L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 14:56]
Hypathie [Configuration de squid comme proxy transparent]
+++ utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 15:14]
Hypathie [configuration d'iptables (NAT)]
@@ Ligne 7: / Ligne 7: @@
 ===== Introduction =====
-Voir : [[http://www.squid-cache.org/|le site de squid]]
+Voir : [[http://www.squid-cache.org/|le site de squid]]\\
+[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
 Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
@@ Ligne 109: / Ligne 110: @@
 >''httpd_accel_with_proxy on'': poser squid comme proxy local et comme accélérateur http
 >''httpd_accel_uses_host_header on'': activer le nom d'hôte
->''acl lan src 192.168.1.1 192.168.2.0/24'': Liste de contrôle : le lan seulement utilise squid
+>''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
 >''http_access allow localhost'': accès à squid permis au localhost
 >''http_access allow lan'': idem
@@ Ligne 178: / Ligne 179: @@
 coredump_dir /var/spool/squid
 </code>
+S'il n'y a pas d'erreur :
+<code>[ ok ] Restarting Squid HTTP proxy: squid.</code>
 ===Redémarrer squid===
@@ Ligne 188: / Ligne 191: @@
 #port du proxy
-SQUIDPORT=3129
+SQUIDPORT=3128
+iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
+iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination $SQUIDIP:$SQUIDPORT
-iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
-iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3129
 iptables -t nat -A POSTROUTING -j MASQUERADE
-iptables -t mangle -A PREROUTING -p tcp --dport 192.168.0.1 -j DROP</code>
+iptables -t mangle -A PREROUTING -p tcp --dport $SQUIDPORT -j DROP
+</code>
+  * Ce qui donne par exemple pour notre configuration:
+<code root>
+iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
+iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
+#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (déjà dans le pare-feu, sinon à décommenter)
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+</code>
   * Ce qui donne :
@@ Ligne 213: / Ligne 227: @@
 target     prot opt source      destination
 MASQUERADE  all  --  anywhere   anywhere</code>
+===Configurer /etc/sysctl.conf ===
+  * Vérifier que les lignes suivantes comportes ces valeurs :
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
+# Controls source route verification
+net.ipv4.conf.default.rp_filter = 0
+# Do not accept source routing
+#net.ipv4.conf.default.accept_source_route = 0
+</code>
+  * Faire rendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
 ===== Utilisation =====

Debian-facile

Différences

Pied de page des forums