Konfigurasi Squid untuk membatasi hak akses Internet agar hanya dapat digunakan oleh komputer dengan nomor IP tertentu.
Studi Kasus :
Misalkan di suatu PT XYZ terdapat tiga buah divisi. Sebut saja divisi perusahaan tersebut dengan DivisiA, DivisiB, dan DivisiC.
1. PT XYZ ingin agar DivisiA dan DivisiB memiliki hak akses ke Internet.
2. PT XYZ ingin agar DivisiC tidak memiliki hak akses ke Internet.
3. Komputer salah seorang staf yang ada di divisi C, yang memiliki IP 192.168.0.130 dibolehkan memiliki hak akses ke Internet.
Untuk memenuhi persyaratan tersebut, cobalah untuk mengedit fi le squid.conf, seperti di bawah ini :
# vi squid.conf
# port (bagian ini berisikan port yang akan digunakan oleh squid)
http_port 3128
icp_port 3130
tcp_outgoing_address 0.0.0.0
udp_incoming_address 0.0.0.0
udp_outgoing_address 0.0.0.0
# cache_peer (bagian ini berisikan hubungan proxy server yang ada dilokal ke server # proxy lainnya. Hubungan ini terdiri atas dua jenis yaitu parent dan sibling).
# Sesuaikan atau tanyakan alamat cache_peer ini sesuai dengan ISP yg anda gunakan.
cache_peer proxies.telkom.net.id
parent 8080 3130 default
cache_peer proxy-sby.telkom.net.
id sibling 8080 3130 round-robin
# memory (bagian ini berisikan besarnya memori yang akan digunakan oleh squid
# untuk menyimpan in transit object dan hot object).
# Besar angka yang aman dipakai adalah ¼ dari jumlah memori yang ada.
cache_mem 32 MB
# direktori (bagian ini berisikan tentang direktori yang akan digunakan sebagai tempat penyimpanan cache/ objek website squid).
# Maksud perintah dibawah ini adalah : pertama jenis file system yang dipakai adalah ufs, lalu /cache adalah nama direktorinya. Ukuran cache sebesar 1000 MB, lalu 16 dan 256 adalah jumlah direktori yang terdapat di dalam /cache pada level 1 dan 2.
cache_dir ufs /cache 1000 16 256
# log (bagian ini berisikan tentang lokasi file log yang akan digunakan squid).
cache_access_log /var/log/squid/
access.log
cache_log /var/log/squid/cache.
log
cache_store_log /var/log/squid/
store.log
client_netmask 255.255.255.0
unlinkd_program /usr/lib/squid/
unlinkd
#refresh pattern
refresh_pattern ^ftp: 1440
20% 10080
refresh_pattern ^gopher: 1440
0% 1440
refresh_pattern . 0
20% 4320
# acl definisi (bagian ini berisikan batasan-batasan yang akan dilakukan oleh server squid).
# Dan bagian ini adalah inti dari penerapan kebijakan yang ada di proxy server
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.
255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443
563 70 210 1025-65535
acl Safe_ports port 280
# http-mgmt
acl Safe_ports port 488
# gss-http
acl Safe_ports port 591
# filemaker
acl Safe_ports port 777
# multiling http
acl CONNECT method CONNECT
acl divisia src 192.168.0.20-
192.168.0.60/255.255.255.255
acl divisib src 192.168.0.61-
192.168.0.100/255.255.255.255
acl divisic src 192.168.0.101-
192.168.0.140/255.255.255.255
acl udinc src 192.168.0.130/255.
255.255.255
# rule (bagian ini berisikan keterangan untuk membiarkan atau menolak bagian acl
# yang telah dibuat).
http_access allow manager
http_access allow localhost
http access allow udinc
http_access allow divisia
http_access allow divisib
http_access deny divisic
http_access deny !Safe_ports
http_access deny CONNECT !SSL_
ports
http_access deny all
#http_reply_access
http_reply_access allow all
# icp access
icp_access allow all
# display message
cache_mgr supriyanto@infolinux.
co.id
cache_effective_user squid
cache_effective_group squid
visible_hostname infolinux.co.id
Setelah itu Save, dan restart service squid untuk melihat perubahan yang telah dilakukan.
# service squid restart
Sekarang coba tes, apakah setting-an yang telah anda simpan telah berhasil. Caranya, masukkan dahulu setting HTTP proxy dan portnya di web browser user Divisi C. Di Mozilla Firefox Anda bisa mensetting-nya dari menu Edit, Preferences. Di Tab General, klik Connection Settings. Isikan HTTP Proxy dan Port-nya, sesuai dengan IP server proxy Anda dan port proxy yang digunakan.
Jika komputer dengan IP divisi C kecuali komputer yang memiliki IP 192.168.0.30 tidak bisa membuka halaman situs, berarti langkah-langkah yang anda lakukan sudah benar. Coba juga di salah satu user yang ada di DivisiA atau DivisiB, jika user ini bisa membuka halaman situs berarti tidak ada masalah pada konfi gurasi squid yang telah dibuat, atau dengan kata lain Anda telah berhasil men-setting squid untuk kasus pertama.
Misalkan di suatu PT XYZ terdapat tiga buah divisi. Sebut saja divisi perusahaan tersebut dengan DivisiA, DivisiB, dan DivisiC.
- DivisiA memiliki IP range antara 192.168.0.20 – 192.168.0.60
- DivisiB memiliki IP range antara 192.168.0.61 – 192.168.0.100
- DivisiC memiliki IP range antara 192.168.0.101 – 192.168.0.140
1. PT XYZ ingin agar DivisiA dan DivisiB memiliki hak akses ke Internet.
2. PT XYZ ingin agar DivisiC tidak memiliki hak akses ke Internet.
3. Komputer salah seorang staf yang ada di divisi C, yang memiliki IP 192.168.0.130 dibolehkan memiliki hak akses ke Internet.
Untuk memenuhi persyaratan tersebut, cobalah untuk mengedit fi le squid.conf, seperti di bawah ini :
# vi squid.conf
# port (bagian ini berisikan port yang akan digunakan oleh squid)
http_port 3128
icp_port 3130
tcp_outgoing_address 0.0.0.0
udp_incoming_address 0.0.0.0
udp_outgoing_address 0.0.0.0
# cache_peer (bagian ini berisikan hubungan proxy server yang ada dilokal ke server # proxy lainnya. Hubungan ini terdiri atas dua jenis yaitu parent dan sibling).
# Sesuaikan atau tanyakan alamat cache_peer ini sesuai dengan ISP yg anda gunakan.
cache_peer proxies.telkom.net.id
parent 8080 3130 default
cache_peer proxy-sby.telkom.net.
id sibling 8080 3130 round-robin
# memory (bagian ini berisikan besarnya memori yang akan digunakan oleh squid
# untuk menyimpan in transit object dan hot object).
# Besar angka yang aman dipakai adalah ¼ dari jumlah memori yang ada.
cache_mem 32 MB
# direktori (bagian ini berisikan tentang direktori yang akan digunakan sebagai tempat penyimpanan cache/ objek website squid).
# Maksud perintah dibawah ini adalah : pertama jenis file system yang dipakai adalah ufs, lalu /cache adalah nama direktorinya. Ukuran cache sebesar 1000 MB, lalu 16 dan 256 adalah jumlah direktori yang terdapat di dalam /cache pada level 1 dan 2.
cache_dir ufs /cache 1000 16 256
# log (bagian ini berisikan tentang lokasi file log yang akan digunakan squid).
cache_access_log /var/log/squid/
access.log
cache_log /var/log/squid/cache.
log
cache_store_log /var/log/squid/
store.log
client_netmask 255.255.255.0
unlinkd_program /usr/lib/squid/
unlinkd
#refresh pattern
refresh_pattern ^ftp: 1440
20% 10080
refresh_pattern ^gopher: 1440
0% 1440
refresh_pattern . 0
20% 4320
# acl definisi (bagian ini berisikan batasan-batasan yang akan dilakukan oleh server squid).
# Dan bagian ini adalah inti dari penerapan kebijakan yang ada di proxy server
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.
255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443
563 70 210 1025-65535
acl Safe_ports port 280
# http-mgmt
acl Safe_ports port 488
# gss-http
acl Safe_ports port 591
# filemaker
acl Safe_ports port 777
# multiling http
acl CONNECT method CONNECT
acl divisia src 192.168.0.20-
192.168.0.60/255.255.255.255
acl divisib src 192.168.0.61-
192.168.0.100/255.255.255.255
acl divisic src 192.168.0.101-
192.168.0.140/255.255.255.255
acl udinc src 192.168.0.130/255.
255.255.255
# rule (bagian ini berisikan keterangan untuk membiarkan atau menolak bagian acl
# yang telah dibuat).
http_access allow manager
http_access allow localhost
http access allow udinc
http_access allow divisia
http_access allow divisib
http_access deny divisic
http_access deny !Safe_ports
http_access deny CONNECT !SSL_
ports
http_access deny all
#http_reply_access
http_reply_access allow all
# icp access
icp_access allow all
# display message
cache_mgr supriyanto@infolinux.
co.id
cache_effective_user squid
cache_effective_group squid
visible_hostname infolinux.co.id
Setelah itu Save, dan restart service squid untuk melihat perubahan yang telah dilakukan.
# service squid restart
Sekarang coba tes, apakah setting-an yang telah anda simpan telah berhasil. Caranya, masukkan dahulu setting HTTP proxy dan portnya di web browser user Divisi C. Di Mozilla Firefox Anda bisa mensetting-nya dari menu Edit, Preferences. Di Tab General, klik Connection Settings. Isikan HTTP Proxy dan Port-nya, sesuai dengan IP server proxy Anda dan port proxy yang digunakan.
Jika komputer dengan IP divisi C kecuali komputer yang memiliki IP 192.168.0.30 tidak bisa membuka halaman situs, berarti langkah-langkah yang anda lakukan sudah benar. Coba juga di salah satu user yang ada di DivisiA atau DivisiB, jika user ini bisa membuka halaman situs berarti tidak ada masalah pada konfi gurasi squid yang telah dibuat, atau dengan kata lain Anda telah berhasil men-setting squid untuk kasus pertama.
0 komentar:
Posting Komentar