L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [05/11/2014 17:12]
martinux_qc [Configuration de squid comme proxy transparent]
+++ utilisateurs:hypathie:tutos:proxy-transparent [15/11/2014 12:57]
Hypathie supprimée
@@ Ligne 7: / Ligne 7: @@
 ===== Introduction =====
-Voir : [[http://www.squid-cache.org/|le site de squid]]\\
+Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration.\\ On parle alors de « proxy transparent ».\\ Cette configuration est obtenue par translation d'adresse IP.
-[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]\\
-Voir aussi : [[http://www.sput.nl/software/squid33.html]]\\
-[[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]]
+<code>
+|BOX_adsl|________(192.168.0.1:eth0)-|ROUTEUR-DEBIAN-(eth1:192.168.1.1)
+  |                                  |PROXY         |
+  |                                                 |
+sous-réseau A                                 sous-réseau B
+  |                                                 |
+  |_CLIENT-A1 (eth0:192.168.0.10)                   |_CLIENT-B1 (eth0:192.168.1.3)
+  |_CLIENT-AX (eth0:192.168.0.xx)                   |_CLIENT-BX (eth0:192.168.1.x)
+</code>
+Les clients du réseau B de profitent du proxy de la passerelle sans avoir à configurer leurs navigateurs.
-Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
+===Références===
+  * [[http://www.squid-cache.org/|le site de squid]]
+  * [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
+  * [[http://www.sput.nl/software/squid33.html]]
+  * [[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]]
 ====Prérequis====
@@ Ligne 25: / Ligne 36: @@
 === Configuration d'iptables (NAT) ===
+<note important>
+Si vous avez suivi "iptables:un pare-feu pour une passerelle" et installé [[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|ce script]], passez directement au pre-requis [[utilisateurs:hypathie:tutos:proxy-transparent?&#table-de-routage|Table de routage]]
+</note>
   * Pour faire les choses proprement on flush les tables concernées et on ajoute :
@@ Ligne 41: / Ligne 54: @@
 iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
 iptables -t mangle -A PREROUTING -p tcp --dport 3129 -j DROP
@@ Ligne 50: / Ligne 62: @@
 <note>
-**Port 3128 et 3129 car j'utiliserai les deux ports.**
+**Port 3129 pour transparent ; port 3128 pour le réseau local.**
-**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat#iptables_configuration]] :
   Due to the NAT security vulnerabilities it is also a very good idea
@@ Ligne 61: / Ligne 73: @@
 </note>
-===On conserve nos règles iptables pour le proxy===
+  * On sauvegarde les règles iptables et on les restaure avec /etc/network/interfaces
-  * Méthode 1 : on sauvegarde les règles iptables et on les restaure avec /etc/network/interfaces
 <code root>
 iptables-save > /etc/iptables.squid
 echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
-  * Méthode 2 : on utilise le script /etc/rc.local
-<code root>vim /etc/rc.local</code>
-<code>/sbin/iptables -t nat -F
-/sbin/iptables -t nat -X
+===Table de routage===
-/sbin/iptables -t mangle -F
-/sbin/iptables -t mangle -X
-/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3129
-/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129
-/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 3129 -j DROP
+  * Éditer le fichier /etc/rc.local
+<code root>vim /etc/rc.local</code>
+<code>
 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.1 dev eth0
@@ Ligne 93: / Ligne 89: @@
 exit 0</code>
+<note>On peut aussi créer un script init.d (update-rc.d) pour sauvegarder les règles de routage.\\ Ou encore préciser dans /etc/network/interfaces la route pour chaque interface.\\ La méthode ci-dessus n'a d'intérêt que dans le cas où l'IP est attribuée par DHCP au niveau de /etc/network/interfaces.</note>
-Pour activer le script :
-<code root>
-/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth1</code>
   * Côté client l'adresse IP du proxy squid3 comme route par défaut :
+Par exmple :
 <code root>route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0
 </code>
@@ Ligne 145: / Ligne 137: @@
 ====Vérifier le proxy ====
-===Bloquer tous le trafic du LAN ===
+=== Bloquer tout le trafic du LAN ===
 Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3129 transparent'' :
   * **On édite /etc/squid3/squid.conf**
@@ Ligne 211: / Ligne 204: @@
 <code root>fdisk -l</code>
 <code>Périphérique Amorce  Début        Fin      Blocs     Id  Système
+<...>
 /dev/sdg1              63  1336206374   668103156   83  Linux
 /dev/sdg2      1336206375  3907024064  1285408845   83  Linux</code>
@@ Ligne 216: / Ligne 210: @@
   * Formater le périphérique en ext3 ou reiserfs :
 On démonte la partition :
+<note important>Modifier sdg1 par le nom de votre partition</note>
 <code>umount /dev/sdg1</code>
@@ Ligne 261: / Ligne 256: @@
 <code root>vim /etc/fstab</code>
 On ajoute à la fin du fichier :
-<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d /data  none  rw,noatime,async 0 2</code>
+<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d /data  ext3  rw,noatime,async 0 2</code>
 <note>Ne pas oublier de modifier l'ordre d'amorçage du BIOS, si "usb" est positionnée avant le disque dur, pour qu'elle soit positionnée après celui.</note>
@@ Ligne 399: / Ligne 394: @@
-=====Vérifications====
-Dans le fichier de configuration /etc/squid3/squid.conf :\\
-  * les dossiers du cache : /var/spool/squid3
-  * le fichier de log d'accès : /var/log/squid3/access.log
-  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
-  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
-  * cache_log /var/log/squid3/cache.log
-====Vérifier le passage par le proxy ====
-Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
-Il faut :
-  * Générer du flux depuis le sous-réseau
-Tout bêtement, de côté du lan, on navigue !
-  * Tout en observant côté passerelle (i.e. serveur squid)
-le fichier /var/log/squid3/access.log des logs d'accès :
-<code root>
-tail -f /var/log/squid3/access.log
-</code>
-Puis côté du Lan, on navigue, il y a alors du mouvement de le fichier de log :
-<code>
-1413554295.061    138 192.168.1.2 TCP_MISS/200 13345 GET http://debian-facile.org/ - DIRECT/212.129.32.102 text/html
-1413554295.098     36 192.168.1.2 TCP_MISS/200 8320 GET http://debian-facile.org/style/Kao.css - DIRECT/212.129.32.102 text/css
-1413554295.108     59 192.168.1.2 TCP_MISS/200 950 GET http://debian-facile.org/nono.css - DIRECT/212.129.32.102 text/css
-<...>
-1413554299.083     32 192.168.1.2 TCP_MISS/200 554 GET http://debian-facile.org/style/Air/img/asterisk.png - DIRECT/212.129.32.102 image/png
-1413554301.463     74 192.168.1.2 TCP_MISS/200 1391 POST http://debian-facile.org/login.php? - DIRECT/212.129.32.102 text/html
-<...>
-</code>
-====Vérifier le cache ====
-Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
-Pour vérifier que squid sert au client une page de son cache, il faut visiter le même URL plusieurs fois.
-La 1ère fois on a normalement dans /var/log/squid3/access.log, ''TCP_MISS'', mais après on doit obtenir ''TCP_HIT''.
-  * TCP_MISS : L'objet demandé n'est pas dans le cache.
-  * TCP_HIT : Une copie valide de l'objet demandé était dans le cache.
-On peut trouver d'autres indications :
-  * TCP_REFRESH_HIT :   L'objet demandé a été mis en cache mais obsolète (ICM -> 304).
-  * TCP_REF_FAIL_HIT : L'objet demandé a été mis en cache mais il obsolète ; la requête IMS a échoué mais l'objet a été livré.
-  * TCP_REFRESH_MISS : L'objet demandé a été mis en cache mais était obsolète. La requête IMS retourné le nouveau contenu.
-  * TCP_CLIENT_REFRESH_MISS : Le client a émis une certaine demande de cache en même temps que la demande.  Ainsi, le cache doit extraire à nouveau l'objet.
-  * TCP_IMS_HIT : Le client a émis une demande IMS pour un objet qui est nouvellement dans le cache.
-  * TCP_NEGATIVE_HIT :Demande d'un objet mis en cache négative, par exemple "404 Not Found"
-  * TCP_MEM_HIT : Une copie valide de l'objet demandé a été mis dans la mémoire du cache, évitant ainsi les accès disque.
-  * TCP_DENIED : Accès a été refusé pour cette demande.
-  * TCP_OFFLINE_HIT : L'objet demandé a été récupéré à partir du cache en mode déconnecté. Voir "offline_mode" dans le fichier squid.conf.
-Se connecter plusieurs fois et tenter la commande :
-  *Il faut un certain temps pour obtenir des HIT
-<code root> tail -f /var/log/squid3/access.log | grep HIT
-</code>
-<code>1415119957.532      0 192.168.1.10 TCP_MEM_HIT/200 15385 GET http://blog.tfrichet.fr/wp-content/uploads/2013/09/owncloud_acces_mobile-600x150.jpg - NONE/- image/jpeg</code>
-<note tip>
-**__Détail sur  /var/log/squid3/access.log__ :**\\
-On y retrouve tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
-> **''time''** : le temps UTC (en ms) auquel la requête a été reçue.
->**''elapsed''** : le temps de traitement par le serveur de la requête (en ms). Ce temps de traitement diffère selon le mode utilisé (connecté ou déconnecté) :
-  * Pour TCP, il s’agit du temps écoulé entre le moment où le serveur a reçu la requête et le moment où il a répondu au client.
-  * Pour UDP, il s’agit du temps calculé entre le moment où le serveur prévoit de répondre au client et le moment où il lui répond effectivement.
->**''remotehost''** : l’adresse IP du client. Cette donnée peut être cachée pour rendre les logs anonymes.
->**''code/status''** : le code résultat de la transaction. Ce champ est composé de deux entrées séparées par un slash : le code de statut de Squid et le code HTTP de la réponse du serveur d’origine. La plupart de ces codes sont détaillés plus bas.
->**''bytes''** : la taille de la donnée livrée au client.
->**''method''** : la méthode utilisée pour récupérer la ressource (GET, HEAD, etc.).
->**''URL''** : l’URL de la ressource demandée.
->**''rfc931''** : les informations utilisateurs (désactivé par défaut).
->**''hierarchy code''** : un code permettant de savoir comment la requête a été traitée. Ce code peut être suivi par l’adresse IP vers laquelle la requête a été redirigée.
->**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
-</note>
-===Voir le fichier /var/log/squid3/cache.log===
-On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
-  * Par exemple ci-dessous les DNS enregistrés :
-<code root>less /var/log/squid3/cache.log</code>
-<code>2014/10/16 13:11:45| Process ID 3735
-/10/16 13:11:45| With 65535 file descriptors available
-/10/16 13:11:45| Initializing IP Cache...
-/10/16 13:11:45| DNS Socket created at [::], FD 7
-/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
-/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
-===Consulter /var/log/squid3/store.log ===
-<code root>less /var/log/squid3/store.log</code>

Debian-facile

Différences

Pied de page des forums