L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [15/11/2014 12:57]
Hypathie [Vérifications]
+++ — (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
-======squid: installer un proxy transparent ======
-  * Objet : du tuto FIXME
-  * Niveau requis : FIXME {{tag>débutant avisé}}
-  * Commentaires : //Contexte d'utilisation du sujet du tuto. // FIXME
-  * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)
-===== Introduction =====
-Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration.\\ On parle alors de « proxy transparent ».\\ Cette configuration est obtenue par translation d'adresse IP.
-<code>
-|BOX_adsl|________(192.168.0.1:eth0)-|ROUTEUR-DEBIAN-(eth1:192.168.1.1)
-  |                                  |PROXY         |
-  |                                                 |
-sous-réseau A                                 sous-réseau B
-  |                                                 |
-  |_CLIENT-A1 (eth0:192.168.0.10)                   |_CLIENT-B1 (eth0:192.168.1.3)
-  |_CLIENT-AX (eth0:192.168.0.xx)                   |_CLIENT-BX (eth0:192.168.1.x)
-</code>
-Les clients du réseau B de profitent du proxy de la passerelle sans avoir à configurer leurs navigateurs.
-===Références===
-  * [[http://www.squid-cache.org/|le site de squid]]
-  * [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
-  * [[http://www.sput.nl/software/squid33.html]]
-  * [[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]]
-====Prérequis====
-Un serveur DNS est installé sur la passerelle.\\
-La passerelle est mise en place avec masquerade :\\
-(eth0 est la carte ethernet vers le web)\\
-''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''
-=== Configuration d'iptables (NAT) ===
-<note important>
-Si vous avez suivi "iptables:un pare-feu pour une passerelle" et installé [[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|ce script]], passez directement au pre-requis [[utilisateurs:hypathie:tutos:proxy-transparent?&#table-de-routage|Table de routage]]
-</note>
-  * Pour faire les choses proprement on flush les tables concernées et on ajoute :
-<code root>
-iptables -t nat -F
-iptables -t nat -X
-iptables -t mangle -F
-iptables -t mangle -X
-iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3129
-iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129
-iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-iptables -t mangle -A PREROUTING -p tcp --dport 3129 -j DROP
-</code>
-Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
-<note>
-**Port 3129 pour transparent ; port 3128 pour le réseau local.**
-**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat#iptables_configuration]] :
-  Due to the NAT security vulnerabilities it is also a very good idea
-  to block external access to the internal receiving port.
-  This has to be done in the mangle part of iptables before DNAT happens
-  so that intercepted traffic does not get dropped.
-</note>
-  * On sauvegarde les règles iptables et on les restaure avec /etc/network/interfaces
-<code root>
-iptables-save > /etc/iptables.squid
-echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
-===Table de routage===
-  * Éditer le fichier /etc/rc.local
-<code root>vim /etc/rc.local</code>
-<code>
-/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.1 dev eth0
-/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth1
-exit 0</code>
-<note>On peut aussi créer un script init.d (update-rc.d) pour sauvegarder les règles de routage.\\ Ou encore préciser dans /etc/network/interfaces la route pour chaque interface.\\ La méthode ci-dessus n'a d'intérêt que dans le cas où l'IP est attribuée par DHCP au niveau de /etc/network/interfaces.</note>
-  * Côté client l'adresse IP du proxy squid3 comme route par défaut :
-Par exmple :
-<code root>route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0
-</code>
-===Configurer /etc/sysctl.conf ===
-La première ligne est probablement déjà configurée tel que ci-dessous. Modifier aussi la seconde
-<code>
-# Controls IP packet forwarding
-net.ipv4.ip_forward = 1
-# Controls source route verification
-net.ipv4.conf.default.rp_filter = 0
-</code>
-  * Faire prendre en compte une éventuelle modification :
-<code root>sysctl -p</code>
-====Installer le serveur squid3====
-<code root>apt-get build-dep squid3</code>
-<code root>apt-get install squid3</code>
-=====Configuration de squid comme proxy transparent=====
-Squid permet options et modules :\\
-  * préfetch : de précharger les pages et ainsi accélérer la navigation;
-  * filtres antivirus, antipopups, etc.
-  * contrôle d'accès au proxy par login et mot de passe.
-  * contrôle d'accès en fonction des heures.
-Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question de l'accès par login et mot de passe...
-=== Faire une sauvegarde du fichier de configuration ===
-Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description très complète de chacun d’eux.
-  * **On sauvegarde l'original** :
-C'est très important pour la suite !
-<code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-  * **Puis pour y voir plus clair :**
-On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
-<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
-====Vérifier le proxy ====
-=== Bloquer tout le trafic du LAN ===
-Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3129 transparent'' :
-  * **On édite /etc/squid3/squid.conf**
-<code root>vim /etc/squid3/squid.conf</code>
-  * **Ce qui donne :**
-<code>
-acl manager proto cache_object
-acl localhost src 127.0.0.1/32 ::1
-acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
-acl SSL_ports port 443
-acl Safe_ports port 80          # http
-acl Safe_ports port 21          # ftp
-acl Safe_ports port 443         # https
-acl Safe_ports port 70          # gopher
-acl Safe_ports port 210         # wais
-acl Safe_ports port 1025-65535  # unregistered ports
-acl Safe_ports port 280         # http-mgmt
-acl Safe_ports port 488         # gss-http
-acl Safe_ports port 591         # filemaker
-acl Safe_ports port 777         # multiling http
-acl CONNECT method CONNECT
-http_access allow manager localhost
-http_access deny manager
-http_access deny !Safe_ports
-http_access deny CONNECT !SSL_ports
-http_access allow localhost
-http_access allow localnet
-http_access deny all
-http_port 3129 transparent
-coredump_dir /var/spool/squid3
-refresh_pattern ^ftp:           1440    20%     10080
-refresh_pattern ^gopher:        1440    0%      1440
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
-refresh_pattern .               0       20%     4320
-</code>
-> Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet.
-  * On recharge squid3 :
-<code root>/etc/init.d/squid3 restart</code>
-  * **Si on tente de naviguer depuis le LAN :**
-{{http://pix.toile-libre.org/upload/img/1414862596.png|}}
-===Autoriser le trafic pour le LAN===
-  * **On ajoute une acl pour le lan et on l'autorise !**
-<code root>vim /etc/squid3/squid.conf</code>
-<code>
-<...>
-acl lan src 192.168.1.0/24
-<...>
-http_access allow localnet
-</code>
-  * **On recharge squid3 :**
-<code root>/etc/init.d/squid3 restart</code>
-=====Configuration détaillée du proxy =====
-====Mise en place du cache pour le LAN  ====
-===Créer un dossier pour le cache===
-  * Repérer le périphérique choisi :
-<code root>fdisk -l</code>
-<code>Périphérique Amorce  Début        Fin      Blocs     Id  Système
-<...>
-/dev/sdg1              63  1336206374   668103156   83  Linux
-/dev/sdg2      1336206375  3907024064  1285408845   83  Linux</code>
-  * Formater le périphérique en ext3 ou reiserfs :
-On démonte la partition :
-<note important>Modifier sdg1 par le nom de votre partition</note>
-<code>umount /dev/sdg1</code>
-  * On vérifie que la partition ne soit pas montée parallèlement par le montage automatique des supports amovibles :
-<code root>df</code>
-<code>
-Sys. fich.                                              1K-blocks   Util. Disponible Uti% Monté
-<...>
-/dev/sdg1                                               657618716  202064  624011496   1% /media/
-<...>
-</code>
-  * Si c'est le cas comme ci-dessus (montée dans /media), on relance umount :
-<code root>umount /dev/sdg1</code>
-  * On désactive le montage automatique des supports amovibles :
-__Par exemple avec lxde__ :
--> gestionnaire de fichiers -> Éditer -> Préférences -> Gestion des volumes
-__Puis on décoche__\\
-  -"Monter les volumes amovibles automatiquement lors du démarrage"
-  -"Monter les volumes amovibles automatiquement quand ils sont insérés".
-  * On formate la partition :
-<code root>mkfs.ext3 /dev/sdg1</code>
-  * Création d'un dossier pour le cache de squid3 :
-<code root>mkdir /data/</code>
-<code root>mount /dev/sdg1 /data</code>
-<code root>mkdir /data/cache/</code>
-  * Mise au point des droits sur le système de répertoire /data/cache/
-<code root>chmod -R 777 /data/cache/</code>
-<code root>chown -R proxy:proxy /data/cache/</code>
-  * Connaître UUID de la partition pour le cache de squid3 :
-<code root>blkid /dev/sdg1</code>
-<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d</code>
-  * Configurer le montage de la partition au démarrage du système :
-<code root>vim /etc/fstab</code>
-On ajoute à la fin du fichier :
-<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d /data  ext3  rw,noatime,async 0 2</code>
-<note>Ne pas oublier de modifier l'ordre d'amorçage du BIOS, si "usb" est positionnée avant le disque dur, pour qu'elle soit positionnée après celui.</note>
-===Paramétrage du cache dans /etc/squid3/squid.conf===
-Avec squid3 le cache n'est pas activer par défaut, pour mettre en place le cache, il faut récupérer les lignes commentées du fichiers d'origine /etc/squid3/squid.conf_back.\\
-  * **On désactive squid3**
-<code root>/etc/init.d/squid3 stop</code>
-  * **On édite /etc/squid3/squid.conf :**
-Pour lui ajouter les directives du fichier "my-squid.conf en adaptant leurs valeurs à sa configuration
-<code root>vim /etc/squid3/squid.conf</code>
-<code>acl manager proto cache_object
-acl localhost src 127.0.0.1/32 ::1
-acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-acl lan src 192.168.1.0/24
-acl SSL_ports port 443
-acl Safe_ports port 80          # http
-acl Safe_ports port 21          # ftp
-acl Safe_ports port 443         # https
-acl Safe_ports port 70          # gopher
-acl Safe_ports port 210         # wais
-acl Safe_ports port 1025-65535  # unregistered ports
-acl Safe_ports port 280         # http-mgmt
-acl Safe_ports port 488         # gss-http
-acl Safe_ports port 591         # filemaker
-acl Safe_ports port 777         # multiling http
-acl CONNECT method CONNECT
-http_access allow manager localhost
-http_access deny manager
-http_access deny !Safe_ports
-http_access deny CONNECT !SSL_ports
-http_access allow localhost
-http_access allow lan
-http_access deny all
-icp_access allow localhost
-icp_access deny all
-http_port 3128
-http_port 3129 transparent
-cache_mem 256 MB
-minimum_object_size 3 KB
-maximum_object_size 6 MB
-ipcache_size 10240
-fqdncache_size 10240
-memory_replacement_policy heap GDSF
-cache_replacement_policy heap LFUDA
-cache_dir aufs /data/cache 20000 14 256
-cache_swap_low 95
-cache_swap_high 99
-cache_effective_user proxy
-cache_effective_group proxy
-access_log /var/log/squid3/access.log squid
-#cache_log /var/log/squid3/cache.log
-#cache_store_log /var/log/squid3/store.log
-coredump_dir /var/spool/squid3
-cache allow lan
-refresh_pattern ^ftp:           1440    20%     10080
-refresh_pattern ^gopher:        1440    0%      1440
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
-refresh_pattern .               0       20%     4320
-dns_timeout 10 seconds
-dns_nameservers 192.168.0.1 212.27.40.240 212.27.40.241
-visible_hostname routeur-debian
-hosts_file /etc/hosts
-</code>
-<note tip>
-**__Voici la définition de quelques options de configuration basiques :__**
-**''cache_mem''** : Il s'agit de la taille de la mémoire RAM et la valeur choisie doit être adaptée à son matérielle.\\ Plus squid est configuré avec un stockage disque important via la directive cache_dir plus il aura besoin de mémoire pour en ordonné l’utilisation. Mais en outre plus vous allouez d’espace de mémoire pour squid via la directive cache_mem plus squid aura besoin de mémoire vive, en dehors du quota alloué par cette directive, pour ordonner la aussi les objets stocker dans ce cache.\\ Pour connaître la taille et le détaille de l'utilisation de la RAM : **''free -m''**\\
-**''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par défaut :
-  cache_dir ufs /usr/local/squid/var/cache/ 100 16 256
-"Remarque : Le type ufs de magasin:\\
-"ufs" est l'ancien format de stockage Squid bien connu qui a toujours été là."
-**''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local :
-</note>
-  * On crée le cache :
-<code root>squid3 -z</code>
-<code>2014/11/04 12:56:33| Creating Swap Directories
-/11/04 12:56:33| /data/cache exists
-/11/04 12:56:33| Making directories in /data/cache/00
-/11/04 12:56:33| Making directories in /data/cache/01
-/11/04 12:56:33| Making directories in /data/cache/02
-/11/04 12:56:33| Making directories in /data/cache/03
-/11/04 12:56:33| Making directories in /data/cache/04
-/11/04 12:56:33| Making directories in /data/cache/05
-/11/04 12:56:33| Making directories in /data/cache/06
-/11/04 12:56:33| Making directories in /data/cache/07
-/11/04 12:56:33| Making directories in /data/cache/08
-/11/04 12:56:33| Making directories in /data/cache/09
-/11/04 12:56:33| Making directories in /data/cache/0A
-/11/04 12:56:33| Making directories in /data/cache/0B
-/11/04 12:56:33| Making directories in /data/cache/0C
-/11/04 12:56:33| Making directories in /data/cache/0D</code>
-<note>
-Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement, ou tout simplement si on veut le vider complètement :\\
-  * Il faut arrêter squid :
-<code root>/etc/init.d/squid3 stop</code>
-  * On se déplace dans le répertoire du cache :
-(S'il vous plaît servez-vous de l'auto-complétion, surtout ici)
-<code root>cd /data/cache/</code>
-  * On supprime tous les dossiers
-<code root>rm -rv 0*</code>
-  * On supprime les fichiers
-<code root>rm -v swap.state*</code>
-  * On relance squid3 :
-<code root>/etc/init.d/squid3 restart</code>
-</note>

utilisateurs/hypathie/tutos/proxy-transparent.1416052648.txt.gz · Dernière modification: 15/11/2014 12:57 par Hypathie

Debian-facile

Différences

Pied de page des forums