Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-10-2016 17:20:32

BioKore
Membre
Lieu : Dans l'espace !
Distrib. : Mint 18
Noyau : Linux 4.4.0-21-generic
(G)UI : Nemo 3.0.6
Inscription : 23-09-2016
Site Web

Config serveur local dédié privoxy avec squid

Bonjour à tous,

Je viens de mettre en service un Raspberry PI3 avec Raspbian chez moi. Il est donc branché en 4paires CAT6 sur ma box. Après quelques soucis avec une SD mal copiée, me voici avec un système enfin fonctionnel.

J'ai donc dans l'objectif d'en faire un proxy assez "complet" grâce à Privoxy, squid et peut-être plus tard, pour certains protocoles, Tor (mais je ne suis pas sure de pouvoir faire ce que je voudrais avec ça donc on verra plus tard).

Alors voilà, pour le moment, je m'assure que Privoxy marche comme je veux, c'est à dire, qu'il gère la "sécurité" proxy pour tous les ordinateurs qui se connectent à internet.

Récap : Les PC "clients" sont connectés à la BOX (wifi), le RPI3 connecté à la box (ETH0), et la box connectée à internet (normal). Le but est que :
PC clients -----> BOX ------> RPI3 ------> BOX ------> internet
Après, une fois le fonctionnement des proxys bien faits, j'ajouterais un serveur DHCP (si je peux le configurer comme je veux niveau sécu) sur le RPI  pour avoir le schéma final :
PC clients -----> RPI3 ------> BOX ------> internet

Je pense qu'il s'agit d'un fonctionnement tout à fait standard, mais voilà, j'ai du mal avec l'option "listen" du proxy. En effet, qui doit-il "écouter" ? internet ou le réseau ? Je suis un peu confus. Comment m'assurer que le flux soit bien conforme au schéma suivant ?

Internet ------> Privoxy ------> réseau

Je vois que, dans certains tutos, l'écoute est faite sur le réseau privée et pas internet, pourquoi ?


Enfin, bref, vous comprendrez que le terme "listen" est un peu confus pour moi ^^. Après, je pense aussi que c'est dû au fait que, pour le moment, je n'utilise qu'une interface réseau (ETH0) qui sert de point d'entrée pour internet mais aussi de sortie pour le réseau. C'est peut-être un peu foireux comme système, mais la BOX étant aussi un routeur, je me dis que le montage actuel n'est peut-être pas aussi branlant que ça.

Pour info, l'IPV4 est bien forwardée...


Merci d'avance !

Dernière modification par BioKore (11-10-2016 23:52:25)


Mint 18 // essai de débian + Cinnamon pour migration. Développeur du temps libre...
config : Portable Core I7 // 4Go Ram // SSD256Go // cg Intel HD3000 (on ne peut pas tout avoir) // wi-fi Alpha AWUS036H <- marche trop fort !
Enfin : OpenBSD 6.0 + XFCE

Hors ligne

#2 10-10-2016 20:44:19

BioKore
Membre
Lieu : Dans l'espace !
Distrib. : Mint 18
Noyau : Linux 4.4.0-21-generic
(G)UI : Nemo 3.0.6
Inscription : 23-09-2016
Site Web

Re : Config serveur local dédié privoxy avec squid

Bon, ben finalement, j'ai réussi. En fait il faut mettre l'IP de l'interface sur laquelle le réseau est connecté. dans mon cas, c'est la même interface que celle qui est connectée à la BOX. et les ip autorisées sont toutes celles du même réseau en fait... Du coup, pas besoin de forward non plus. Reste juste à paramétrer les filtres et actions et c'est bon smile.

Prochaine étape : Squid !

Mint 18 // essai de débian + Cinnamon pour migration. Développeur du temps libre...
config : Portable Core I7 // 4Go Ram // SSD256Go // cg Intel HD3000 (on ne peut pas tout avoir) // wi-fi Alpha AWUS036H <- marche trop fort !
Enfin : OpenBSD 6.0 + XFCE

Hors ligne

#3 12-10-2016 00:07:38

BioKore
Membre
Lieu : Dans l'espace !
Distrib. : Mint 18
Noyau : Linux 4.4.0-21-generic
(G)UI : Nemo 3.0.6
Inscription : 23-09-2016
Site Web

Re : Config serveur local dédié privoxy avec squid

Bon, ok, je viens de me lancer avec Squid3, par contre, impossible de le faire fonctionner avec ou sans privoxy derrière. A savoir mon privoxy marche très bien seul. Le but est de faire du cache maintenant.

L'ip de mon RPI est 192.168.0.16, donc :

acl locnet 192.168.0.0/24
acl Safe_ports port 80
http_access deny !Safe_ports
http_access allow locnet
http_port 3128
cache_dir aufs /var/squid/cache 500 16 256
cache_peer localhost parent 8118 no-query default no-digest no-netdb-exchange #je le commente pour tester squid seul sans privoxy en listen sur localhost:8118 (ou 192.168.0.16:8118) pour des tests

Bien entendu, il s'agit d'une config stricte minimale, mais 'essai de faire le premier lancement. Impossible à faire fonctionner. Quelqu'un voit où est mon erreur ?

Pour info, j'utilise foxyproxy pour les tests, configuré sur 192.168.0.16:3128

Je me suis inspiré de différents tutos sur le web ; même avec du copié-collé (ce que j'évite de faire habituellement) et en changeant juste les IP, je n'arrive pas à le faire fonctionner.



Merci beaucoup par avance !

Mint 18 // essai de débian + Cinnamon pour migration. Développeur du temps libre...
config : Portable Core I7 // 4Go Ram // SSD256Go // cg Intel HD3000 (on ne peut pas tout avoir) // wi-fi Alpha AWUS036H <- marche trop fort !
Enfin : OpenBSD 6.0 + XFCE

Hors ligne

#4 12-10-2016 19:40:57

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Config serveur local dédié privoxy avec squid

La version 3.4 de squid3 était bugué et squid3 ne fonctionnais pas il y a 3 mois en arrière, je ne sais pas si le problème est résolu ou non, essaie de voir si squid3 est bien à l'écoute :

netstat -paunt | grep :3128

Dernière modification par kawer (12-10-2016 19:42:00)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#5 12-10-2016 20:22:09

BioKore
Membre
Lieu : Dans l'espace !
Distrib. : Mint 18
Noyau : Linux 4.4.0-21-generic
(G)UI : Nemo 3.0.6
Inscription : 23-09-2016
Site Web

Re : Config serveur local dédié privoxy avec squid

Ah, bien vu, j'avais même pas pensé à regarder ça neutral

Effectivement ça ne donne rien du tout sad

En attendant, est-ce qu'il existe une autre solution "libre" pour faire du cache proxy ? J'avoue que je n'ai pas trop cherché de mon côté (je viens de voir le post), mais si vous connaissez quelque chose de fiable, je suis preneur smile

EDIT : si non, au pire, je reprends squid 2.x... La différence est "réelle" ou pas ?



Merci !


Bon, en fait, je ne pourrais pas être sure que le soucis vienne de Squid3 ; en fait, voici le souci avec squid3 :

sudo squid3 -z


FATAL: Bungled /etc/squid3/squid.conf line 7737: cache_peer localhost parent 8118 no-query default no-digest no-netdb-exchange
Squid Cache (Version 3.4.8): Terminated abnormally.
CPU Usage: 0.060 seconds = 0.050 user + 0.010 sys
Maximum Resident Size: 33264 KB
Page faults with physical i/o: 0



J'ai essayé avec squid aussi (2.7), et, j'avais bien le "listen" du netstat sur le 3128, mais, une fois que j'ai mis ma config, et après plusieurs modifications, j'ai :

sudo squid -z


2016/10/12 21:56:59| ACL name 'all' not defined!
FATAL: Bungled (null) line 180: http_reply_access allow all
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
 



Pourtant, je n'ai pas (plus) de ligne contenant de"all", ni même de ligne 180 dans mon squid.conf.
A savoir, à partir de là, je n'ai plus de 3128 ouvert sur netstat (j'ose imaginer que mon problème avec squid3 vient de là aussi).


Donc là, je ne comprends plus sad

Dernière modification par BioKore (12-10-2016 21:59:59)


Mint 18 // essai de débian + Cinnamon pour migration. Développeur du temps libre...
config : Portable Core I7 // 4Go Ram // SSD256Go // cg Intel HD3000 (on ne peut pas tout avoir) // wi-fi Alpha AWUS036H <- marche trop fort !
Enfin : OpenBSD 6.0 + XFCE

Hors ligne

#6 14-10-2016 10:38:27

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Config serveur local dédié privoxy avec squid

Je ne connais pas le fichier de configuration de squid2, mais je n'ai pas de "http_reply_access allow all" dans mon fichier de configuration des dépots wheezy (3.1.20-2.2).

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#7 14-10-2016 10:43:45

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Config serveur local dédié privoxy avec squid

BioKore a écrit :


Merci !


Bon, en fait, je ne pourrais pas être sure que le soucis vienne de Squid3 ; en fait, voici le souci avec squid3 :

sudo squid3 -z


FATAL: Bungled /etc/squid3/squid.conf line 7737: cache_peer localhost parent 8118 no-query default no-digest no-netdb-exchange
Squid Cache (Version 3.4.8): Terminated abnormally.
CPU Usage: 0.060 seconds = 0.050 user + 0.010 sys
Maximum Resident Size: 33264 KB
Page faults with physical i/o: 0



Je ne connais pas les directives default no-digest no-netdb-exchange mais je sais qu'il faut remplacer localhost par 127.0.0.1


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#8 14-10-2016 16:12:43

BioKore
Membre
Lieu : Dans l'espace !
Distrib. : Mint 18
Noyau : Linux 4.4.0-21-generic
(G)UI : Nemo 3.0.6
Inscription : 23-09-2016
Site Web

Re : Config serveur local dédié privoxy avec squid

Salut,

En fait il faut juste faire du acl all src 0.0.0.0/0.0.0.0

Sinon, sur le squid3 c'est acl all src all
j'ai aussi du faire un chmod 777 sur le dossier cache de squid pour pouvoir activé le cache.

Après j'ai eu d'autres bugs avec la config mais maintenant ça va (je continue à utiliser squid, pas squid3).

Par contre j'ai d'autres soucis maintenant (je me rends compte que squid est beaucoup plus emm**d**t à configurer que privoxy oO). J'ai réussi tant bien que mal à le lier à privoxy, mais maintenant, il ne fonctionne qu'une fois sur 2, et, de temps en temps, il me met des erreurs genre "Maximum number of open connections reached." au lieu de la page à afficher (pourtant je 'ai spécifié aucune limite de connexions). Je suis obligé de relancer le service. Ca me le fait beaucoup sur le site "le monde" (ma page de test anti-pubs).
Autre soucis, mineur pour l'instant, j'ai beau avoir réglé le port en "transparent" (http_port 3128 transparent), je dois quand même spécifier l'adresse du proxy (et le port) dans firefox pour que ça marche.
Et là, je viens de me coller des règles iptables (en input seulement), et les proxys ne marchent plus du tout.

config squid :


  1
  2 acl all src 0.0.0.0/0.0.0.0
  3 acl localnet src 192.168.0.0/24
  4 acl localhost src 127.0.0.0/16
  5
  6 acl openports port 443  #ssl
  7 acl openports port 80   #http
  8 acl openports port 22   #ssh
  9 acl openports port 21   #fttp
 10 acl openports port 443          # https
 11 acl openports port 70           # gopher
 12 acl openports port 210          # wais
 13 acl openports port 1025-65535   # unregistered ports
 14 acl openports port 280          # http-mgmt
 15 acl openports port 488          # gss-http
 16 acl openports port 591          # filemaker
 17 acl openports port 777          # multiling http
 18
 19 acl CONNECT method CONNECT      # ?????
 20
 21 http_access deny !openports
 22 http_access allow localnet
 23 http_access allow localhost
 24
 25 http_port 3128 transparent
 26
 27 cache_dir aufs /var/squid/cache 200 16 256
 28
 29 prefer_direct off
 30
 31 cache_peer 192.168.0.16 parent 8118 0 no-query name=privoxy
 32 cache_peer_access privoxy allow openports
 33
 34 logfile_rotate 0

 




Pour info, j'utilise le bouton foxyproxy pour faire mes tests.

Dernière modification par BioKore (14-10-2016 16:39:08)


Mint 18 // essai de débian + Cinnamon pour migration. Développeur du temps libre...
config : Portable Core I7 // 4Go Ram // SSD256Go // cg Intel HD3000 (on ne peut pas tout avoir) // wi-fi Alpha AWUS036H <- marche trop fort !
Enfin : OpenBSD 6.0 + XFCE

Hors ligne

#9 19-11-2016 22:43:00

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

Re : Config serveur local dédié privoxy avec squid

Bonjour,

Il faut déjà savoir qu'elle version de squid tu va utiliser squid 3 ou 2.x car la syntaxe dans le fichier conf n'est pas la même. J'ai pris le temps de tester ton fichier il semble bon.

En premier temps verifie bien de squid3 par exemple se lance bien et est fonctionnel après on verra pour iptables.

Hors ligne

Pied de page des forums