Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 16:04] Hypathie [Vérifications] |
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:09] Hypathie [Vérifications] |
||
---|---|---|---|
Ligne 33: | Ligne 33: | ||
* contrôle d'accès en fonction des heures. | * contrôle d'accès en fonction des heures. | ||
Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe... | Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe... | ||
+ | |||
+ | <note important> | ||
+ | Avant toute modification du fichier /etc/squid3/squid.conf\\ | ||
+ | il faut arrêter squid : | ||
+ | <code root>/etc/init.d/squid3 stop</code> | ||
+ | |||
+ | Puis quand on a fait les modifications souhaitées, on le redémarre : | ||
+ | <code root>/etc/init.d/squid3 start</code> | ||
+ | </note> | ||
===Faire une sauvegarde du fichier de configuration === | ===Faire une sauvegarde du fichier de configuration === | ||
- | Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description assez complète de chacun d’eux. | + | Le fichier est commenté quasiment entièrement, et contient tous les paramètres de lancement de Squid ainsi qu’une description très complète de chacun d’eux. |
- | * On sauvegarde l'original : | + | * **On sauvegarde l'original** : |
+ | C'est très important pour la suite ! | ||
<code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code> | <code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code> | ||
- | * Puis pour y voir plus clair | + | * Puis pour y voir plus clair : |
- | On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il ne contienne que ces lignes dé-commentées par défaut. | + | On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut. |
<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | ||
* On ajoute ou modifie les lignes suivantes : | * On ajoute ou modifie les lignes suivantes : | ||
+ | Rappel de la configuration:\\ | ||
eth0 (vers internet) : 192.168.0.1\\ | eth0 (vers internet) : 192.168.0.1\\ | ||
eth1 (vers lan) : 192.168.1.1 | eth1 (vers lan) : 192.168.1.1 | ||
- | <code> | + | |
- | acl localnet src 192.168.1.0/24 | + | |
- | acl lan src 192.168.0.1 192.168.1.0/24 | + | |
- | http_access allow localhost | + | |
- | http_access allow localnet | + | |
- | http_access allow lan | + | |
- | #Default: | + | |
- | access_log /var/log/squid3/access.log squid | + | |
- | </code> | + | |
> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy | > ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy | ||
>''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | ||
Ligne 62: | Ligne 66: | ||
>''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent" | >''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent" | ||
>''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute. | >''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute. | ||
+ | |||
+ | * Concernant le cache tout est commenté dans le fichier original | ||
+ | On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf | ||
* Ce qui donne : | * Ce qui donne : | ||
Ligne 69: | Ligne 76: | ||
acl localhost src 127.0.0.1/32 ::1 | acl localhost src 127.0.0.1/32 ::1 | ||
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 | ||
- | acl localnet src 192.168.1.0/24 # RFC1918 possible internal network | + | acl localnet src 192.168.0.0/24 # RFC1918 possible internal network |
acl SSL_ports port 443 | acl SSL_ports port 443 | ||
acl Safe_ports port 80 # http | acl Safe_ports port 80 # http | ||
Ligne 82: | Ligne 89: | ||
acl Safe_ports port 777 # multiling http | acl Safe_ports port 777 # multiling http | ||
acl CONNECT method CONNECT | acl CONNECT method CONNECT | ||
- | acl lan src 192.168.1.0/24 | + | acl lan src 192.168.0.1 192.168.1.0/24 |
http_access allow manager localhost | http_access allow manager localhost | ||
http_access deny manager | http_access deny manager | ||
Ligne 89: | Ligne 96: | ||
http_access allow localhost | http_access allow localhost | ||
http_access allow localnet | http_access allow localnet | ||
- | http_access allow lan | + | http_access allow lan |
http_access deny all | http_access deny all | ||
http_port 3128 transparent | http_port 3128 transparent | ||
- | # Leave coredumps in the first cache dir | + | |
- | coredump_dir /var/spool/squid3 | + | #hierarchy_stoplist cgi-bin ? |
+ | |||
+ | # MEMORY CACHE OPTIONS | ||
+ | #Default: | ||
+ | #cache_mem 256 MB | ||
+ | cache_mem 8 MB | ||
+ | #Default: | ||
+ | maximum_object_size_in_memory 256 KB | ||
+ | #memory_replacement_policy lru | ||
+ | # DISK CACHE OPTIONS | ||
+ | # Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque: | ||
+ | cache_dir ufs /var/spool/squid3 100 16 256 | ||
+ | |||
+ | #Default: | ||
+ | #store_dir_select_algorithm least-load | ||
+ | |||
+ | # A value of 0 indicates no limit. | ||
+ | #Default: | ||
+ | max_open_disk_fds 0 | ||
+ | # TAG: minimum_object_size (bytes) | ||
+ | # Objects smaller than this size will NOT be saved on disk. The | ||
+ | # value is specified in kilobytes, and the default is 0 KB, which | ||
+ | # means there is no minimum. | ||
+ | #Default: | ||
+ | minimum_object_size 0 KB | ||
+ | #Default: | ||
+ | maximum_object_size 10 KB | ||
+ | |||
+ | # LOG_FILE OPTIONS | ||
#Default: | #Default: | ||
access_log /var/log/squid3/access.log squid | access_log /var/log/squid3/access.log squid | ||
+ | |||
+ | #Default: | ||
+ | cache_log /var/log/squid3/cache.log | ||
+ | |||
+ | # Leave coredumps in the first cache dir | ||
+ | #coredump_dir /var/spool/squid3 | ||
+ | |||
+ | # OPTIONS FOR TUNING THE CACHE | ||
+ | cache allow all | ||
refresh_pattern ^ftp: 1440 20% 10080 | refresh_pattern ^ftp: 1440 20% 10080 | ||
refresh_pattern ^gopher: 1440 0% 1440 | refresh_pattern ^gopher: 1440 0% 1440 | ||
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | ||
refresh_pattern . 0 20% 4320 | refresh_pattern . 0 20% 4320 | ||
- | </code> | ||
- | ===Redémarrer squid=== | + | hosts_file /etc/hosts |
- | <code root>/etc/init.d/squid3 restart</code> | + | </code> |
- | + | ||
- | S'il n'y a pas d'erreur : | + | |
- | <code>[ ok ] Restarting Squid HTTP proxy: squid.</code> | + | |
- | ====Activation du cache ==== | + | ===Activation du cache === |
Avec squid3 le cache n'est pas activer.\\ | Avec squid3 le cache n'est pas activer.\\ | ||
Ligne 199: | Ligne 239: | ||
</note> | </note> | ||
- | * Ce qui donne : | ||
- | <code> | ||
- | acl manager proto cache_object | ||
- | acl localhost src 127.0.0.1/32 ::1 | ||
- | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 | ||
- | acl localnet src 192.168.1.0/24 # RFC1918 possible internal network | ||
- | acl SSL_ports port 443 | ||
- | acl Safe_ports port 80 # http | ||
- | acl Safe_ports port 21 # ftp | ||
- | acl Safe_ports port 443 # https | ||
- | acl Safe_ports port 70 # gopher | ||
- | acl Safe_ports port 210 # wais | ||
- | acl Safe_ports port 1025-65535 # unregistered ports | ||
- | acl Safe_ports port 280 # http-mgmt | ||
- | acl Safe_ports port 488 # gss-http | ||
- | acl Safe_ports port 591 # filemaker | ||
- | acl Safe_ports port 777 # multiling http | ||
- | acl CONNECT method CONNECT | ||
- | acl lan src 192.168.0.1 192.168.1.0/24 | ||
- | http_access allow manager localhost | ||
- | http_access deny manager | ||
- | http_access deny !Safe_ports | ||
- | http_access deny CONNECT !SSL_ports | ||
- | http_access allow localhost | ||
- | http_access allow localnet | ||
- | http_access allow lan | ||
- | http_access deny all | ||
- | http_port 3128 transparent | ||
- | #Default: | + | * Grâce à la ligne suivant les fichiers du cache sont créés |
- | #cache_mem 256 MB | + | >''cache_dir ufs /var/spool/squid3 100 16 256'' |
- | cache_mem 100 MB | + | |
- | #Default: | + | Et quand on re-démarre squid3 : |
- | maximum_object_size_in_memory 512 KB | + | |
- | # Décommentez et régler les éléments suivants pour ajouter un répertoire de cach | + | <code root>/etc/init.d/squid3 restart</code> |
- | e disque: | + | <code>2014/10/17 16:29:49| Creating Swap Directories |
- | cache_dir ufs /var/spool/squid3 100 16 256 | + | 2014/10/17 16:29:49| /var/spool/squid3 exists |
- | #Default: | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/00 |
- | store_dir_select_algorithm least-load | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/01 |
- | # A value of 0 indicates no limit. | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/02 |
- | #Default: | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/03 |
- | max_open_disk_fds 0 | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/04 |
- | # TAG: minimum_object_size (bytes) | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/05 |
- | # Objects smaller than this size will NOT be saved on disk. The | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/06 |
- | # value is specified in kilobytes, and the default is 0 KB, which | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/07 |
- | # means there is no minimum. | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/08 |
- | #Default: | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/09 |
- | minimum_object_size 0 KB | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/0A |
- | #Default: | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/0B |
- | maximum_object_size 4096 KB | + | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/0C |
+ | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/0D | ||
+ | 2014/10/17 16:29:49| Making directories in /var/spool/squid3/0E | ||
+ | 2014/10/17 16:29:50| Making directories in /var/spool/squid3/0F | ||
+ | . ok </code> | ||
+ | |||
+ | <note> | ||
+ | Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement :\\ | ||
+ | (S'il vous plaît servez-vous de l'auto-complétion, surtout ici) | ||
+ | <code root>cd /var/spool/squid3/</code> | ||
+ | |||
+ | <code root>rm -rv 0*</code> | ||
+ | <code root>rm -rv swap.state*</code> | ||
+ | </note> | ||
- | # Leave coredumps in the first cache dir | ||
- | coredump_dir /var/spool/squid3 | ||
- | #Default: | ||
- | access_log /var/log/squid3/access.log squid | ||
- | refresh_pattern ^ftp: 1440 20% 10080 | ||
- | refresh_pattern ^gopher: 1440 0% 1440 | ||
- | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | ||
- | refresh_pattern . 0 20% 4320 | ||
- | </code> | ||
- | * Et quand on relance squid3 | ||
- | <code root>/etc/init.d/squid3 start</code> | ||
- | <code> | ||
- | 2014/10/17 09:28:42| Creating Swap Directories | ||
- | 2014/10/17 09:28:42| /var/spool/squid3 exists | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/00 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/01 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/02 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/03 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/04 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/05 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/06 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/07 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/08 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/09 | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/0A | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/0B | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/0C | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/0D | ||
- | 2014/10/17 09:28:42| Making directories in /var/spool/squid3/0E | ||
- | 2014/10/17 09:28:43| Making directories in /var/spool/squid3/0F | ||
- | . ok </code> | ||
===== configuration d'iptables (NAT) ===== | ===== configuration d'iptables (NAT) ===== | ||
Nous n'avons pour l'instant que l'IP masquerade mis en place : | Nous n'avons pour l'instant que l'IP masquerade mis en place : | ||
Ligne 304: | Ligne 298: | ||
<code>Chain PREROUTING (policy ACCEPT) | <code>Chain PREROUTING (policy ACCEPT) | ||
- | target prot opt source destination | + | target prot opt source destination |
- | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.1.1:3128 | + | ACCEPT tcp -- debian-serveur.mondomaine.hyp anywhere tcp dpt:http |
- | REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128 | + | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.1:3128 |
+ | REDIRECT tcp -- 192.168.1.0/24 anywhere tcp dpt:http redir ports 3128 | ||
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
Ligne 318: | Ligne 313: | ||
MASQUERADE all -- anywhere anywhere</code> | MASQUERADE all -- anywhere anywhere</code> | ||
+ | <code root>iptables -L PREROUTING -t mangle</code> | ||
+ | <code>iptables -L -t mangle | ||
+ | Chain PREROUTING (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | DROP tcp -- anywhere anywhere tcp dpt:3128</code> | ||
+ | |||
+ | <note> | ||
+ | Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
+ | |||
+ | Due to the NAT security vulnerabilities it is also a very good idea | ||
+ | to block external access to the internal receiving port. | ||
+ | This has to be done in the mangle part of iptables before DNAT happens | ||
+ | so that intercepted traffic does not get dropped. | ||
+ | |||
+ | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | ||
+ | |||
+ | </note> | ||
===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
- | * Vérifier que les lignes suivantes comportes ces valeurs : | + | * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs : |
<code> | <code> | ||
Ligne 325: | Ligne 337: | ||
net.ipv4.ip_forward = 1 | net.ipv4.ip_forward = 1 | ||
- | # Controls source route verification | + | # Controls source route verification |
net.ipv4.conf.default.rp_filter = 0 | net.ipv4.conf.default.rp_filter = 0 | ||
</code> | </code> | ||
Ligne 332: | Ligne 344: | ||
=====Vérifications==== | =====Vérifications==== | ||
- | ====Passage par le proxy ==== | + | ====Vérifier le passage par le proxy ==== |
- | Vérifie si le sous-réseau qui passe est connecté au web par le passerelle, passe bien par le proxy. | + | Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\ |
- | ===Générer du flux === | + | Il faut : |
- | Tout bêtement, de côté du lan, on navigue en observant le fichier des logs d'accès : | + | |
- | * Le fichier /var/log/squid3/access.log | + | * Générer du flux depuis le sous-réseau |
- | Par exemple : | + | Tout bêtement, de côté du lan, on navigue ! |
+ | |||
+ | * Tout en observant côté passerelle (i.e. serveur squid) | ||
+ | le fichier /var/log/squid3/access.logdes logs d'accès : | ||
<code root> | <code root> | ||
tail -f /var/log/squid3/access.log | tail -f /var/log/squid3/access.log | ||
Ligne 397: | Ligne 413: | ||
2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | 2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | ||
- | ====Les pages web visitées et la cache==== | + | ====Les pages web visitées et le cache==== |