Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 10:43] Hypathie [Installation] |
utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 14:02] Hypathie [Introduction] |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
===== Introduction ===== | ===== Introduction ===== | ||
Voir : [[http://www.squid-cache.org/|le site de squid]] | Voir : [[http://www.squid-cache.org/|le site de squid]] | ||
+ | |||
+ | Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. | ||
+ | |||
===Prérequis=== | ===Prérequis=== | ||
Ligne 105: | Ligne 108: | ||
>''httpd_accel_port 80'': choix du port 80 comme port contrôlé par le proxy | >''httpd_accel_port 80'': choix du port 80 comme port contrôlé par le proxy | ||
>''httpd_accel_with_proxy on'': poser squid comme proxy local et comme accélérateur http | >''httpd_accel_with_proxy on'': poser squid comme proxy local et comme accélérateur http | ||
- | >httpd_accel_uses_host_header on: activer le nom d'hôte | + | >''httpd_accel_uses_host_header on'': activer le nom d'hôte |
- | >acl lan src 192.168.1.1 192.168.2.0/24: Liste de contrôle : le lan seulement utilise squid | + | >''acl lan src 192.168.1.1 192.168.2.0/24'': Liste de contrôle : le lan seulement utilise squid |
- | >http_access allow localhost: accès à squid permis au localhost | + | >''http_access allow localhost'': accès à squid permis au localhost |
- | >http_access allow lan: idem | + | >''http_access allow lan'': idem |
* Ce qui donne : | * Ce qui donne : | ||
Ligne 173: | Ligne 177: | ||
coredump_dir /var/spool/squid | coredump_dir /var/spool/squid | ||
</code> | </code> | ||
+ | |||
+ | ===Redémarrer squid=== | ||
+ | <code root>/etc/init.d/squid restart</code> | ||
===== configuration d'iptables (NAT) ===== | ===== configuration d'iptables (NAT) ===== | ||
+ | Nous n'avons pour l'instant que l'IP masquerade mis en place : | ||
+ | |||
+ | * On ajoute à iptables: | ||
+ | ''iptables -t nat -A PREROUTING -i interface_LAN -p tcp --dport 80 -j DNAT --to SQUID_SERVEUR:SQUID_PORT'' | ||
+ | <code root> | ||
+ | iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 | ||
+ | </code> | ||
+ | |||
+ | ''iptables -t nat -A PREROUTING -i interface_WEB -p tcp --dport 80 -j REDIRECT --to-port SQUID_PORT'' | ||
+ | <code root> | ||
+ | iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
+ | </code> | ||
+ | |||
+ | * Ce qui donne : | ||
+ | <code root>iptables -L -t nat</code> | ||
+ | |||
+ | <code>Chain PREROUTING (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.1.1:3128 | ||
+ | REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128 | ||
+ | |||
+ | Chain INPUT (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | |||
+ | Chain OUTPUT (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | Chain POSTROUTING (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | MASQUERADE all -- anywhere anywhere</code> | ||
===== Utilisation ===== | ===== Utilisation ===== | ||