L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 06:20]
Hypathie [configuration d'iptables (NAT)]
+++ utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 07:19]
Hypathie [Introduction]
@@ Ligne 15: / Ligne 15: @@
 Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.
-===Prérequis===
+====Prérequis====
 Un serveur DNS est installé sur la passerelle.\\
@@ Ligne 24: / Ligne 24: @@
 ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''
-Le serveur squid est installé :
+=== Configuration d'iptables (NAT) ===
+  * Il faut ajouter :
+<code root>
+iptables -t nat -F
+iptables -t nat -X
+iptables -t mangle -F
+iptables -t mangle -X
+iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
+iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80\
+ -j DNAT --to-destination 192.168.0.1:3128
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
+iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
+ -p tcp --dport 80 -j REDIRECT --to-port 3128
+iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80\
+ -j REDIRECT --to-ports 3128
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+</code>
+  * Ce qui donne :
+<code root>iptables -L -t nat</code>
+<code>Chain PREROUTING (policy ACCEPT)
+target     prot opt source        destination
+ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
+DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
+REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
+Chain INPUT (policy ACCEPT)
+target     prot opt source      destination
+Chain OUTPUT (policy ACCEPT)
+target     prot opt source      destination
+Chain POSTROUTING (policy ACCEPT)
+target     prot opt source      destination
+MASQUERADE  all  --  anywhere   anywhere</code>
+<code root>iptables -L PREROUTING -t mangle</code>
+<code>iptables -L -t mangle
+Chain PREROUTING (policy ACCEPT)
+target     prot opt source   destination
+DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
+<note>
+**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
+  Due to the NAT security vulnerabilities it is also a very good idea
+  to block external access to the internal receiving port.
+  This has to be done in the mangle part of iptables before DNAT happens
+  so that intercepted traffic does not get dropped.
+**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
+</note>
+===Configurer /etc/sysctl.conf ===
+La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
+<code>
+# Controls IP packet forwarding
+net.ipv4.ip_forward = 1
+# Controls source route verification
+net.ipv4.conf.default.rp_filter = 0
+</code>
+  * Faire rendre en compte une éventuelle modification :
+<code root>sysctl -p</code>
+===Installer le serveur squid3===
 <code root>apt-get install squid3</code>
 <code root>apt-get build-dep squid3</code>

Debian-facile

Différences

Pied de page des forums