továbbítása (pl ne legyenek elérhetők a p2p és más szolgáltatások. Új Firewall rule:
Action: Drop
Source: IP range infotermek
Destination: Role red
Service: Any
Description: tilt-nat
Érvényesítse a beállításokat: APPLY CHANGES
Ellenőrizze a tűzfal szabály létrejöttét:
iptables-save | grep tilt
és működését. Ehhez az XP gép az infotermek tartományból majd azon kívül kap címet: DHCP / IP reservation, itt megadni a kívánt IP címet. Az új cím az XP-n hálózati csatoló tiltása/engedélyezése vagy az ipconfig /renew paranccsal érhető el.
Érje el a proxy szerver konfigurálásával, hogy az info1 teremben minden hétköznap az első órán csak megadott weboldalak legyenek elérhetők. Más időszakban az eddig beállított szabályok legyenek érvényben.
Vizsgálja meg a /etc/squid/squidGuard.conf fájl változásait, az időszak és az új szabály meghatározásait.
Ellenőrizze a szabály működését az XP IP címét és az időszakot változtatva.
Hogyan oldaná meg, hogy a hétfőn 8:00-12:00 között közösségi oldalak (social_networks) ne legyenek elérhetők az info2 teremben? A megoldás lépéseit írja a dokumentumba (hasonlóan, mint a 12. feladatban le van írva) és a fontosabb lépésekről készítsen képet is.
Mentse a dokumentumot Lab12-MONOGRAM.odt néven.
Küldjön emailt a pferi@kmf.uz.ua címre. A levél tárgya legyen Saját Név LAB12 tartalma pedig a következő:
<Saját Név> jelen nyilatkozatom elküldésével kijelentem, hogy ezt a feladat önálló munkám, annak elkészítése során az önálló munka kitétel tekintetében a feladatot kiadó és az azt ellenőrző oktatót nem tévesztettem meg. Jelen nyilatkozat elküldésével tudomásul veszem, hogy amennyiben a feladatot nem magam készítettem, a tárgy oktatója befogadását és a félév aláírását megtagadja.
A levélhez csatolja a dokumentumot.
<- Vissza