L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 09:10]
Hypathie [Configuration de squid comme proxy transparent]
+++ utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:11]
Hypathie [Utilisation]
@@ Ligne 33: / Ligne 33: @@
   * contrôle d'accès en fonction des heures.
 Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe...
+<note important>
+Avant toute modification du fichier /etc/squid3/squid.conf\\
+il faut arrêter squid :
+<code root>/etc/init.d/squid3 stop</code>
+Puis quand on a fait les modifications souhaitées, on le redémarre :
+<code root>/etc/init.d/squid3 start</code>
+</note>
 ===Faire une sauvegarde du fichier de configuration ===
-Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description assez complète de chacun d’eux.
+Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description très complète de chacun d’eux.
+  * **On sauvegarde l'original** :
+C'est très important pour la suite !
+<code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
+  * Puis pour y voir plus clair :
+On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
+<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
+  * On ajoute ou modifie les lignes suivantes :
+Rappel de la configuration:\\
+eth0 (vers internet) : 192.168.0.1\\
+eth1 (vers lan) : 192.168.1.1
+> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
+>''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
+>''http_access allow localhost'': accès à squid permis au localhost
+>''http_access allow lan'': idem
+>''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
+>''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
+  * Concernant le cache tout est commenté dans le fichier original
+On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
+  * Ce qui donne :
+<code user>less /etc/squid3/squid.conf</code>
+<code>
+acl manager proto cache_object
+acl localhost src 127.0.0.1/32 ::1
+acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
+acl SSL_ports port 443
+acl Safe_ports port 80          # http
+acl Safe_ports port 21          # ftp
+acl Safe_ports port 443         # https
+acl Safe_ports port 70          # gopher
+acl Safe_ports port 210         # wais
+acl Safe_ports port 1025-65535  # unregistered ports
+acl Safe_ports port 280         # http-mgmt
+acl Safe_ports port 488         # gss-http
+acl Safe_ports port 591         # filemaker
+acl Safe_ports port 777         # multiling http
+acl CONNECT method CONNECT
+acl lan src 192.168.0.1 192.168.1.0/24
+http_access allow manager localhost
+http_access deny manager
+http_access deny !Safe_ports
+http_access deny CONNECT !SSL_ports
+http_access allow localhost
+http_access allow localnet
+http_access allow lan
+http_access deny all
+http_port 3128 transparent
+#hierarchy_stoplist cgi-bin ?
+# MEMORY CACHE OPTIONS
+#Default:
+#cache_mem 256 MB
+cache_mem 8 MB
+#Default:
+maximum_object_size_in_memory 256 KB
+#memory_replacement_policy lru
+# DISK CACHE OPTIONS
+# Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
+cache_dir ufs /var/spool/squid3 100 16 256
+#Default:
+#store_dir_select_algorithm least-load
+# A value of 0 indicates no limit.
+#Default:
+max_open_disk_fds 0
+# TAG: minimum_object_size (bytes)
+# Objects smaller than this size will NOT be saved on disk. The
+# value is specified in kilobytes, and the default is 0 KB, which
+# means there is no minimum.
+#Default:
+minimum_object_size 0 KB
+#Default:
+maximum_object_size 10 KB
+# LOG_FILE OPTIONS
+#Default:
+access_log /var/log/squid3/access.log squid
+#Default:
+cache_log /var/log/squid3/cache.log
+# Leave coredumps in the first cache dir
+#coredump_dir /var/spool/squid3
+# OPTIONS FOR TUNING THE CACHE
+cache allow all
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:        1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+refresh_pattern .               0       20%     4320
+hosts_file /etc/hosts
+</code>
+===Activation du cache ===
+Avec squid3 le cache n'est pas activer.\\
+Pour l'activer, il va falloir aller chercher dans le fichier original ce qui concerne la mise en cache !
+En voilà un résumé ;-)
 <note tip>
 **__Voici la définition de quelques options de configuration basiques :__**
@@ Ligne 85: / Ligne 203: @@
 >section **58** HTTP Reply (Response) __2__
 </note>
+  * Il faut donc extraire ce qui nous intéresse concernant le cache du fichier de configuration /etc/squid3/squid.conf :
-  * On sauvegarde l'original :
-<code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-  * Puis pour y voir plus clair
-On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il ne contienne que ces lignes dé-commentées par défaut.
-<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
-  * On ajoute ou modifie les lignes suivantes :
-eth0 (vers internet) : 192.168.0.1\\
-eth1 (vers lan) : 192.168.1.1
-<code>
-acl localnet src 192.168.1.0/24
-acl lan src 192.168.0.1 192.168.1.0/24
-http_access allow localhost
-http_access allow localnet
-http_access allow lan
-#Default:
-access_log /var/log/squid3/access.log squid
-</code>
-> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
->''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
->''http_access allow localhost'': accès à squid permis au localhost
->''http_access allow lan'': idem
->''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
->''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
 >#Default:
-># cache_mem 256 MB
+>''# cache_mem 256 MB''
 >#Default:
-># maximum_object_size_in_memory 512 KB
+>''# maximum_object_size_in_memory 512 KB''
 ># Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
 >''#cache_dir ufs /var/spool/squid3 100 16 256''
@@ Ligne 124: / Ligne 215: @@
 >#       A value of 0 indicates no limit.
 >#Default:
-># max_open_disk_fds 0
+>''# max_open_disk_fds 0''
 >#  TAG: minimum_object_size     (bytes)
 >#       Objects smaller than this size will NOT be saved on disk.  The
@@ Ligne 134: / Ligne 225: @@
 >''# maximum_object_size 4096 KB''
+<note important>
+Comparer :\\
+-> ''# cache_mem 256 MB''\\
+-> ''#cache_dir ufs /var/spool/squid3 100 16 256''\\
-  * Ce qui donne :
+=> La définition de la mémoire cache (256 MB) serait plus large que l'espace disque défini (100MB) !\\
-<code user>less /etc/squid3/squid.conf</code>
-<code>
+Donc attention en dé-commentant !
-acl manager proto cache_object
-acl localhost src 127.0.0.1/32 ::1
+  df -h /var
-acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
+  Sys. fich.              Taille Util. Dispo Uti% Monté sur
-acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
+  /dev/mapper/systeme-var   2,8G  1,0G  1,7G  39% /var
-acl SSL_ports port 443
-acl Safe_ports port 80          # http
+</note>
-acl Safe_ports port 21          # ftp
-acl Safe_ports port 443         # https
+  * Grâce à la ligne suivant les fichiers du cache sont créés
-acl Safe_ports port 70          # gopher
+>''cache_dir ufs /var/spool/squid3 100 16 256''
-acl Safe_ports port 210         # wais
-acl Safe_ports port 1025-65535  # unregistered ports
+Et quand on re-démarre squid3 :
-acl Safe_ports port 280         # http-mgmt
-acl Safe_ports port 488         # gss-http
-acl Safe_ports port 591         # filemaker
-acl Safe_ports port 777         # multiling http
-acl CONNECT method CONNECT
-acl lan src 192.168.1.0/24
-http_access allow manager localhost
-http_access deny manager
-http_access deny !Safe_ports
-http_access deny CONNECT !SSL_ports
-http_access allow localhost
-http_access allow localnet
-http_access allow lan
-http_access deny all
-http_port 3128 transparent
-coredump_dir /var/spool/squid3
-#Default:
-access_log /var/log/squid3/access.log squid
-refresh_pattern ^ftp:           1440    20%     10080
-refresh_pattern ^gopher:        1440    0%      1440
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
-refresh_pattern .               0       20%     4320
-</code>
-===Redémarrer squid===
 <code root>/etc/init.d/squid3 restart</code>
+<code>2014/10/17 16:29:49| Creating Swap Directories
+/10/17 16:29:49| /var/spool/squid3 exists
+/10/17 16:29:49| Making directories in /var/spool/squid3/00
+/10/17 16:29:49| Making directories in /var/spool/squid3/01
+/10/17 16:29:49| Making directories in /var/spool/squid3/02
+/10/17 16:29:49| Making directories in /var/spool/squid3/03
+/10/17 16:29:49| Making directories in /var/spool/squid3/04
+/10/17 16:29:49| Making directories in /var/spool/squid3/05
+/10/17 16:29:49| Making directories in /var/spool/squid3/06
+/10/17 16:29:49| Making directories in /var/spool/squid3/07
+/10/17 16:29:49| Making directories in /var/spool/squid3/08
+/10/17 16:29:49| Making directories in /var/spool/squid3/09
+/10/17 16:29:49| Making directories in /var/spool/squid3/0A
+/10/17 16:29:49| Making directories in /var/spool/squid3/0B
+/10/17 16:29:49| Making directories in /var/spool/squid3/0C
+/10/17 16:29:49| Making directories in /var/spool/squid3/0D
+/10/17 16:29:49| Making directories in /var/spool/squid3/0E
+/10/17 16:29:50| Making directories in /var/spool/squid3/0F
+. ok </code>
+<note>
+Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement :\\
+(S'il vous plaît servez-vous de l'auto-complétion, surtout ici)
+<code root>cd /var/spool/squid3/</code>
+<code root>rm -rv 0*</code>
+<code root>rm -rv swap.state*</code>
+</note>
-S'il n'y a pas d'erreur :
-<code>[ ok ] Restarting Squid HTTP proxy: squid.</code>
 ===== configuration d'iptables (NAT) =====
@@ Ligne 186: / Ligne 284: @@
 <code root>
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
-iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -J ACCEPT
+iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT\
+ --to-destination 192.168.0.1:3128
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
+ -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24\
+ -p tcp -m tcp --dport 80 -J ACCEPT
 </code>
@@ Ligne 194: / Ligne 298: @@
 <code>Chain PREROUTING (policy ACCEPT)
-target     prot opt source      destination
+target     prot opt source        destination
-DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
+ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
-REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128
+DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
+REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
 Chain INPUT (policy ACCEPT)
@@ Ligne 208: / Ligne 313: @@
 MASQUERADE  all  --  anywhere   anywhere</code>
+<code root>iptables -L PREROUTING -t mangle</code>
+<code>iptables -L -t mangle
+Chain PREROUTING (policy ACCEPT)
+target     prot opt source   destination
+DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
+<note>
+Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
+**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
+</note>
 ===Configurer /etc/sysctl.conf ===
-  * Vérifier que les lignes suivantes comportes ces valeurs :
+  * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs :
 <code>
@@ Ligne 215: / Ligne 337: @@
 net.ipv4.ip_forward = 1
 # Controls source route verification
 net.ipv4.conf.default.rp_filter = 0
 </code>
@@ Ligne 222: / Ligne 344: @@
 =====Vérifications====
-===Générer du flux ===
+====Vérifier le passage par le proxy ====
-Tout bêtement, de côté du lan, on navigue.
+Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
+Il faut :
-  * Voir le fichier /var/log/squid3/cache.log
+  * Générer du flux depuis le sous-réseau
-On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
+Tout bêtement, de côté du lan, on navigue !
-Par exemple ci-dessous les DNS enregistrés :
-<code>2014/10/16 13:11:45| Process ID 3735
-/10/16 13:11:45| With 65535 file descriptors available
-/10/16 13:11:45| Initializing IP Cache...
-/10/16 13:11:45| DNS Socket created at [::], FD 7
-/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
-/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
+  * Tout en observant côté passerelle (i.e. serveur squid)
+le fichier /var/log/squid3/access.logdes logs d'accès :
-  * Le fichier /var/log/squid3/access.log
+<code root>
-Ce dernier répertorie tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
+tail -f /var/log/squid3/access.log
+</code>
+Puis côté du Lan, on navigue, il y a alors du mouvement de le fichier de log :
+<code>
+1413554295.061    138 192.168.1.2 TCP_MISS/200 13345 GET http://debian-facile.org/ - DIRECT/212.129.32.102 text/html
+1413554295.098     36 192.168.1.2 TCP_MISS/200 8320 GET http://debian-facile.org/style/Kao.css - DIRECT/212.129.32.102 text/css
+1413554295.108     59 192.168.1.2 TCP_MISS/200 950 GET http://debian-facile.org/nono.css - DIRECT/212.129.32.102 text/css
+<...>
+1413554299.083     32 192.168.1.2 TCP_MISS/200 554 GET http://debian-facile.org/style/Air/img/asterisk.png - DIRECT/212.129.32.102 image/png
+1413554301.463     74 192.168.1.2 TCP_MISS/200 1391 POST http://debian-facile.org/login.php? - DIRECT/212.129.32.102 text/html
+<...>
+</code>
+<note tip>
+**__Détail sur  /var/log/squid3/access.log__ :**\\
+On y retrouve tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
 > **''time''** : le temps UTC (en ms) auquel la requête a été reçue.
@@ Ligne 267: / Ligne 395: @@
 >**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
+</note>
+====Vérifier le cache====
+===Voir le fichier /var/log/squid3/cache.log===
+On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
+  * Par exemple ci-dessous les DNS enregistrés :
+<code>2014/10/16 13:11:45| Process ID 3735
+/10/16 13:11:45| With 65535 file descriptors available
+/10/16 13:11:45| Initializing IP Cache...
+/10/16 13:11:45| DNS Socket created at [::], FD 7
+/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
+/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
-===Configuration du cache ===
-<code root>vim /etc/squid/squid.conf</code>
-Ajouter :
-<code>
-#Default:
- cache_effective_user proxy
-#Default:
- cache_log /var/log/squid/cache.log</code>
-===== Utilisation =====

Debian-facile

Différences

Pied de page des forums