Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 16:40] Hypathie [Configuration de squid comme proxy transparent] |
utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 05:19] Hypathie [Introduction] |
||
|---|---|---|---|
| Ligne 8: | Ligne 8: | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Voir : [[http://www.squid-cache.org/|le site de squid]]\\ | Voir : [[http://www.squid-cache.org/|le site de squid]]\\ | ||
| - | [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]] | + | [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]\\ |
| + | Voir aussi : [[http://www.sput.nl/software/squid33.html]] | ||
| Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. | Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. | ||
| Ligne 51: | Ligne 53: | ||
| * Puis pour y voir plus clair : | * Puis pour y voir plus clair : | ||
| - | On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il contienne uniquement les lignes dé-commentées par défaut dans le fichier original. | + | On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut. |
| <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | ||
| Ligne 68: | Ligne 70: | ||
| * Concernant le cache tout est commenté dans le fichier original | * Concernant le cache tout est commenté dans le fichier original | ||
| - | On récupère ce qui le concerne et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf | + | On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf |
| * Ce qui donne : | * Ce qui donne : | ||
| Ligne 298: | Ligne 300: | ||
| <code>Chain PREROUTING (policy ACCEPT) | <code>Chain PREROUTING (policy ACCEPT) | ||
| - | target prot opt source destination | + | target prot opt source destination |
| - | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.1.1:3128 | + | ACCEPT tcp -- debian-serveur.mondomaine.hyp anywhere tcp dpt:http |
| - | REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128 | + | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.1:3128 |
| + | REDIRECT tcp -- 192.168.1.0/24 anywhere tcp dpt:http redir ports 3128 | ||
| Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
| Ligne 312: | Ligne 315: | ||
| MASQUERADE all -- anywhere anywhere</code> | MASQUERADE all -- anywhere anywhere</code> | ||
| + | <code root>iptables -L PREROUTING -t mangle</code> | ||
| + | <code>iptables -L -t mangle | ||
| + | Chain PREROUTING (policy ACCEPT) | ||
| + | target prot opt source destination | ||
| + | DROP tcp -- anywhere anywhere tcp dpt:3128</code> | ||
| + | |||
| + | <note> | ||
| + | **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
| + | |||
| + | Due to the NAT security vulnerabilities it is also a very good idea | ||
| + | to block external access to the internal receiving port. | ||
| + | This has to be done in the mangle part of iptables before DNAT happens | ||
| + | so that intercepted traffic does not get dropped. | ||
| + | |||
| + | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | ||
| + | |||
| + | </note> | ||
| ===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
| - | * Vérifier que les lignes suivantes comportes ces valeurs : | + | * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs : |
| <code> | <code> | ||
| Ligne 319: | Ligne 339: | ||
| net.ipv4.ip_forward = 1 | net.ipv4.ip_forward = 1 | ||
| - | # Controls source route verification | + | # Controls source route verification |
| net.ipv4.conf.default.rp_filter = 0 | net.ipv4.conf.default.rp_filter = 0 | ||
| </code> | </code> | ||
| Ligne 326: | Ligne 346: | ||
| =====Vérifications==== | =====Vérifications==== | ||
| - | ====Passage par le proxy ==== | + | ====Vérifier le passage par le proxy ==== |
| - | Vérifie si le sous-réseau qui passe est connecté au web par le passerelle, passe bien par le proxy. | + | Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\ |
| - | ===Générer du flux === | + | Il faut : |
| - | Tout bêtement, de côté du lan, on navigue en observant le fichier des logs d'accès : | + | |
| - | * Le fichier /var/log/squid3/access.log | + | * Générer du flux depuis le sous-réseau |
| - | Par exemple : | + | Tout bêtement, de côté du lan, on navigue ! |
| + | |||
| + | * Tout en observant côté passerelle (i.e. serveur squid) | ||
| + | le fichier /var/log/squid3/access.logdes logs d'accès : | ||
| <code root> | <code root> | ||
| tail -f /var/log/squid3/access.log | tail -f /var/log/squid3/access.log | ||
| Ligne 375: | Ligne 399: | ||
| </note> | </note> | ||
| - | * Voir le fichier /var/log/squid3/cache.log | + | ====Vérifier le cache==== |
| + | ===Voir le fichier /var/log/squid3/cache.log=== | ||
| On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\ | On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\ | ||
| - | Par exemple ci-dessous les DNS enregistrés : | + | |
| + | * Par exemple ci-dessous les DNS enregistrés : | ||
| <code>2014/10/16 13:11:45| Process ID 3735 | <code>2014/10/16 13:11:45| Process ID 3735 | ||
| 2014/10/16 13:11:45| With 65535 file descriptors available | 2014/10/16 13:11:45| With 65535 file descriptors available | ||
| Ligne 391: | Ligne 418: | ||
| 2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | 2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | ||
| - | ====Les pages web visitées et le cache==== | ||
| - | ===== Utilisation ===== | + | |
