L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 16:40]
Hypathie [Configuration de squid comme proxy transparent]
+++ utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:09]
Hypathie [Vérifications]
@@ Ligne 51: / Ligne 51: @@
   * Puis pour y voir plus clair :
-On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il contienne uniquement les lignes dé-commentées par défaut dans le fichier original.
+On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
 <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
@@ Ligne 68: / Ligne 68: @@
   * Concernant le cache tout est commenté dans le fichier original
-On récupère ce qui le concerne et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
+On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
   * Ce qui donne :
@@ Ligne 298: / Ligne 298: @@
 <code>Chain PREROUTING (policy ACCEPT)
-target     prot opt source      destination
+target     prot opt source        destination
-DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
+ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
-REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128
+DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
+REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
 Chain INPUT (policy ACCEPT)
@@ Ligne 312: / Ligne 313: @@
 MASQUERADE  all  --  anywhere   anywhere</code>
+<code root>iptables -L PREROUTING -t mangle</code>
+<code>iptables -L -t mangle
+Chain PREROUTING (policy ACCEPT)
+target     prot opt source   destination
+DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
+<note>
+Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
+**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
+</note>
 ===Configurer /etc/sysctl.conf ===
-  * Vérifier que les lignes suivantes comportes ces valeurs :
+  * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs :
 <code>
@@ Ligne 319: / Ligne 337: @@
 net.ipv4.ip_forward = 1
 # Controls source route verification
 net.ipv4.conf.default.rp_filter = 0
 </code>
@@ Ligne 326: / Ligne 344: @@
 =====Vérifications====
-====Passage par le proxy ====
+====Vérifier le passage par le proxy ====
-Vérifie si le sous-réseau qui passe est connecté au web par le passerelle, passe bien par le proxy.
+Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
-===Générer du flux ===
+Il faut :
-Tout bêtement, de côté du lan, on navigue en observant le fichier des logs d'accès :
-  * Le fichier /var/log/squid3/access.log
+  * Générer du flux depuis le sous-réseau
-Par exemple :
+Tout bêtement, de côté du lan, on navigue !
+  * Tout en observant côté passerelle (i.e. serveur squid)
+le fichier /var/log/squid3/access.logdes logs d'accès :
 <code root>
 tail -f /var/log/squid3/access.log

Debian-facile

Différences

Pied de page des forums