L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 06:19]
Hypathie [configuration d'iptables (NAT)]
+++ utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 17:34]
Hypathie [Introduction]
@@ Ligne 15: / Ligne 15: @@
 Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
-===Prérequis===
+====Prérequis====
 Un serveur DNS est installé sur la passerelle.\\
@@ Ligne 24: / Ligne 24: @@
 ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''
-Le serveur squid est installé :
+=== Configuration d'iptables (NAT) ===
+  * Pour faire choses proprement on flush les tables concernées et on ajoute :
+<code root>
+iptables -t nat -F
+iptables -t nat -X
+iptables -t mangle -F
+iptables -t mangle -X
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+</code>
+Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
+<note>
+**Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER**
+**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
+</note>
+  * On conserve nos règles iptables pour le proxy
+<code root>
+iptables-save > /etc/iptables.squid
+echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
+===Configurer /etc/sysctl.conf ===
+La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
+# Controls source route verification
+net.ipv4.conf.default.rp_filter = 0
+</code>
+  * Faire rendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
+===Installer le serveur squid3===
 <code root>apt-get install squid3</code>
 <code root>apt-get build-dep squid3</code>
@@ Ligne 95: / Ligne 145: @@
 #hierarchy_stoplist cgi-bin ?
+cache allow LocalNet
+#cache deny QUERY
 # MEMORY CACHE OPTIONS
@@ Ligne 218: / Ligne 271: @@
 >#Default:
 >''# maximum_object_size 4096 KB''
+>''cache'' : pour déterminer l'utilisation du cache\\ ''cache allow LocalNet'' ; elle doit remplacer ''no_cache''
 <note important>
@@ Ligne 284: / Ligne 338: @@
-===== configuration d'iptables (NAT) =====
-Nous n'avons pour l'instant que l'IP masquerade mis en place :
+=====Vérifications====
+Dans le fichier de configuration /etc/squid3/squid.conf :\\
-  * Il faut ajouter :
+  * les dossiers du cache : /var/spool/squid3
+  * le fichier de log d'accès : /var/log/squid3/access.log
+  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
+  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
+  * cache_log /var/log/squid3/cache.log
-<code root>
-iptables -t nat -A PREROUTING -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
-iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT\
- --to-destination 192.168.0.1:3128
-iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
- -p tcp --dport 80 -j REDIRECT --to-port 3128
-iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24\
- -p tcp -m tcp --dport 80 -j ACCEPT
-</code>
-  * Ce qui donne :
-<code root>iptables -L -t nat</code>
-<code>Chain PREROUTING (policy ACCEPT)
-target     prot opt source        destination
-ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
-DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
-REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
-Chain INPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain OUTPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain POSTROUTING (policy ACCEPT)
-target     prot opt source      destination
-MASQUERADE  all  --  anywhere   anywhere</code>
-<code root>iptables -L PREROUTING -t mangle</code>
-<code>iptables -L -t mangle
-Chain PREROUTING (policy ACCEPT)
-target     prot opt source   destination
-DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
-<note>
-**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
-  Due to the NAT security vulnerabilities it is also a very good idea
-  to block external access to the internal receiving port.
-  This has to be done in the mangle part of iptables before DNAT happens
-  so that intercepted traffic does not get dropped.
-**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
-</note>
-===Configurer /etc/sysctl.conf ===
-  * Pour masquerade, vérifier que les lignes suivantes comportes ces valeurs :
-<code>
-# Controls IP packet forwarding
-net.ipv4.ip_forward = 1
-# Controls source route verification
-net.ipv4.conf.default.rp_filter = 0
-</code>
-  * Faire rendre en compte une éventuelle modification :
-<code root>sysctl -p</code>
-=====Vérifications====
 ====Vérifier le passage par le proxy ====
 Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
 Il faut :
   * Générer du flux depuis le sous-réseau
 Tout bêtement, de côté du lan, on navigue !
@@ Ligne 374: / Ligne 371: @@
 <...>
 </code>
+====Vérifier le cache ====
+Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
+Pour vérifier que squid sert au client une page de son cache, il faut visiter le même URL plusieurs fois.
+La 1ère fois on a normalement dans /var/log/squid3/access.log, ''TCP_MISS'', mais après on doit obtenir ''TCP_HIT''.
+  * TCP_MISS : L'objet demandé n'est pas dans le cache.
+  * TCP_HIT : Une copie valide de l'objet demandé était dans le cache.
+On peut trouver d'autres indications :
+  * TCP_REFRESH_HIT :   L'objet demandé a été mis en cache mais obsolète (ICM -> 304).
+  * TCP_REF_FAIL_HIT : L'objet demandé a été mis en cache mais il obsolète ; la requête IMS a échoué mais l'objet a été livré.
+  * TCP_REFRESH_MISS : L'objet demandé a été mis en cache mais était obsolète. La requête IMS retourné le nouveau contenu.
+  * TCP_CLIENT_REFRESH_MISS : Le client a émis une certaine demande de cache en même temps que la demande.  Ainsi, le cache doit extraire à nouveau l'objet.
+  * TCP_IMS_HIT : Le client a émis une demande IMS pour un objet qui est nouvellement dans le cache.
+  * TCP_NEGATIVE_HIT :Demande d'un objet mis en cache négative, par exemple "404 Not Found"
+  * TCP_MEM_HIT : Une copie valide de l'objet demandé a été mis dans la mémoire du cache, évitant ainsi les accès disque.
+  * TCP_DENIED : Accès a été refusé pour cette demande.
+  * TCP_OFFLINE_HIT : L'objet demandé a été récupéré à partir du cache en mode déconnecté. Voir "offline_mode" dans le fichier squid.conf.
+Se connecter plusieurs fois et tenter la commande :
+  *Il faut un certain temps pour obtenir des HIT
+<code root>tail -f /var/log/squid3/cache.log | grep  TCP_HIT</code>
+<code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]
+1413884011.978     66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code>
+====Vérifier le cache====
+===Voir le fichier /var/log/squid3/cache.log===
+On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
+  * Par exemple ci-dessous les DNS enregistrés :
+<code>2014/10/16 13:11:45| Process ID 3735
+/10/16 13:11:45| With 65535 file descriptors available
+/10/16 13:11:45| Initializing IP Cache...
+/10/16 13:11:45| DNS Socket created at [::], FD 7
+/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
+/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
 <note tip>
@@ Ligne 403: / Ligne 447: @@
 >**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
 </note>
-====Vérifier le cache====
-===Voir le fichier /var/log/squid3/cache.log===
-On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
-  * Par exemple ci-dessous les DNS enregistrés :
-<code>2014/10/16 13:11:45| Process ID 3735
-/10/16 13:11:45| With 65535 file descriptors available
-/10/16 13:11:45| Initializing IP Cache...
-/10/16 13:11:45| DNS Socket created at [::], FD 7
-/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
-/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>

Debian-facile

Différences

Pied de page des forums