Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 16:48] Hypathie [configuration d'iptables (NAT)] |
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:04] Hypathie [configuration d'iptables (NAT)] |
||
---|---|---|---|
Ligne 51: | Ligne 51: | ||
* Puis pour y voir plus clair : | * Puis pour y voir plus clair : | ||
- | On supprime toutes les lignes commentées et vide du fichier original, et on le re-crée afin qu'il contienne uniquement les lignes dé-commentées par défaut dans le fichier original. | + | On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut. |
<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | ||
Ligne 68: | Ligne 68: | ||
* Concernant le cache tout est commenté dans le fichier original | * Concernant le cache tout est commenté dans le fichier original | ||
- | On récupère ce qui le concerne et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf | + | On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf |
* Ce qui donne : | * Ce qui donne : | ||
Ligne 321: | Ligne 321: | ||
<note> | <note> | ||
Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
- | <code> | ||
- | Due to the NAT security vulnerabilities it is also a very good idea to block external access to the internal receiving port. This has to be done in the mangle part of iptables before DNAT happens so that intercepted traffic does not get dropped. | ||
- | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur les deux interfaces, puisque squid est installé sur l'interface du DNS i.e eth0.** | + | Due to the NAT security vulnerabilities it is also a very good idea |
- | </code> | + | to block external access to the internal receiving port. |
+ | This has to be done in the mangle part of iptables before DNAT happens | ||
+ | so that intercepted traffic does not get dropped. | ||
+ | |||
+ | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | ||
</note> | </note> | ||
===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
- | * Vérifier que les lignes suivantes comportes ces valeurs : | + | * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs : |
<code> | <code> | ||
Ligne 334: | Ligne 337: | ||
net.ipv4.ip_forward = 1 | net.ipv4.ip_forward = 1 | ||
- | # Controls source route verification | + | # Controls source route verification |
net.ipv4.conf.default.rp_filter = 0 | net.ipv4.conf.default.rp_filter = 0 | ||
</code> | </code> |