Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:proxy_labor [02.12.2013 16:23] – richard
+++ lager:oeff_netze:proxy_labor [04.02.2025 12:09] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
 ====== Proxy-Laborübung ======
 ===== Überblick =====
+Die folgende Abbildung zeigt den prinzipiellen Laboraufbau für die Proxy-Übung.
+{{ :lager:oeff_netze:bilder:w13-proxy_laboraufbau_skizze_13-10-21.jpg | Laboraufbau Proxy}}
 Die Übung wird u.a. auf virtuellen Ubuntu Maschine durchgeführt. Insbesondere der Proxy selbst wird virtualisiert betrieben.
@@ Zeile 14: / Zeile 18: @@
 Die Default-Konfiguration findet standardmäßig in ''/etc/squid/squid.conf'' statt. Der squid-Server wird mittels der folgenden Befehle gestartet bzw. gestoppt.
-<code>sudo service squid [start|stop|--full-restart]</code>
+<code>sudo service squid3 [start|stop|--full-restart]</code>
 ACHTUNG: Es kann immer nur einer der Befehle in den eckigen Klammern verwendet werden!
 Wenn eine eigene Konfiguration statt der ''default-config'' verwendet werden soll, so kann dies ''squid'' mittels des Parameters ''-f'' mitgeteilt werden.
-<code>sudo squid -f /PFAD/squid.conf</code>
+<code>sudo squid3 -f /PFAD/squid.conf</code>
 Alternativ kann der Proxy auch im Vordergrund ''-N'' gestartet werden und mit ''-d'' der Debug-Level eingestellt werden.
-<code>sudo squid -N -d 1</code>
+<code>sudo squid3 -N -d 1</code>
 ===== Weiterführende Informationen zu squid: =====
@@ Zeile 41: / Zeile 45: @@
 cache_access_log /PFAD/logs/access.log
 cache_log /PFAD/logs/cache.log
+# Zugriffe mit loggen
+access_log /var/log/squid3/access.log squid
 # Einfach Access-Regeln
-# Alle anderen Quellen (all) dürfen alles
+# Alle anderen Quellen aus dem angegebenen Netz dürfen alles
-acl all src 0/0
+acl localnet src 192.168.0.0/16
-http_access allow all
+http_access allow localnet
+</file>
+<file shell squid_medium.conf>
+http_port 192.168.16.202:8080
+access_log /var/log/squid3/access.log squid
+cache_peer 192.168.16.91 parent 3128 0 no-query default
+client_netmask 255.255.0.0
+acl SSL method CONNECT
+never_direct allow SSL
+acl no_access src 192.168.16.101
+http_access deny no_access
+#acl bad_sites url_regex -i "/etc/squid3/bad_sites"
+acl bad_sites url_regex -i kopfload.de google.de
+http_access deny bad_sites
+acl localnet src 192.168.0.0/16
+http_access allow localnet
 </file>
@@ Zeile 86: / Zeile 116: @@
 via on
-# Vorgelagerter Proxy (Schulproxy)
+# Vorgelagerter Proxy (Master-Proxy)
 #  TAG: cache_peer
 #                                        proxy  icp
 #          hostname             type     port   port  options
-cache_peer IP_ADRESSE       parent    80  0  no-query default
+cache_peer IP_ADDR_MASTER       parent    80  0  no-query default
 # DNS-Server
@@ Zeile 98: / Zeile 128: @@
 pid_filename /var/run/squid.pid
 # Deutsche Fehlermeldungen
-error_directory /usr/share/squid/errors/de
+error_directory /usr/share/squid3/errors/de
 # ACL Access Control List
@@ Zeile 113: / Zeile 143: @@
 # Alternative Proxys blocken
 acl anon-prox-sites url_regex -i "/squid3/blocked/keywords"
-http_acces deny anon-prox-sites
+http_access deny anon-prox-sites
 # https Anfragen nicht selbst beantworten, sondern über parent (Schul) Proxy laufen lassen
@@ Zeile 140: / Zeile 170: @@
 <code>tail -f /PFAD/logs/access.log</code>
-Der Pfad muss demjenigen entsprechen, den Sie in der Konfiguration vorgegeben haben.
+Der Pfad muss demjenigen entsprechen, den Sie in der Konfiguration unter ''access_log'' vorgegeben haben.
+Setzen Sie sich mit den Angaben im ''access.log'' auseinander.
+**Warum taucht ''TCP_MISS/200'' in den Zeilen auf? Wie kommt es, dass der Proxy MISS angibt, obwohl die Seite ausgeliefert wurde?**
 ===== Aufgabe 2 =====
@@ Zeile 147: / Zeile 181: @@
   * Es sollen nur Maschinen aus dem vorher definierten IP-Bereich zugreifen.
   * Es sollen bestimmte URLs nicht erreichbar sein. Hier soll statt dessen eine Hinweis-Seite erscheinen
+  * Es soll nur EINE bestimmte Maschinen (ZIEL) erreichbar sein.
+Betrachten Sie dazu die TAGs ''acl'' und ''http_access'' mit den dazugehörigen Parametern
+===== Zusatzaufgabe =====
+  - Schalten Sie zwei Proxy hintereinander. Betrachten Sie dazu den Parameter ''cache_peer''.
+  - Ändern Sie die Fehlermeldungen, die der Proxy liefert. Betrachten Sie dazu den Parameter ''error_directory''.
+===== Einrichten der VM =====
+/etc/apt/apt.conf
+<code>
+Acquire::http::proxy "http://raumserver:3128/";
+Acquire::https::proxy "https://raumserver:3128/";
+Acquire::ftp::proxy "ftp://raumserver:3128/";
+Acquire::socks::proxy "socks://raumserver:3128/";
+</code>
+/etc/apt/sources.list
+<code>
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty main restricted
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates main restricted
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates main restricted
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty universe
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty universe
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates universe
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates universe
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty multiverse
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty multiverse
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates multiverse
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-updates multiverse
+deb http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-backports main restricted universe multiverse
+deb-src http://ftp.halifax.rwth-aachen.de/ubuntu/ trusty-backports main restricted universe multiverse
+</code>