logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 10:04]
Hypathie [Configuration de squid comme proxy transparent] 		utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 15:14]
Hypathie [configuration d'iptables (NAT)]
Ligne 7: Ligne 7:
  
 ===== Introduction ===== ===== Introduction =====
-Voir : [[http://​www.squid-cache.org/​|le site de squid]]+Voir : [[http://​www.squid-cache.org/​|le site de squid]]\\  
 +[[http://​wiki.squid-cache.org/​ConfigExamples/​Intercept/​LinuxDnat|proxy transparent]] 
 + 
 +Lorsqu'​un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'​utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'​adresse IP. 
 ===Prérequis=== ===Prérequis===
  
Ligne 88: Ligne 92:
 </​code>​ </​code>​
  
-===== Installation =====+  * On ajoute ou modifie les lignes suivantes : 
 +eth0 (vers internet) : 192.168.0.1\\  
 +eth1 (vers lan) : 192.168.1.1 
 +<​code>​ 
 +acl localnet src 192.168.1.0/​24 
 +httpd_accel_host virtual 
 +httpd_accel_port 80 
 +httpd_accel_with_proxy on 
 +httpd_accel_uses_host_header on 
 +acl lan src 192.168.0.1 192.168.1.0/​24 
 +http_access allow localhost 
 +http_access allow lan 
 +</​code>​ 
 +> ''​acl localnet src 192.168.1.0/​24''​ : le réseau qui doit avoir accès au serveur proxy 
 +>''​httpd_accel_host virtual'':​ Squid comme un accélérateur de http((Dans ce mode, Squid est capable de se substituer à un serveur http, il fonctionne alors en "​reverse proxying"​. Il ne sert donc plus à partager "le monde" pour un réseau, mais à partager une machine (ou plusieurs) "au monde"​. Ainsi, les clients n'​accéderons plus au serveur http, mais à Squid. Dans une configuration classique, Squid devra donc écouter sur le port 80 et avoir connaissance du serveur http qu'il remplace. )) 
 +>''​httpd_accel_port 80'':​ choix du port 80 comme port contrôlé par le proxy 
 +>''​httpd_accel_with_proxy on'':​ poser squid comme proxy local et comme accélérateur http 
 +>''​httpd_accel_uses_host_header on'':​ activer le nom d'​hôte 
 +>''​acl lan src 192.168.0.1 192.168.1.0/​24'':​ Liste de contrôle : le lan seulement utilise squid 
 +>''​http_access allow localhost'':​ accès à squid permis au localhost 
 +>''​http_access allow lan'':​ idem 
 +>''​http_port 3128''​ : "​http_port 3128" devient "​http_port 3128 transparent"​
  
 +
 +  * Ce qui donne :
 +<​code>​
 +acl all src all
 +acl manager proto cache_object #par défaut
 +acl localhost src 127.0.0.1/​32 # par défaut
 +acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 # par défaut
 +acl localnet src 192.168.1.0/​24 # RFC1918 possible internal network
 +acl localnet src 172.16.0.0/​12 ​ # RFC1918 possible internal network
 +acl localnet src 192.168.0.0/​16 # RFC1918 possible internal network
 +acl SSL_ports port 443          # https
 +acl SSL_ports port 563          # snews
 +acl SSL_ports port 873          # rsync
 +acl Safe_ports port 80          # http
 +acl Safe_ports port 21          # ftp
 +acl Safe_ports port 443         # https
 +acl Safe_ports port 70          # gopher
 +acl Safe_ports port 210         # wais
 +acl Safe_ports port 1025-65535 ​ # unregistered ports
 +acl Safe_ports port 280         # http-mgmt
 +acl Safe_ports port 488         # gss-http
 +acl Safe_ports port 591         # filemaker
 +acl Safe_ports port 777         # multiling http
 +acl Safe_ports port 631         # cups
 +acl Safe_ports port 873         # rsync
 +acl Safe_ports port 901         # SWAT
 +acl purge method PURGE
 +acl CONNECT method CONNECT
 +http_access deny all
 +http_access allow manager localhost
 +http_access deny manager
 +http_access allow purge localhost
 +http_access deny purge
 +http_access deny !Safe_ports
 +http_access deny CONNECT !SSL_ports
 +http_access allow localnet
 +httpd_accel_host virtual
 +httpd_accel_port 80
 +httpd_accel_with_proxy on
 +httpd_accel_uses_host_header on
 +acl lan src 192.168.0.1 192.168.1.0/​24
 +http_access allow localhost
 +http_access allow lan
 +http_access deny all
 +icp_access allow localnet
 +icp_access deny all
 +http_port 3128 transparent
 +hierarchy_stoplist cgi-bin ?
 +cache_mem 8 MB
 +access_log /​var/​log/​squid/​access.log squid
 +refresh_pattern ^ftp:           ​1440 ​   20%     10080
 +refresh_pattern ^gopher: ​       1440    0%      1440
 +refresh_pattern -i (/​cgi-bin/​|\?​) 0     ​0% ​     0
 +refresh_pattern (Release|Packages(.gz)*)$ ​      ​0 ​      ​20% ​    2880
 +refresh_pattern .               ​0 ​      ​20% ​    4320
 +acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
 +upgrade_http0.9 deny shoutcast
 +acl apache rep_header Server ^Apache
 +broken_vary_encoding allow apache
 +extension_methods REPORT MERGE MKACTIVITY CHECKOUT
 + ​visible_hostname debian-serveur
 +hosts_file /etc/hosts
 +coredump_dir /​var/​spool/​squid
 +</​code>​
 +S'il n'y a pas d'​erreur :
 +<​code>​[ ok ] Restarting Squid HTTP proxy: squid.</​code>​
 +
 +===Redémarrer squid===
 +<code root>/​etc/​init.d/​squid restart</​code>​
 +===== configuration d'​iptables (NAT) =====
 +Nous n'​avons pour l'​instant que l'IP masquerade mis en place :
 +
 +<​code>#​ proxy IP
 +SQUIDIP=192.168.0.1
 +
 +#port du proxy
 +SQUIDPORT=3128
 +
 +iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
 +
 +iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination $SQUIDIP:​$SQUIDPORT
 +
 +iptables -t nat -A POSTROUTING -j MASQUERADE
 +
 +iptables -t mangle -A PREROUTING -p tcp --dport $SQUIDPORT -j DROP
 +</​code>​
 +
 +  * Ce qui donne par exemple pour notre configuration:​
 +<code root>
 +iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
 +iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:​3128
 +#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (déjà dans le pare-feu, sinon à décommenter)
 +iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
 +</​code>​
 +
 +  * Ce qui donne :
 +<code root>​iptables -L -t nat</​code>​
 +
 +<​code>​Chain PREROUTING (policy ACCEPT)
 +target ​    prot opt source ​     destination ​        
 +DNAT       ​tcp ​ --  anywhere ​   anywhere ​     tcp dpt:http to:​192.168.1.1:​3128
 +REDIRECT ​  ​tcp ​ --  anywhere ​   anywhere ​     tcp dpt:http redir ports 3128
 +
 +Chain INPUT (policy ACCEPT)
 +target ​    prot opt source ​     destination ​        
 +
 +Chain OUTPUT (policy ACCEPT)
 +target ​    prot opt source ​     destination ​        
 +
 +Chain POSTROUTING (policy ACCEPT)
 +target ​    prot opt source ​     destination ​        
 +MASQUERADE ​ all  --  anywhere ​  ​anywhere</​code>​
 +
 +===Configurer /​etc/​sysctl.conf ===
 +  * Vérifier que les lignes suivantes comportes ces valeurs :
 +
 +<​code>​
 +# Controls IP packet forwarding
 +net.ipv4.ip_forward = 1
 +
 +# Controls source route verification
 +net.ipv4.conf.default.rp_filter = 0
 +
 +# Do not accept source routing
 +#​net.ipv4.conf.default.accept_source_route = 0
 +</​code>​
 +  * Faire rendre en compte une éventuelle modification :
 +<code root>​sysctl -p</​code>​
 ===== Utilisation ===== ===== Utilisation =====
  
  
Donate Powered by PHP Valid HTML5 Valid XHTML 1.0 Valid CSS Driven by DokuWiki

Pied de page des forums

Propulsé par FluxBB