L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 09:28]
Hypathie [Introduction]
+++ utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 07:59]
Hypathie [Configuration de squid comme proxy transparent]
@@ Ligne 7: / Ligne 7: @@
 ===== Introduction =====
-Voir : [[http://www.squid-cache.org/|le site de squid]]
+Voir : [[http://www.squid-cache.org/|le site de squid]]\\
+[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
+Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
 ===Prérequis===
@@ Ligne 18: / Ligne 22: @@
 Le serveur squid est installé :
-<code root>apt-get install --no-install-recommends squid3</code>
+<code root>apt-get install squid3</code>
+<code root>apt-get build-dep squid3</code>
 =====Configuration de squid comme proxy transparent=====
 ===Faire une sauvegarde du fichier de configuration ===
 Le fichier est commenté quasiment entièrement.
-<code root>mv /etc/squid/squid.conf /etc/squid/squid.conf-saved</code>
+<code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-Puis pour y voir plus clair on édite /etc/squid/squid.conf et on y copie les quelques lignes dé-commentées du fichier original.
+Puis pour y voir plus clair, on toutes les lignes dé-commentées du fichier original, et on re-crée ce fichier afin qu'il ne contienne que ces lignes.
-<code root>vim /etc/squid/squid.conf</code>
+<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
+Ce qui donne :
+<code user>less /etc/squid3/squid.conf</code>
+  * On ajoute ou modifie les lignes suivantes :
+eth0 (vers internet) : 192.168.0.1\\
+eth1 (vers lan) : 192.168.1.1
+<code>
+acl localnet src 192.168.1.0/24
+acl lan src 192.168.0.1 192.168.1.0/24
+http_access allow localhost
+http_access allow localnet
+http_access allow lan
+</code>
+> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
+>''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
+>''http_access allow localhost'': accès à squid permis au localhost
+>''http_access allow lan'': idem
+>''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
-<code>#Recommended minimum configuration:
+Ce qui donne :
-acl all src all
+<code user>less /etc/squid3/squid.conf</code>
+<code>
 acl manager proto cache_object
-acl localhost src 127.0.0.1/32
+acl localhost src 127.0.0.1/32 ::1
-acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
+acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-#
+acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
-# Example rule allowing access from your local networks.
+acl SSL_ports port 443
-# Adapt to list your (internal) IP networks from where browsing
-# should be allowed
-acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
-acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
-acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
-#
-acl SSL_ports port 443          # https
-acl SSL_ports port 563          # snews
-acl SSL_ports port 873          # rsync
 acl Safe_ports port 80          # http
 acl Safe_ports port 21          # ftp
@@ Ligne 51: / Ligne 67: @@
 acl Safe_ports port 210         # wais
 acl Safe_ports port 1025-65535  # unregistered ports
-acl Safe_ports port 280         # http-mgmt
 acl Safe_ports port 280         # http-mgmt
 acl Safe_ports port 488         # gss-http
 acl Safe_ports port 591         # filemaker
 acl Safe_ports port 777         # multiling http
-acl Safe_ports port 631         # cups
-acl Safe_ports port 873         # rsync
-acl Safe_ports port 901         # SWAT
-acl purge method PURGE
 acl CONNECT method CONNECT
+acl lan src 192.168.1.0/24
-#Default:
-# http_access deny all
-#
-#Recommended minimum configuration:
-#
-# Only allow cachemgr access from localhost
 http_access allow manager localhost
 http_access deny manager
-# Only allow purge requests from localhost
-http_access allow purge localhost
-http_access deny purge
-# Deny requests to unknown ports
 http_access deny !Safe_ports
-# Deny CONNECT to other than SSL ports
 http_access deny CONNECT !SSL_ports
-#
-# We strongly recommend the following be uncommented to protect innocent
-# web applications running on the proxy server who think the only
-# one who can access services on "localhost" is a local user
-#http_access deny to_localhost
-#
-# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
-# Example rule allowing access from your local networks.
-# Adapt localnet in the ACL section to list your (internal) IP networks
-# from where browsing should be allowed
-#http_access allow localnet
 http_access allow localhost
+http_access allow localnet
-# And finally deny all other access to this proxy
+http_access allow lan
 http_access deny all
+http_port 3128 transparent
-#  TAG: http_access2
+coredump_dir /var/spool/squid3
-#       Allowing or Denying access based on defined access lists
-#
-#       Identical to http_access, but runs after redirectors. If not set
-#       then only http_access is used.
-#
 #Default:
-# none
+access_log /var/log/squid3/access.log squid
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:        1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+refresh_pattern .               0       20%     4320
+</code>
+===Redémarrer squid===
+<code root>/etc/init.d/squid3 restart</code>
-#Default:
+S'il n'y a pas d'erreur :
-# http_reply_access allow all
+<code>[ ok ] Restarting Squid HTTP proxy: squid.</code>
-#Default:
+===== configuration d'iptables (NAT) =====
-# icp_access deny all
+Nous n'avons pour l'instant que l'IP masquerade mis en place :
-#
-#Allow ICP queries from local networks only
-icp_access allow localnet
-icp_access deny all
-#Default:
-# htcp_access deny all
-#
-#Allow HTCP queries from local networks only
-# htcp_access allow localnet
-# htcp_access deny all
-# NETWORK OPTIONS
+  * Il faut ajouter :
-#Default:
+<code root>
-# none
+iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -J ACCEPT
+</code>
+  * Ce qui donne :
+<code root>iptables -L -t nat</code>
-#Default:
+<code>Chain PREROUTING (policy ACCEPT)
-# cache_log /var/log/squid/cache.log
+target     prot opt source      destination
+DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
+REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128
+Chain INPUT (policy ACCEPT)
+target     prot opt source      destination
+Chain OUTPUT (policy ACCEPT)
+target     prot opt source      destination
+Chain POSTROUTING (policy ACCEPT)
+target     prot opt source      destination
+MASQUERADE  all  --  anywhere   anywhere</code>
+===Configurer /etc/sysctl.conf ===
+  * Vérifier que les lignes suivantes comportes ces valeurs :
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
+# Controls source route verification
+net.ipv4.conf.default.rp_filter = 0
 </code>
+  * Faire rendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
-===== Installation =====
+=====Vérifications====
+===Générer du flux ===
+Tout bêtement, de côté du lan, on navigue.
+  * Voir le fichier /var/log/squid3/cache.log
+On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
+Par exemple ci-dessous les DNS enregistrés :
+<code>2014/10/16 13:11:45| Process ID 3735
+/10/16 13:11:45| With 65535 file descriptors available
+/10/16 13:11:45| Initializing IP Cache...
+/10/16 13:11:45| DNS Socket created at [::], FD 7
+/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
+/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
+  * Le fichier /var/log/squid3/access.log
+Ce dernier répertorie tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
+> **''time''** : le temps UTC (en ms) auquel la requête a été reçue.
+>**''elapsed''** : le temps de traitement par le serveur de la requête (en ms). Ce temps de traitement diffère selon le mode utilisé (connecté ou déconnecté) :
+  * Pour TCP, il s’agit du temps écoulé entre le moment où le serveur a reçu la requête et le moment où il a répondu au client.
+  * Pour UDP, il s’agit du temps calculé entre le moment où le serveur prévoit de répondre au client et le moment où il lui répond effectivement.
+>**''remotehost''** : l’adresse IP du client. Cette donnée peut être cachée pour rendre les logs anonymes.
+>**''code/status''** : le code résultat de la transaction. Ce champ est composé de deux entrées séparées par un slash : le code de statut de Squid et le code HTTP de la réponse du serveur d’origine. La plupart de ces codes sont détaillés plus bas.
+>**''bytes''** : la taille de la donnée livrée au client.
+>**''method''** : la méthode utilisée pour récupérer la ressource (GET, HEAD, etc.).
+>**''URL''** : l’URL de la ressource demandée.
+>**''rfc931''** : les informations utilisateurs (désactivé par défaut).
+>**''hierarchy code''** : un code permettant de savoir comment la requête a été traitée. Ce code peut être suivi par l’adresse IP vers laquelle la requête a été redirigée.
+>**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
+===Configuration du cache ===
+<code root>vim /etc/squid/squid.conf</code>
+Ajouter :
+<code>
+#Default:
+ cache_effective_user proxy
+#Default:
+ cache_log /var/log/squid/cache.log</code>
 ===== Utilisation =====

Debian-facile

Différences

Pied de page des forums