Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
utilisateurs:hypathie:tutos:proxy-transparent [16/10/2014 18:29] Hypathie [Introduction] |
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 09:10] Hypathie [Configuration de squid comme proxy transparent] |
||
|---|---|---|---|
| Ligne 26: | Ligne 26: | ||
| =====Configuration de squid comme proxy transparent===== | =====Configuration de squid comme proxy transparent===== | ||
| + | Squid permet options et modules :\\ | ||
| + | |||
| + | * préfetch : de précharger les pages et ainsi accélérer la navigation; | ||
| + | * filtres antivirus, antipopups, etc. | ||
| + | * contrôle d'accès au proxy par login et mot de passe. | ||
| + | * contrôle d'accès en fonction des heures. | ||
| + | Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe... | ||
| + | |||
| ===Faire une sauvegarde du fichier de configuration === | ===Faire une sauvegarde du fichier de configuration === | ||
| - | Le fichier est commenté quasiment entièrement. | + | Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description assez complète de chacun d’eux. |
| - | <code root>cp /etc/squid/squid.conf /etc/squid/squid.conf-saved</code> | + | <note tip> |
| + | **__Voici la définition de quelques options de configuration basiques :__** | ||
| - | Puis pour y voir plus clair, on toutes les lignes dé-commentées du fichier original, et on re-crée ce fichier afin qu'il ne contienne que ces lignes. | + | **''http_port''** : permet de définir le port sur lequel se lance Squid.\\ Par défaut, Squid se lance sur le port 3128. Il est également possible de définir plusieurs ports. |
| - | <code root>echo "`grep -v "^#" /etc/squid/squid.conf | sed -e '/^$/d'`" >/etc/squid/squid.conf</code> | + | http_port 3128 8080 |
| - | Ce qui donne : | + | **''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par exemple : |
| - | <code user>less /etc/squid/squid.conf</code> | + | |
| - | <code> | + | cache_dir ufs /usr/local/squid/var/cache/ 100 16 256 |
| - | acl all src all | + | |
| - | acl manager proto cache_object #par défaut | + | "Remarque : Le type ufs de magasin:\\ |
| - | acl localhost src 127.0.0.1/32 # par défaut | + | "ufs" est l'ancien format de stockage Squid bien connu qui a toujours été là." |
| - | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 # par défaut | + | |
| - | acl localnet src 10.0.0.0/8 # RFC1918 possible internal network | + | **''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local : |
| - | acl localnet src 172.16.0.0/12 # RFC1918 possible internal network | + | |
| - | acl localnet src 192.168.0.0/16 # RFC1918 possible internal network | + | * Définition d'une liste d'accès |
| - | acl SSL_ports port 443 # https | + | |
| - | acl SSL_ports port 563 # snews | + | acl localhost src 127.0.0.1/32 |
| - | acl SSL_ports port 873 # rsync | + | |
| - | acl Safe_ports port 80 # http | + | * Définition des droits de cette liste |
| - | acl Safe_ports port 21 # ftp | + | |
| - | acl Safe_ports port 443 # https | + | http_access allow localhost |
| - | acl Safe_ports port 70 # gopher | + | |
| - | acl Safe_ports port 210 # wais | + | * Interdiction à toutes les autres listes |
| - | acl Safe_ports port 1025-65535 # unregistered ports | + | |
| - | acl Safe_ports port 280 # http-mgmt | + | http_access deny all |
| - | acl Safe_ports port 488 # gss-http | + | |
| - | acl Safe_ports port 591 # filemaker | + | **__Concernant la mise en cache les résolutions DNS__** : |
| - | acl Safe_ports port 777 # multiling http | + | |
| - | acl Safe_ports port 631 # cups | + | **''positive_dns_ttl''** : permet de définir la limite supérieure au-delà de laquelle le serveur invalidera une résolution DNS positive mise en cache. |
| - | acl Safe_ports port 873 # rsync | + | Par défaut cette option est positionnée à 6 heures (360 minutes). Cette valeur doit être plus grande que celle de l’option negative_dns_ttl. |
| - | acl Safe_ports port 901 # SWAT | + | |
| - | acl purge method PURGE | + | **''negative_dns_ttl''** : permet de définir la durée pendant laquelle une résolution DNS négative sera gardée en cache. La valeur minimale est de 1 seconde et il n’est pas recommandé d’aller au-delà de 10 secondes. |
| - | acl CONNECT method CONNECT | + | |
| - | http_access deny all | + | **__Concernant l'affichage des traces de debug__ :** |
| - | http_access allow manager localhost | + | |
| - | http_access deny manager | + | **''log_mime_hdrs''** : permet d’afficher les en-têtes HTTP des requêtes et des réponses dans les logs d’activité. |
| - | http_access allow purge localhost | + | |
| - | http_access deny purge | + | **''debug_options''** : cette option permet d’afficher les différentes informations de debug de Squid. Le système de log du serveur est décomposé en sections. Il est donc possible de paramétrer le niveau de log de chacune de ces sections en fonction de ce que l’on souhaite étudier.(( Il existe **93** sections et 10 niveaux de debug, de __0 à 9__, 9 étant le plus précis.)) Voici une configuration qui permet d’avoir un peu plus d’informations sur les traitements réalisés par Squid en interne ((attention toutefois car les fichiers de log peuvent très vite devenir volumineux)) : |
| - | http_access deny !Safe_ports | + | |
| - | http_access deny CONNECT !SSL_ports | + | debug_options ALL,1 17,2 55,2 56,2 57,2 58,2 |
| - | http_access allow localnet | + | |
| - | http_access allow localhost | + | >section **17** Request Forwarding __2__ |
| - | http_access deny all | + | >section **55** HTTP Header __2__ |
| - | icp_access allow localnet | + | >section **56** HTTP Message Body __2__ |
| - | icp_access deny all | + | >section **57** HTTP Status-line __2__ |
| - | http_port 3128 | + | >section **58** HTTP Reply (Response) __2__ |
| - | hierarchy_stoplist cgi-bin ? | + | </note> |
| - | cache_mem 8 MB | + | |
| - | access_log /var/log/squid/access.log squid | + | |
| - | refresh_pattern ^ftp: 1440 20% 10080 | + | |
| - | refresh_pattern ^gopher: 1440 0% 1440 | + | * On sauvegarde l'original : |
| - | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | + | <code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code> |
| - | refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 | + | |
| - | refresh_pattern . 0 20% 4320 | + | * Puis pour y voir plus clair |
| - | acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] | + | On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il ne contienne que ces lignes dé-commentées par défaut. |
| - | upgrade_http0.9 deny shoutcast | + | |
| - | acl apache rep_header Server ^Apache | + | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> |
| - | broken_vary_encoding allow apache | + | |
| - | extension_methods REPORT MERGE MKACTIVITY CHECKOUT | + | |
| - | visible_hostname debian-serveur | + | |
| - | hosts_file /etc/hosts | + | |
| - | coredump_dir /var/spool/squid | + | |
| - | </code> | + | |
| * On ajoute ou modifie les lignes suivantes : | * On ajoute ou modifie les lignes suivantes : | ||
| Ligne 98: | Ligne 101: | ||
| <code> | <code> | ||
| acl localnet src 192.168.1.0/24 | acl localnet src 192.168.1.0/24 | ||
| - | httpd_accel_host virtual | ||
| - | httpd_accel_port 80 | ||
| - | httpd_accel_with_proxy on | ||
| - | httpd_accel_uses_host_header on | ||
| acl lan src 192.168.0.1 192.168.1.0/24 | acl lan src 192.168.0.1 192.168.1.0/24 | ||
| http_access allow localhost | http_access allow localhost | ||
| + | http_access allow localnet | ||
| http_access allow lan | http_access allow lan | ||
| + | #Default: | ||
| + | access_log /var/log/squid3/access.log squid | ||
| </code> | </code> | ||
| > ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy | > ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy | ||
| - | >''httpd_accel_host virtual'': Squid comme un accélérateur de http((Dans ce mode, Squid est capable de se substituer à un serveur http, il fonctionne alors en "reverse proxying". Il ne sert donc plus à partager "le monde" pour un réseau, mais à partager une machine (ou plusieurs) "au monde". Ainsi, les clients n'accéderons plus au serveur http, mais à Squid. Dans une configuration classique, Squid devra donc écouter sur le port 80 et avoir connaissance du serveur http qu'il remplace. )) | ||
| - | >''httpd_accel_port 80'': choix du port 80 comme port contrôlé par le proxy | ||
| - | >''httpd_accel_with_proxy on'': poser squid comme proxy local et comme accélérateur http | ||
| - | >''httpd_accel_uses_host_header on'': activer le nom d'hôte | ||
| >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | ||
| >''http_access allow localhost'': accès à squid permis au localhost | >''http_access allow localhost'': accès à squid permis au localhost | ||
| >''http_access allow lan'': idem | >''http_access allow lan'': idem | ||
| >''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent" | >''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent" | ||
| + | >''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute. | ||
| + | >#Default: | ||
| + | ># cache_mem 256 MB | ||
| + | >#Default: | ||
| + | ># maximum_object_size_in_memory 512 KB | ||
| + | ># Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque: | ||
| + | >''#cache_dir ufs /var/spool/squid3 100 16 256'' | ||
| + | >#Default: | ||
| + | >''# store_dir_select_algorithm least-load'' | ||
| + | ># A value of 0 indicates no limit. | ||
| + | >#Default: | ||
| + | ># max_open_disk_fds 0 | ||
| + | ># TAG: minimum_object_size (bytes) | ||
| + | ># Objects smaller than this size will NOT be saved on disk. The | ||
| + | ># value is specified in kilobytes, and the default is 0 KB, which | ||
| + | ># means there is no minimum. | ||
| + | >#Default: | ||
| + | >''# minimum_object_size 0 KB'' | ||
| + | >#Default: | ||
| + | >''# maximum_object_size 4096 KB'' | ||
| * Ce qui donne : | * Ce qui donne : | ||
| + | <code user>less /etc/squid3/squid.conf</code> | ||
| <code> | <code> | ||
| - | acl all src all | + | acl manager proto cache_object |
| - | acl manager proto cache_object #par défaut | + | acl localhost src 127.0.0.1/32 ::1 |
| - | acl localhost src 127.0.0.1/32 # par défaut | + | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 |
| - | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 # par défaut | + | |
| acl localnet src 192.168.1.0/24 # RFC1918 possible internal network | acl localnet src 192.168.1.0/24 # RFC1918 possible internal network | ||
| - | acl localnet src 192.168.0.0/16 # RFC1918 possible internal network | + | acl SSL_ports port 443 |
| - | acl SSL_ports port 443 # https | + | |
| - | acl SSL_ports port 563 # snews | + | |
| - | acl SSL_ports port 873 # rsync | + | |
| acl Safe_ports port 80 # http | acl Safe_ports port 80 # http | ||
| acl Safe_ports port 21 # ftp | acl Safe_ports port 21 # ftp | ||
| Ligne 138: | Ligne 153: | ||
| acl Safe_ports port 591 # filemaker | acl Safe_ports port 591 # filemaker | ||
| acl Safe_ports port 777 # multiling http | acl Safe_ports port 777 # multiling http | ||
| - | acl Safe_ports port 631 # cups | ||
| - | acl Safe_ports port 873 # rsync | ||
| - | acl Safe_ports port 901 # SWAT | ||
| - | acl purge method PURGE | ||
| acl CONNECT method CONNECT | acl CONNECT method CONNECT | ||
| - | http_access deny all | + | acl lan src 192.168.1.0/24 |
| http_access allow manager localhost | http_access allow manager localhost | ||
| http_access deny manager | http_access deny manager | ||
| - | http_access allow purge localhost | ||
| - | http_access deny purge | ||
| http_access deny !Safe_ports | http_access deny !Safe_ports | ||
| http_access deny CONNECT !SSL_ports | http_access deny CONNECT !SSL_ports | ||
| - | http_access allow localnet | ||
| - | httpd_accel_host virtual | ||
| - | httpd_accel_port 80 | ||
| - | httpd_accel_with_proxy on | ||
| - | httpd_accel_uses_host_header on | ||
| - | acl lan src 192.168.0.1 192.168.1.0/24 | ||
| http_access allow localhost | http_access allow localhost | ||
| + | http_access allow localnet | ||
| http_access allow lan | http_access allow lan | ||
| http_access deny all | http_access deny all | ||
| - | icp_access allow localnet | ||
| - | icp_access deny all | ||
| http_port 3128 transparent | http_port 3128 transparent | ||
| - | hierarchy_stoplist cgi-bin ? | + | coredump_dir /var/spool/squid3 |
| - | cache_mem 8 MB | + | #Default: |
| - | access_log /var/log/squid/access.log squid | + | access_log /var/log/squid3/access.log squid |
| refresh_pattern ^ftp: 1440 20% 10080 | refresh_pattern ^ftp: 1440 20% 10080 | ||
| refresh_pattern ^gopher: 1440 0% 1440 | refresh_pattern ^gopher: 1440 0% 1440 | ||
| refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | ||
| - | refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 | ||
| refresh_pattern . 0 20% 4320 | refresh_pattern . 0 20% 4320 | ||
| - | acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] | ||
| - | upgrade_http0.9 deny shoutcast | ||
| - | acl apache rep_header Server ^Apache | ||
| - | broken_vary_encoding allow apache | ||
| - | extension_methods REPORT MERGE MKACTIVITY CHECKOUT | ||
| - | visible_hostname debian-serveur | ||
| - | hosts_file /etc/hosts | ||
| - | coredump_dir /var/spool/squid | ||
| </code> | </code> | ||
| ===Redémarrer squid=== | ===Redémarrer squid=== | ||
| - | <code root>/etc/init.d/squid restart</code> | + | <code root>/etc/init.d/squid3 restart</code> |
| S'il n'y a pas d'erreur : | S'il n'y a pas d'erreur : | ||
