L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 08:27]
Hypathie [Configuration de squid comme proxy transparent]
+++ utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 17:44]
Hypathie [Introduction]
@@ Ligne 8: / Ligne 8: @@
 ===== Introduction =====
 Voir : [[http://www.squid-cache.org/|le site de squid]]\\
-[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
+[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]\\
+Voir aussi : [[http://www.sput.nl/software/squid33.html]]\\
+[[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]]
 Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
-===Prérequis===
+====Prérequis====
 Un serveur DNS est installé sur la passerelle.\\
@@ Ligne 21: / Ligne 24: @@
 ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''
-Le serveur squid est installé :
+=== Configuration d'iptables (NAT) ===
-<code root>apt-get install squid3</code>
-<code root>apt-get build-dep squid3</code>
-=====Configuration de squid comme proxy transparent=====
+  * Pour faire choses proprement on flush les tables concernées et on ajoute :
-===Faire une sauvegarde du fichier de configuration ===
-Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description assez complète de chacun d’eux.
-<note tip>
-**__Voici la définition de quelques options de configuration basiques :__**
-**''http_port''** : permet de définir le port sur lequel se lance Squid.\\ Par défaut, Squid se lance sur le port 3128. Il est également possible de définir plusieurs ports.
+<code root>
+iptables -t nat -F
+iptables -t nat -X
+iptables -t mangle -F
+iptables -t mangle -X
-  http_port 3128 8080
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-**''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par exemple :
+iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
-  cache_dir ufs /usr/local/squid/var/cache/ 100 16 256
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+</code>
-**''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local :
+Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
-  * Définition d'une liste d'accès
-  acl localhost src 127.0.0.1/32
+<note>
+**Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER**
-  * Définition des droits de cette liste
+**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
-  http_access allow localhost
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
-  * Interdiction à toutes les autres listes
+</note>
-  http_access deny all
+  * On conserve nos règles iptables pour le proxy
+<code root>
+iptables-save > /etc/iptables.squid
+echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
-**__Concernant la mise en cache les résolutions DNS__** :
+===Configurer /etc/sysctl.conf ===
+La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
-**''positive_dns_ttl''** : permet de définir la limite supérieure au-delà de laquelle le serveur invalidera une résolution DNS positive mise en cache.
+# Controls source route verification
-Par défaut cette option est positionnée à 6 heures (360 minutes). Cette valeur doit être plus grande que celle de l’option negative_dns_ttl.
+net.ipv4.conf.default.rp_filter = 0
+</code>
+  * Faire rendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
-**''negative_dns_ttl''** : permet de définir la durée pendant laquelle une résolution DNS négative sera gardée en cache. La valeur minimale est de 1 seconde et il n’est pas recommandé d’aller au-delà de 10 secondes.
-**__Concernant l'affichage des traces de debug__ :**
+====Installer le serveur squid3====
-**''log_mime_hdrs''** : permet d’afficher les en-têtes HTTP des requêtes et des réponses dans les logs d’activité.
+<code root>apt-get build-dep squid3</code>
-**''debug_options''** : cette option permet d’afficher les différentes informations de debug de Squid. Le système de log du serveur est décomposé en sections. Il est donc possible de paramétrer le niveau de log de chacune de ces sections en fonction de ce que l’on souhaite étudier.(( Il existe **93** sections et 10 niveaux de debug, de __0 à 9__, 9 étant le plus précis.)) Voici une configuration qui permet d’avoir un peu plus d’informations sur les traitements réalisés par Squid en interne ((attention toutefois car les fichiers de log peuvent très vite devenir volumineux)) :
+<code root>apt-get install squid3</code>
-  debug_options ALL,1 17,2 55,2 56,2 57,2 58,2
+=====Configuration de squid comme proxy transparent=====
+Squid permet options et modules :\\
->section **17** Request Forwarding __2__
->section **55** HTTP Header __2__
->section **56** HTTP Message Body  __2__
->section **57** HTTP Status-line  __2__
->section **58** HTTP Reply (Response) __2__
-</note>
+  * préfetch : de précharger les pages et ainsi accélérer la navigation;
+  * filtres antivirus, antipopups, etc.
+  * contrôle d'accès au proxy par login et mot de passe.
+  * contrôle d'accès en fonction des heures.
+Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe...
+===Faire une sauvegarde du fichier de configuration ===
+Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description très complète de chacun d’eux.
+  * **On sauvegarde l'original** :
+C'est très important pour la suite !
-  * On sauvegarde l'original :
 <code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-  * Puis pour y voir plus clair
+  * Puis pour y voir plus clair :
-On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il ne contienne que ces lignes dé-commentées par défaut.
+On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
 <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
   * On ajoute ou modifie les lignes suivantes :
+Rappel de la configuration:\\
 eth0 (vers internet) : 192.168.0.1\\
 eth1 (vers lan) : 192.168.1.1
-<code>
-acl localnet src 192.168.1.0/24
-acl lan src 192.168.0.1 192.168.1.0/24
-http_access allow localhost
-http_access allow localnet
-http_access allow lan
-#Default:
-access_log /var/log/squid3/access.log squid
-</code>
 > ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
 >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
@@ Ligne 103: / Ligne 112: @@
 >''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
 >''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
+  * Concernant le cache tout est commenté dans le fichier original
+On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
   * Ce qui donne :
@@ Ligne 110: / Ligne 122: @@
 acl localhost src 127.0.0.1/32 ::1
 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
 acl SSL_ports port 443
 acl Safe_ports port 80          # http
@@ Ligne 123: / Ligne 135: @@
 acl Safe_ports port 777         # multiling http
 acl CONNECT method CONNECT
-acl lan src 192.168.1.0/24
+acl lan src 192.168.0.1 192.168.1.0/24
 http_access allow manager localhost
 http_access deny manager
@@ Ligne 130: / Ligne 142: @@
 http_access allow localhost
 http_access allow localnet
 http_access allow lan
 http_access deny all
 http_port 3128 transparent
-coredump_dir /var/spool/squid3
+#hierarchy_stoplist cgi-bin ?
+cache allow LocalNet
+#cache deny QUERY
+# MEMORY CACHE OPTIONS
+#Default:
+#cache_mem 256 MB
+cache_mem 8 MB
+#Default:
+maximum_object_size_in_memory 256 KB
+#memory_replacement_policy lru
+# DISK CACHE OPTIONS
+# Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
+cache_dir ufs /var/spool/squid3 100 16 256
+#Default:
+#store_dir_select_algorithm least-load
+# A value of 0 indicates no limit.
+#Default:
+max_open_disk_fds 0
+# TAG: minimum_object_size (bytes)
+# Objects smaller than this size will NOT be saved on disk. The
+# value is specified in kilobytes, and the default is 0 KB, which
+# means there is no minimum.
+#Default:
+minimum_object_size 0 KB
+#Default:
+maximum_object_size 10 KB
+# LOG_FILE OPTIONS
 #Default:
 access_log /var/log/squid3/access.log squid
+#Default:
+cache_log /var/log/squid3/cache.log
+# Leave coredumps in the first cache dir
+#coredump_dir /var/spool/squid3
+# OPTIONS FOR TUNING THE CACHE
+cache allow all
 refresh_pattern ^ftp:           1440    20%     10080
 refresh_pattern ^gopher:        1440    0%      1440
 refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
 refresh_pattern .               0       20%     4320
+hosts_file /etc/hosts
 </code>
-===Redémarrer squid===
+===Activation du cache ===
+Avec squid3 le cache n'est pas activer.\\
+Pour l'activer, il va falloir aller chercher dans le fichier original ce qui concerne la mise en cache !
+En voilà un résumé ;-)
+<note tip>
+**__Voici la définition de quelques options de configuration basiques :__**
+**''http_port''** : permet de définir le port sur lequel se lance Squid.\\ Par défaut, Squid se lance sur le port 3128. Il est également possible de définir plusieurs ports.
+  http_port 3128 8080
+**''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par exemple :
+  cache_dir ufs /usr/local/squid/var/cache/ 100 16 256
+"Remarque : Le type ufs de magasin:\\
+"ufs" est l'ancien format de stockage Squid bien connu qui a toujours été là."
+**''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local :
+  * Définition d'une liste d'accès
+  acl localhost src 127.0.0.1/32
+  * Définition des droits de cette liste
+  http_access allow localhost
+  * Interdiction à toutes les autres listes
+  http_access deny all
+**__Concernant la mise en cache les résolutions DNS__** :
+**''positive_dns_ttl''** : permet de définir la limite supérieure au-delà de laquelle le serveur invalidera une résolution DNS positive mise en cache.
+Par défaut cette option est positionnée à 6 heures (360 minutes). Cette valeur doit être plus grande que celle de l’option negative_dns_ttl.
+**''negative_dns_ttl''** : permet de définir la durée pendant laquelle une résolution DNS négative sera gardée en cache. La valeur minimale est de 1 seconde et il n’est pas recommandé d’aller au-delà de 10 secondes.
+**__Concernant l'affichage des traces de debug__ :**
+**''log_mime_hdrs''** : permet d’afficher les en-têtes HTTP des requêtes et des réponses dans les logs d’activité.
+**''debug_options''** : cette option permet d’afficher les différentes informations de debug de Squid. Le système de log du serveur est décomposé en sections. Il est donc possible de paramétrer le niveau de log de chacune de ces sections en fonction de ce que l’on souhaite étudier.(( Il existe **93** sections et 10 niveaux de debug, de __0 à 9__, 9 étant le plus précis.)) Voici une configuration qui permet d’avoir un peu plus d’informations sur les traitements réalisés par Squid en interne ((attention toutefois car les fichiers de log peuvent très vite devenir volumineux)) :
+  debug_options ALL,1 17,2 55,2 56,2 57,2 58,2
+>section **17** Request Forwarding __2__
+>section **55** HTTP Header __2__
+>section **56** HTTP Message Body  __2__
+>section **57** HTTP Status-line  __2__
+>section **58** HTTP Reply (Response) __2__
+</note>
+  * Il faut donc extraire ce qui nous intéresse concernant le cache du fichier de configuration /etc/squid3/squid.conf :
+>#Default:
+>''# cache_mem 256 MB''
+>#Default:
+>''# maximum_object_size_in_memory 512 KB''
+># Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
+>''#cache_dir ufs /var/spool/squid3 100 16 256''
+>#Default:
+>''# store_dir_select_algorithm least-load''
+>#       A value of 0 indicates no limit.
+>#Default:
+>''# max_open_disk_fds 0''
+>#  TAG: minimum_object_size     (bytes)
+>#       Objects smaller than this size will NOT be saved on disk.  The
+>#       value is specified in kilobytes, and the default is 0 KB, which
+>#       means there is no minimum.
+>#Default:
+>''# minimum_object_size 0 KB''
+>#Default:
+>''# maximum_object_size 4096 KB''
+>''cache'' : pour déterminer l'utilisation du cache\\ ''cache allow LocalNet'' ; elle doit remplacer ''no_cache''
+<note important>
+Comparer :\\
+-> ''# cache_mem 256 MB''\\
+-> ''#cache_dir ufs /var/spool/squid3 100 16 256''\\
+=> La définition de la mémoire cache (256 MB) serait plus large que l'espace disque défini (100MB) !\\
+Donc attention en dé-commentant !
+  df -h /var
+  Sys. fich.              Taille Util. Dispo Uti% Monté sur
+  /dev/mapper/systeme-var   2,8G  1,0G  1,7G  39% /var
+</note>
+  * Grâce à la ligne suivant les fichiers du cache sont créés
+>''cache_dir ufs /var/spool/squid3 100 16 256''
+Et quand on re-démarre squid3 :
 <code root>/etc/init.d/squid3 restart</code>
+<code>2014/10/17 16:29:49| Creating Swap Directories
+/10/17 16:29:49| /var/spool/squid3 exists
+/10/17 16:29:49| Making directories in /var/spool/squid3/00
+/10/17 16:29:49| Making directories in /var/spool/squid3/01
+/10/17 16:29:49| Making directories in /var/spool/squid3/02
+/10/17 16:29:49| Making directories in /var/spool/squid3/03
+/10/17 16:29:49| Making directories in /var/spool/squid3/04
+/10/17 16:29:49| Making directories in /var/spool/squid3/05
+/10/17 16:29:49| Making directories in /var/spool/squid3/06
+/10/17 16:29:49| Making directories in /var/spool/squid3/07
+/10/17 16:29:49| Making directories in /var/spool/squid3/08
+/10/17 16:29:49| Making directories in /var/spool/squid3/09
+/10/17 16:29:49| Making directories in /var/spool/squid3/0A
+/10/17 16:29:49| Making directories in /var/spool/squid3/0B
+/10/17 16:29:49| Making directories in /var/spool/squid3/0C
+/10/17 16:29:49| Making directories in /var/spool/squid3/0D
+/10/17 16:29:49| Making directories in /var/spool/squid3/0E
+/10/17 16:29:50| Making directories in /var/spool/squid3/0F
+. ok </code>
-S'il n'y a pas d'erreur :
+<note>
-<code>[ ok ] Restarting Squid HTTP proxy: squid.</code>
+Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement, ou tout simplement si on veut le vider complètement :\\
+  * Il faut arrêter squid :
+<code root>/etc/init.d/squid3 stop</code>
-===== configuration d'iptables (NAT) =====
+  * On se déplace dans le répertoire du cache :
-Nous n'avons pour l'instant que l'IP masquerade mis en place :
+(S'il vous plaît servez-vous de l'auto-complétion, surtout ici)
+<code root>cd /var/spool/squid3/</code>
+  * On supprime tous les dossiers
-  * Il faut ajouter :
+<code root>rm -rv 0*</code>
-<code root>
+  * On supprime les fichiers
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
+<code root>rm -v swap.state*</code>
-iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -J ACCEPT
-</code>
-  * Ce qui donne :
+  * On relance squid3 :
-<code root>iptables -L -t nat</code>
+<code root>/etc/init.d/squid3 start</code>
+</note>
-<code>Chain PREROUTING (policy ACCEPT)
-target     prot opt source      destination
-DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
-REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128
-Chain INPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain OUTPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain POSTROUTING (policy ACCEPT)
-target     prot opt source      destination
-MASQUERADE  all  --  anywhere   anywhere</code>
-===Configurer /etc/sysctl.conf ===
-  * Vérifier que les lignes suivantes comportes ces valeurs :
-<code>
+=====Vérifications====
-# Controls IP packet forwarding
+Dans le fichier de configuration /etc/squid3/squid.conf :\\
-net.ipv4.ip_forward = 1
-# Controls source route verification
+  * les dossiers du cache : /var/spool/squid3
-net.ipv4.conf.default.rp_filter = 0
+  * le fichier de log d'accès : /var/log/squid3/access.log
+  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
+  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
+  * cache_log /var/log/squid3/cache.log
+====Vérifier le passage par le proxy ====
+Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
+Il faut :
+  * Générer du flux depuis le sous-réseau
+Tout bêtement, de côté du lan, on navigue !
+  * Tout en observant côté passerelle (i.e. serveur squid)
+le fichier /var/log/squid3/access.logdes logs d'accès :
+<code root>
+tail -f /var/log/squid3/access.log
+</code>
+Puis côté du Lan, on navigue, il y a alors du mouvement de le fichier de log :
+<code>
+1413554295.061    138 192.168.1.2 TCP_MISS/200 13345 GET http://debian-facile.org/ - DIRECT/212.129.32.102 text/html
+1413554295.098     36 192.168.1.2 TCP_MISS/200 8320 GET http://debian-facile.org/style/Kao.css - DIRECT/212.129.32.102 text/css
+1413554295.108     59 192.168.1.2 TCP_MISS/200 950 GET http://debian-facile.org/nono.css - DIRECT/212.129.32.102 text/css
+<...>
+1413554299.083     32 192.168.1.2 TCP_MISS/200 554 GET http://debian-facile.org/style/Air/img/asterisk.png - DIRECT/212.129.32.102 image/png
+1413554301.463     74 192.168.1.2 TCP_MISS/200 1391 POST http://debian-facile.org/login.php? - DIRECT/212.129.32.102 text/html
+<...>
 </code>
-  * Faire rendre en compte une éventuelle modification :
-<code root>sysctl -p</code>
-=====Vérifications====
+====Vérifier le cache ====
-===Générer du flux ===
+Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
-Tout bêtement, de côté du lan, on navigue.
+Pour vérifier que squid sert au client une page de son cache, il faut visiter le même URL plusieurs fois.
+La 1ère fois on a normalement dans /var/log/squid3/access.log, ''TCP_MISS'', mais après on doit obtenir ''TCP_HIT''.
+  * TCP_MISS : L'objet demandé n'est pas dans le cache.
+  * TCP_HIT : Une copie valide de l'objet demandé était dans le cache.
+On peut trouver d'autres indications :
+  * TCP_REFRESH_HIT :   L'objet demandé a été mis en cache mais obsolète (ICM -> 304).
+  * TCP_REF_FAIL_HIT : L'objet demandé a été mis en cache mais il obsolète ; la requête IMS a échoué mais l'objet a été livré.
+  * TCP_REFRESH_MISS : L'objet demandé a été mis en cache mais était obsolète. La requête IMS retourné le nouveau contenu.
+  * TCP_CLIENT_REFRESH_MISS : Le client a émis une certaine demande de cache en même temps que la demande.  Ainsi, le cache doit extraire à nouveau l'objet.
+  * TCP_IMS_HIT : Le client a émis une demande IMS pour un objet qui est nouvellement dans le cache.
+  * TCP_NEGATIVE_HIT :Demande d'un objet mis en cache négative, par exemple "404 Not Found"
+  * TCP_MEM_HIT : Une copie valide de l'objet demandé a été mis dans la mémoire du cache, évitant ainsi les accès disque.
+  * TCP_DENIED : Accès a été refusé pour cette demande.
+  * TCP_OFFLINE_HIT : L'objet demandé a été récupéré à partir du cache en mode déconnecté. Voir "offline_mode" dans le fichier squid.conf.
+Se connecter plusieurs fois et tenter la commande :
+  *Il faut un certain temps pour obtenir des HIT
+<code root>tail -f /var/log/squid3/cache.log | grep  TCP_HIT</code>
+<code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]
+1413884011.978     66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code>
+====Vérifier le cache====
+===Voir le fichier /var/log/squid3/cache.log===
-  * Voir le fichier /var/log/squid3/cache.log
 On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
-Par exemple ci-dessous les DNS enregistrés :
+  * Par exemple ci-dessous les DNS enregistrés :
 <code>2014/10/16 13:11:45| Process ID 3735
 /10/16 13:11:45| With 65535 file descriptors available
@@ Ligne 211: / Ligne 420: @@
-  * Le fichier /var/log/squid3/access.log
-Ce dernier répertorie tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
+<note tip>
+**__Détail sur  /var/log/squid3/access.log__ :**\\
+On y retrouve tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
 > **''time''** : le temps UTC (en ms) auquel la requête a été reçue.
@@ Ligne 236: / Ligne 448: @@
 >**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
+</note>
-===Configuration du cache ===
-<code root>vim /etc/squid/squid.conf</code>
-Ajouter :
-<code>
-#Default:
- cache_effective_user proxy
-#Default:
- cache_log /var/log/squid/cache.log</code>
-===== Utilisation =====

Debian-facile

Différences

Pied de page des forums