Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 16:40] Hypathie [Configuration de squid comme proxy transparent] |
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:04] Hypathie [configuration d'iptables (NAT)] |
||
---|---|---|---|
Ligne 51: | Ligne 51: | ||
* Puis pour y voir plus clair : | * Puis pour y voir plus clair : | ||
- | On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il contienne uniquement les lignes dé-commentées par défaut dans le fichier original. | + | On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut. |
<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | ||
Ligne 68: | Ligne 68: | ||
* Concernant le cache tout est commenté dans le fichier original | * Concernant le cache tout est commenté dans le fichier original | ||
- | On récupère ce qui le concerne et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf | + | On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf |
* Ce qui donne : | * Ce qui donne : | ||
Ligne 298: | Ligne 298: | ||
<code>Chain PREROUTING (policy ACCEPT) | <code>Chain PREROUTING (policy ACCEPT) | ||
- | target prot opt source destination | + | target prot opt source destination |
- | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.1.1:3128 | + | ACCEPT tcp -- debian-serveur.mondomaine.hyp anywhere tcp dpt:http |
- | REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128 | + | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.1:3128 |
+ | REDIRECT tcp -- 192.168.1.0/24 anywhere tcp dpt:http redir ports 3128 | ||
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
Ligne 312: | Ligne 313: | ||
MASQUERADE all -- anywhere anywhere</code> | MASQUERADE all -- anywhere anywhere</code> | ||
+ | <code root>iptables -L PREROUTING -t mangle</code> | ||
+ | <code>iptables -L -t mangle | ||
+ | Chain PREROUTING (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | DROP tcp -- anywhere anywhere tcp dpt:3128</code> | ||
+ | |||
+ | <note> | ||
+ | Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
+ | |||
+ | Due to the NAT security vulnerabilities it is also a very good idea | ||
+ | to block external access to the internal receiving port. | ||
+ | This has to be done in the mangle part of iptables before DNAT happens | ||
+ | so that intercepted traffic does not get dropped. | ||
+ | |||
+ | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | ||
+ | |||
+ | </note> | ||
===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
- | * Vérifier que les lignes suivantes comportes ces valeurs : | + | * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs : |
<code> | <code> | ||
Ligne 319: | Ligne 337: | ||
net.ipv4.ip_forward = 1 | net.ipv4.ip_forward = 1 | ||
- | # Controls source route verification | + | # Controls source route verification |
net.ipv4.conf.default.rp_filter = 0 | net.ipv4.conf.default.rp_filter = 0 | ||
</code> | </code> |