L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 15:52]
Hypathie [configuration d'iptables (NAT)]
+++ utilisateurs:hypathie:tutos:proxy-transparent [04/11/2014 13:47]
Hypathie [Configuration détaillée du proxy]
@@ Ligne 8: / Ligne 8: @@
 ===== Introduction =====
 Voir : [[http://www.squid-cache.org/|le site de squid]]\\
-[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]
+[[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]\\
+Voir aussi : [[http://www.sput.nl/software/squid33.html]]\\
+[[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]]
 Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
-===Prérequis===
+====Prérequis====
 Un serveur DNS est installé sur la passerelle.\\
@@ Ligne 21: / Ligne 24: @@
 ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''
-Le serveur squid est installé :
+=== Configuration d'iptables (NAT) ===
-<code root>apt-get install squid3</code>
+  * Pour faire choses proprement on flush les tables concernées et on ajoute :
+<code root>
+iptables -t nat -F
+iptables -t nat -X
+iptables -t mangle -F
+iptables -t mangle -X
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128
+iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+</code>
+Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
+<note>
+**Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER**
+**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
+</note>
+  * On conserve nos règles iptables pour le proxy
+<code root>
+iptables-save > /etc/iptables.squid
+echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
+===Configurer /etc/sysctl.conf ===
+La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
+# Controls source route verification
+net.ipv4.conf.default.rp_filter = 0
+</code>
+  * Faire prendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
+====Installer le serveur squid3====
 <code root>apt-get build-dep squid3</code>
+<code root>apt-get install squid3</code>
 =====Configuration de squid comme proxy transparent=====
@@ Ligne 35: / Ligne 93: @@
 ===Faire une sauvegarde du fichier de configuration ===
-Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description assez complète de chacun d’eux.
+Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description très complète de chacun d’eux.
-  * On sauvegarde l'original :
+  * **On sauvegarde l'original** :
+C'est très important pour la suite !
 <code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-  * Puis pour y voir plus clair
+  * **Puis pour y voir plus clair :**
-On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il ne contienne que ces lignes dé-commentées par défaut.
+On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
 <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
-  * On ajoute ou modifie les lignes suivantes :
+====Vérifier le proxy ====
-eth0 (vers internet) : 192.168.0.1\\
+===Bloquer tous le trafic du LAN ===
-eth1 (vers lan) : 192.168.1.1
+Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3128 transparent'' :
-<code>
+  * **On édite /etc/squid3/squid.conf**
-acl localnet src 192.168.1.0/24
+<code root>vim /etc/squid3/squid.conf</code>
-acl lan src 192.168.0.1 192.168.1.0/24
-http_access allow localhost
+  * **Ce qui donne :**
-http_access allow localnet
-http_access allow lan
-#Default:
-access_log /var/log/squid3/access.log squid
-</code>
-> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
->''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
->''http_access allow localhost'': accès à squid permis au localhost
->''http_access allow lan'': idem
->''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
->''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
-  * Ce qui donne :
-<code user>less /etc/squid3/squid.conf</code>
 <code>
 acl manager proto cache_object
 acl localhost src 127.0.0.1/32 ::1
 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
 acl SSL_ports port 443
 acl Safe_ports port 80          # http
@@ Ligne 82: / Ligne 129: @@
 acl Safe_ports port 777         # multiling http
 acl CONNECT method CONNECT
-acl lan src 192.168.1.0/24
 http_access allow manager localhost
 http_access deny manager
@@ Ligne 88: / Ligne 134: @@
 http_access deny CONNECT !SSL_ports
 http_access allow localhost
 http_access allow localnet
-http_access allow lan
 http_access deny all
 http_port 3128 transparent
-# Leave coredumps in the first cache dir
 coredump_dir /var/spool/squid3
-#Default:
-access_log /var/log/squid3/access.log squid
 refresh_pattern ^ftp:           1440    20%     10080
 refresh_pattern ^gopher:        1440    0%      1440
@@ Ligne 101: / Ligne 143: @@
 refresh_pattern .               0       20%     4320
 </code>
+> Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet.
-===Redémarrer squid===
+  * On recharge squid3 :
 <code root>/etc/init.d/squid3 restart</code>
-S'il n'y a pas d'erreur :
+  * **Si on tente de naviguer depuis le LAN :**
-<code>[ ok ] Restarting Squid HTTP proxy: squid.</code>
+{{http://pix.toile-libre.org/upload/img/1414862596.png|}}
+===Autoriser le trafic pour le LAN===
+  * **On ajoute une acl pour le lan et on l'autorise !**
+<code root>vim /etc/squid3/squid.conf</code>
+<code>
+<...>
+acl lan src 192.168.1.0/24
+<...>
+http_access allow localnet
+</code>
+  * **On recharge squid3 :**
+<code root>/etc/init.d/squid3 restart</code>
+=====Configuration détaillée du proxy =====
+====Mise en place du cache pour le LAN  ====
+===Créer un dossier pour le cache===
+  * Repérer le périphérique choisi :
+<code root>fdisk -l</code>
+<code>Périphérique Amorce  Début        Fin      Blocs     Id  Système
+/dev/sdg1              63  1336206374   668103156   83  Linux
+/dev/sdg2      1336206375  3907024064  1285408845   83  Linux</code>
+  * Formater le périphérique en ext3 ou reiserfs :
+<code>umount /dev/sdg1</code>
+<code root>mkfs.ext3 /dev/sdg1</code>
+  * Création d'un dossier pour le cache de squid3 :
+<code root>mkdir /data/</code>
+<code root>mount /dev/sdg1 /data</code>
+<code root>mkdir /data/cache/</code>
+<code root>chmod -R 777 /data/cache/</code>
+<code root>chown -R proxy:proxy /data/cache/</code>
+  * Connaître UUID de la partition pour le cache de squid3 :
+<code root>blkid /dev/sdg1</code>
+  * Configurer le montage de la partition au démarrage du système :
+<code root>vim /etc/fstab</code>
+<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d /data  none  bind,rw,noatime,async 0 0</code>
-====Activation du cache ====
+===Configuration de squid3 pour la mise en place du cache===
 Avec squid3 le cache n'est pas activer.\\
 Pour l'activer, il va falloir aller chercher dans le fichier original ce qui concerne la mise en cache !
@@ Ligne 184: / Ligne 270: @@
 >#Default:
 >''# maximum_object_size 4096 KB''
+>''cache'' : pour déterminer l'utilisation du cache\\ ''cache allow LocalNet'' ; elle doit remplacer ''no_cache''
 <note important>
@@ Ligne 199: / Ligne 286: @@
 </note>
-  * Ce qui donne :
-<code>
+  * **On désactive squid3**
-acl manager proto cache_object
+<code root>/etc/init.d/squid3 stop</code>
+  * **On édite /etc/squid3/squid.conf :**
+Pour lui ajouter les directives du fichier "my-squid.conf en adaptant leurs valeurs à sa configuration
+<code root>vim /etc/squid3/squid.conf</code>
+  * **Ou télécharger ce fichier :**
+<code texte my-squid.conf>
+# ACCESS CONTROLS OPTIONS
+# ====================
+acl QUERY urlpath_regex -i cgi-bin \? \.php$ \.asp$ \.shtml$ \.cfm$ \.cfml$ \.phtml$ \.php3$ localhost
+acl all src
 acl localhost src 127.0.0.1/32 ::1
 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
-acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
-acl SSL_ports port 443
+acl lan src 192.168.1.0/24
-acl Safe_ports port 80          # http
+acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 81 3128 1025-65535
-acl Safe_ports port 21          # ftp
+acl sslports port 443 563 81 2087 10000
-acl Safe_ports port 443         # https
+acl manager proto cache_object
-acl Safe_ports port 70          # gopher
+acl purge method PURGE
-acl Safe_ports port 210         # wais
+acl connect method CONNECT
-acl Safe_ports port 1025-65535  # unregistered ports
-acl Safe_ports port 280         # http-mgmt
-acl Safe_ports port 488         # gss-http
-acl Safe_ports port 591         # filemaker
-acl Safe_ports port 777         # multiling http
-acl CONNECT method CONNECT
-acl lan src 192.168.0.1 192.168.1.0/24
 http_access allow manager localhost
 http_access deny manager
-http_access deny !Safe_ports
+http_access deny !safeports
-http_access deny CONNECT !SSL_ports
+http_access deny CONNECT !sslports
 http_access allow localhost
 http_access allow localnet
 http_access allow lan
 http_access deny all
+# NETWORK OPTIONS
+# ====================
 http_port 3128 transparent
-#Default:
+# OPTIONS WHICH AFFECT THE CACHE SIZE
-#cache_mem 256 MB
+# ==============================
-cache_mem 100 MB
-#Default:
-maximum_object_size_in_memory 512 KB
-# Décommentez et régler les éléments suivants pour ajouter un répertoire de cach
-e disque:
-cache_dir ufs /var/spool/squid3 100 16 256
-#Default:
-store_dir_select_algorithm least-load
-# A value of 0 indicates no limit.
-#Default:
-max_open_disk_fds 0
-# TAG: minimum_object_size (bytes)
-# Objects smaller than this size will NOT be saved on disk. The
-# value is specified in kilobytes, and the default is 0 KB, which
-# means there is no minimum.
-#Default:
-minimum_object_size 0 KB
-#Default:
-maximum_object_size 4096 KB
+cache_mem 16 MB
+maximum_object_size_in_memory 32 KB
+memory_replacement_policy heap GDSF
+cache_replacement_policy heap LFUDA
+cache_dir aufs /home/proxy/cache 20000 14 256
+maximum_object_size 128000 KB
+cache_swap_low 95
+cache_swap_high 99
-# Leave coredumps in the first cache dir
+# LOGFILE PATHNAMES AND CACHE DIRECTORIES
-coredump_dir /var/spool/squid3
+# ==================================
-#Default:
+access_log /var/log/squid3/access.log
-access_log /var/log/squid3/access.log squid
+cache_log /var/log/squid3/cache.log
-refresh_pattern ^ftp:           1440    20%     10080
+cache_store_log none
-refresh_pattern ^gopher:        1440    0%      1440
+logfile_rotate 5
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+log_icp_queries off
-refresh_pattern .               0       20%     4320
+# OPTIONS FOR TUNING THE CACHE
+# ========================
+cache deny QUERY
+refresh_pattern ^ftp: 1440 20% 10080 reload-into-ims
+refresh_pattern ^gopher: 1440 0% 1440
+refresh_pattern -i \.(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080 90% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(html|htm|css|js)$ 1440 75% 40320
+refresh_pattern -i \.index.(html|htm)$ 0 75% 10080
+refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
+refresh_pattern . 1440 90% 10080
+#
+quick_abort_min 0 KB
+quick_abort_max 0 KB
+quick_abort_pct 100
+store_avg_object_size 13 KB
+# HTTP OPTIONS
+# ===========
+vary_ignore_expire on
+# ANONIMITY OPTIONS
+# ===============
+request_header_access From deny all
+request_header_access Server deny all
+request_header_access Link deny all
+request_header_access Via deny all
+request_header_access X-Forwarded-For deny all
+# TIMEOUTS
+# =======
+forward_timeout 240 second
+connect_timeout 30 second
+peer_connect_timeout 5 second
+read_timeout 600 second
+request_timeout 60 second
+shutdown_lifetime 10 second
+# ADMINISTRATIVE PARAMETERS
+# =====================
+cache_mgr routeur-debian
+cache_effective_user proxy
+cache_effective_group proxy
+httpd_suppress_version_string on
+visible_hostname routeur-debian
+ftp_list_width 32
+ftp_passive on
+ftp_sanitycheck on
+# DNS OPTIONS
+# ==========
+dns_timeout 10 seconds
+dns_nameservers 192.168.0.1 212.27.40.240 212.27.40.241
+# MISCELLANEOUS
+# ===========
+memory_pools off
+client_db off
+reload_into_ims on
+coredump_dir /var/log/squid
+pipeline_prefetch on
+offline_mode off
 </code>
-  * Et quand on relance squid3
+  * Copie du précédent fichier squid.conf :
+<code root>mv /etc/squid3/squid.conf /etc/squid3/squid.conf-BAK2</code>
+  * Mise en place du nouveau fichier /etc/squid3/squid.conf
+<code root>mv /home/hypathie/Téléchargements/my-squid.conf /etc/squid3/squid.conf</code>
+  * **Et quand on re-démarre squid3 :**
+> Grâce à la directive ''cache_dir'' les fichiers du cache sont créés
 <code root>/etc/init.d/squid3 start</code>
-<code>
+<code>2014/10/17 16:29:49| Creating Swap Directories
-/10/17 09:28:42| Creating Swap Directories
+/10/17 16:29:49| /var/spool/squid3 exists
-/10/17 09:28:42| /var/spool/squid3 exists
+/10/17 16:29:49| Making directories in /var/spool/squid3/00
-/10/17 09:28:42| Making directories in /var/spool/squid3/00
+/10/17 16:29:49| Making directories in /var/spool/squid3/01
-/10/17 09:28:42| Making directories in /var/spool/squid3/01
+/10/17 16:29:49| Making directories in /var/spool/squid3/02
-/10/17 09:28:42| Making directories in /var/spool/squid3/02
+/10/17 16:29:49| Making directories in /var/spool/squid3/03
-/10/17 09:28:42| Making directories in /var/spool/squid3/03
+/10/17 16:29:49| Making directories in /var/spool/squid3/04
-/10/17 09:28:42| Making directories in /var/spool/squid3/04
+/10/17 16:29:49| Making directories in /var/spool/squid3/05
-/10/17 09:28:42| Making directories in /var/spool/squid3/05
+/10/17 16:29:49| Making directories in /var/spool/squid3/06
-/10/17 09:28:42| Making directories in /var/spool/squid3/06
+/10/17 16:29:49| Making directories in /var/spool/squid3/07
-/10/17 09:28:42| Making directories in /var/spool/squid3/07
+/10/17 16:29:49| Making directories in /var/spool/squid3/08
-/10/17 09:28:42| Making directories in /var/spool/squid3/08
+/10/17 16:29:49| Making directories in /var/spool/squid3/09
-/10/17 09:28:42| Making directories in /var/spool/squid3/09
+/10/17 16:29:49| Making directories in /var/spool/squid3/0A
-/10/17 09:28:42| Making directories in /var/spool/squid3/0A
+/10/17 16:29:49| Making directories in /var/spool/squid3/0B
-/10/17 09:28:42| Making directories in /var/spool/squid3/0B
+/10/17 16:29:49| Making directories in /var/spool/squid3/0C
-/10/17 09:28:42| Making directories in /var/spool/squid3/0C
+/10/17 16:29:49| Making directories in /var/spool/squid3/0D
-/10/17 09:28:42| Making directories in /var/spool/squid3/0D
+/10/17 16:29:49| Making directories in /var/spool/squid3/0E
-/10/17 09:28:42| Making directories in /var/spool/squid3/0E
+/10/17 16:29:50| Making directories in /var/spool/squid3/0F
-/10/17 09:28:43| Making directories in /var/spool/squid3/0F
 . ok </code>
-===== configuration d'iptables (NAT) =====
-Nous n'avons pour l'instant que l'IP masquerade mis en place :
+<note>
+Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement, ou tout simplement si on veut le vider complètement :\\
+  * Il faut arrêter squid :
+<code root>/etc/init.d/squid3 stop</code>
-  * Il faut ajouter :
+  * On se déplace dans le répertoire du cache :
+(S'il vous plaît servez-vous de l'auto-complétion, surtout ici)
+<code root>cd /home/cache</code>
-<code root>
+  * On supprime tous les dossiers
-iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
-iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT\
- --to-destination 192.168.0.1:3128
-iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
- -p tcp --dport 80 -j REDIRECT --to-port 3128
-iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24\
- -p tcp -m tcp --dport 80 -J ACCEPT
-</code>
-  * Ce qui donne :
+<code root>rm -rv 0*</code>
-<code root>iptables -L -t nat</code>
-<code>Chain PREROUTING (policy ACCEPT)
+  * On supprime les fichiers
-target     prot opt source      destination
+<code root>rm -v swap.state*</code>
-DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
-REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128
-Chain INPUT (policy ACCEPT)
+  * On relance squid3 :
-target     prot opt source      destination
+<code root>/etc/init.d/squid3 start</code>
+</note>
-Chain OUTPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain POSTROUTING (policy ACCEPT)
-target     prot opt source      destination
-MASQUERADE  all  --  anywhere   anywhere</code>
-===Configurer /etc/sysctl.conf ===
-  * Vérifier que les lignes suivantes comportes ces valeurs :
-<code>
-# Controls IP packet forwarding
-net.ipv4.ip_forward = 1
-# Controls source route verification
-net.ipv4.conf.default.rp_filter = 0
-</code>
-  * Faire rendre en compte une éventuelle modification :
-<code root>sysctl -p</code>
 =====Vérifications====
-===Générer du flux ===
+Dans le fichier de configuration /etc/squid3/squid.conf :\\
-Tout bêtement, de côté du lan, on navigue.
+  * les dossiers du cache : /var/spool/squid3
+  * le fichier de log d'accès : /var/log/squid3/access.log
+  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
+  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
+  * cache_log /var/log/squid3/cache.log
+====Vérifier le passage par le proxy ====
+Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
+Il faut :
+  * Générer du flux depuis le sous-réseau
+Tout bêtement, de côté du lan, on navigue !
+  * Tout en observant côté passerelle (i.e. serveur squid)
+le fichier /var/log/squid3/access.log des logs d'accès :
+<code root>
+tail -f /var/log/squid3/access.log
+</code>
+Puis côté du Lan, on navigue, il y a alors du mouvement de le fichier de log :
+<code>
+1413554295.061    138 192.168.1.2 TCP_MISS/200 13345 GET http://debian-facile.org/ - DIRECT/212.129.32.102 text/html
+1413554295.098     36 192.168.1.2 TCP_MISS/200 8320 GET http://debian-facile.org/style/Kao.css - DIRECT/212.129.32.102 text/css
+1413554295.108     59 192.168.1.2 TCP_MISS/200 950 GET http://debian-facile.org/nono.css - DIRECT/212.129.32.102 text/css
+<...>
+1413554299.083     32 192.168.1.2 TCP_MISS/200 554 GET http://debian-facile.org/style/Air/img/asterisk.png - DIRECT/212.129.32.102 image/png
+1413554301.463     74 192.168.1.2 TCP_MISS/200 1391 POST http://debian-facile.org/login.php? - DIRECT/212.129.32.102 text/html
+<...>
+</code>
+====Vérifier le cache ====
+Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
+Pour vérifier que squid sert au client une page de son cache, il faut visiter le même URL plusieurs fois.
+La 1ère fois on a normalement dans /var/log/squid3/access.log, ''TCP_MISS'', mais après on doit obtenir ''TCP_HIT''.
+  * TCP_MISS : L'objet demandé n'est pas dans le cache.
+  * TCP_HIT : Une copie valide de l'objet demandé était dans le cache.
+On peut trouver d'autres indications :
+  * TCP_REFRESH_HIT :   L'objet demandé a été mis en cache mais obsolète (ICM -> 304).
+  * TCP_REF_FAIL_HIT : L'objet demandé a été mis en cache mais il obsolète ; la requête IMS a échoué mais l'objet a été livré.
+  * TCP_REFRESH_MISS : L'objet demandé a été mis en cache mais était obsolète. La requête IMS retourné le nouveau contenu.
+  * TCP_CLIENT_REFRESH_MISS : Le client a émis une certaine demande de cache en même temps que la demande.  Ainsi, le cache doit extraire à nouveau l'objet.
+  * TCP_IMS_HIT : Le client a émis une demande IMS pour un objet qui est nouvellement dans le cache.
+  * TCP_NEGATIVE_HIT :Demande d'un objet mis en cache négative, par exemple "404 Not Found"
+  * TCP_MEM_HIT : Une copie valide de l'objet demandé a été mis dans la mémoire du cache, évitant ainsi les accès disque.
+  * TCP_DENIED : Accès a été refusé pour cette demande.
+  * TCP_OFFLINE_HIT : L'objet demandé a été récupéré à partir du cache en mode déconnecté. Voir "offline_mode" dans le fichier squid.conf.
+Se connecter plusieurs fois et tenter la commande :
+  *Il faut un certain temps pour obtenir des HIT
+<code root>tail -f /var/log/squid3/cache.log | grep  TCP_HIT</code>
+<code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]
+1413884011.978     66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code>
+====Vérifier le cache====
+===Voir le fichier /var/log/squid3/cache.log===
-  * Voir le fichier /var/log/squid3/cache.log
 On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
-Par exemple ci-dessous les DNS enregistrés :
+  * Par exemple ci-dessous les DNS enregistrés :
 <code>2014/10/16 13:11:45| Process ID 3735
 /10/16 13:11:45| With 65535 file descriptors available
@@ Ligne 352: / Ligne 546: @@
-  * Le fichier /var/log/squid3/access.log
-Ce dernier répertorie tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
+<note tip>
+**__Détail sur  /var/log/squid3/access.log__ :**\\
+On y retrouve tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :\\ **''time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type''**\\
 > **''time''** : le temps UTC (en ms) auquel la requête a été reçue.
@@ Ligne 377: / Ligne 574: @@
 >**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
+</note>
-===Configuration du cache ===
-<code root>vim /etc/squid/squid.conf</code>
-Ajouter :
-<code>
-#Default:
- cache_effective_user proxy
-#Default:
- cache_log /var/log/squid/cache.log</code>
-===== Utilisation =====

Debian-facile

Différences

Pied de page des forums