L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 07:19]
Hypathie [Introduction]
+++ utilisateurs:hypathie:tutos:proxy-transparent [04/11/2014 15:30]
Hypathie [Configuration détaillée du proxy]
@@ Ligne 26: / Ligne 26: @@
 === Configuration d'iptables (NAT) ===
-  * Il faut ajouter :
+  * Pour faire choses proprement on flush les tables concernées et on ajoute :
 <code root>
@@ Ligne 34: / Ligne 34: @@
 iptables -t mangle -X
-iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80\
+iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3129
- -j DNAT --to-destination 192.168.0.1:3128
+iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129
 iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
- -p tcp --dport 80 -j REDIRECT --to-port 3128
-iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80\
- -j REDIRECT --to-ports 3128
-iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 </code>
+Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
-  * Ce qui donne :
-<code root>iptables -L -t nat</code>
-<code>Chain PREROUTING (policy ACCEPT)
+<note>
-target     prot opt source        destination
+**Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER**
-ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
-DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
-REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
-Chain INPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain OUTPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain POSTROUTING (policy ACCEPT)
-target     prot opt source      destination
-MASQUERADE  all  --  anywhere   anywhere</code>
-<code root>iptables -L PREROUTING -t mangle</code>
-<code>iptables -L -t mangle
-Chain PREROUTING (policy ACCEPT)
-target     prot opt source   destination
-DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
-<note>
 **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
@@ Ligne 84: / Ligne 56: @@
   so that intercepted traffic does not get dropped.
-**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
+</note>
+  * On conserve nos règles iptables pour le proxy
+<code root>
+iptables-save > /etc/iptables.squid
+echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
-</note>
 ===Configurer /etc/sysctl.conf ===
 La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
@@ Ligne 96: / Ligne 72: @@
 net.ipv4.conf.default.rp_filter = 0
 </code>
-  * Faire rendre en compte une éventuelle modification :
+  * Faire prendre en compte une éventuelle modification :
 <code root>sysctl -p</code>
-===Installer le serveur squid3===
+====Installer le serveur squid3====
-<code root>apt-get install squid3</code>
 <code root>apt-get build-dep squid3</code>
+<code root>apt-get install squid3</code>
 =====Configuration de squid comme proxy transparent=====
@@ Ligne 120: / Ligne 98: @@
 <code root>cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back</code>
-  * Puis pour y voir plus clair :
+  * **Puis pour y voir plus clair :**
 On supprime toutes les lignes commentées et vides du fichier original, et on le recrée afin qu'il contienne uniquement les lignes du fichier original dé-commentées par défaut.
 <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
-  * On ajoute ou modifie les lignes suivantes :
+====Vérifier le proxy ====
-Rappel de la configuration:\\
+===Bloquer tous le trafic du LAN ===
-eth0 (vers internet) : 192.168.0.1\\
+Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3128 transparent'' :
-eth1 (vers lan) : 192.168.1.1
+  * **On édite /etc/squid3/squid.conf**
+<code root>vim /etc/squid3/squid.conf</code>
-> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
->''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
->''http_access allow localhost'': accès à squid permis au localhost
->''http_access allow lan'': idem
->''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
->''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
-  * Concernant le cache tout est commenté dans le fichier original
+  * **Ce qui donne :**
-On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
-  * Ce qui donne :
-<code user>less /etc/squid3/squid.conf</code>
 <code>
 acl manager proto cache_object
@@ Ligne 159: / Ligne 128: @@
 acl Safe_ports port 777         # multiling http
 acl CONNECT method CONNECT
-acl lan src 192.168.0.1 192.168.1.0/24
 http_access allow manager localhost
 http_access deny manager
@@ Ligne 165: / Ligne 133: @@
 http_access deny CONNECT !SSL_ports
 http_access allow localhost
 http_access allow localnet
-http_access allow lan
 http_access deny all
 http_port 3128 transparent
+coredump_dir /var/spool/squid3
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:        1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+refresh_pattern .               0       20%     4320
+</code>
+> Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet.
-#hierarchy_stoplist cgi-bin ?
+  * On recharge squid3 :
+<code root>/etc/init.d/squid3 restart</code>
-# MEMORY CACHE OPTIONS
+  * **Si on tente de naviguer depuis le LAN :**
-#Default:
+{{http://pix.toile-libre.org/upload/img/1414862596.png|}}
-#cache_mem 256 MB
-cache_mem 8 MB
-#Default:
-maximum_object_size_in_memory 256 KB
-#memory_replacement_policy lru
-# DISK CACHE OPTIONS
-# Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
-cache_dir ufs /var/spool/squid3 100 16 256
-#Default:
+===Autoriser le trafic pour le LAN===
-#store_dir_select_algorithm least-load
+  * **On ajoute une acl pour le lan et on l'autorise !**
+<code root>vim /etc/squid3/squid.conf</code>
+<code>
+<...>
+acl lan src 192.168.1.0/24
+<...>
+http_access allow localnet
+</code>
-# A value of 0 indicates no limit.
+  * **On recharge squid3 :**
-#Default:
+<code root>/etc/init.d/squid3 restart</code>
-max_open_disk_fds 0
-# TAG: minimum_object_size (bytes)
-# Objects smaller than this size will NOT be saved on disk. The
-# value is specified in kilobytes, and the default is 0 KB, which
-# means there is no minimum.
-#Default:
-minimum_object_size 0 KB
-#Default:
-maximum_object_size 10 KB
-# LOG_FILE OPTIONS
+=====Configuration détaillée du proxy =====
-#Default:
+====Mise en place du cache pour le LAN  ====
-access_log /var/log/squid3/access.log squid
+===Créer un dossier pour le cache===
-#Default:
+  * Repérer le périphérique choisi :
-cache_log /var/log/squid3/cache.log
+<code root>fdisk -l</code>
+<code>Périphérique Amorce  Début        Fin      Blocs     Id  Système
+/dev/sdg1              63  1336206374   668103156   83  Linux
+/dev/sdg2      1336206375  3907024064  1285408845   83  Linux</code>
-# Leave coredumps in the first cache dir
+  * Formater le périphérique en ext3 ou reiserfs :
-#coredump_dir /var/spool/squid3
+On démonte la partition :
+<code>umount /dev/sdg1</code>
-# OPTIONS FOR TUNING THE CACHE
+  * On vérifie que la partition ne soit pas montée parallèlement par le montage automatique des supports amovibles :
-cache allow all
+<code root>df</code>
-refresh_pattern ^ftp:           1440    20%     10080
+<code>
-refresh_pattern ^gopher:        1440    0%      1440
+<...>
-refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+/dev/sdg1                                               657618716  202064  624011496   1% /media/
-refresh_pattern .               0       20%     4320
+<...>
-hosts_file /etc/hosts
 </code>
-===Activation du cache ===
+  * Si c'est le cas on relance umount :
+<code root>umount /dev/sdg1</code>
-Avec squid3 le cache n'est pas activer.\\
+  * Et on désactive le montage automatique des supports amovibles :
-Pour l'activer, il va falloir aller chercher dans le fichier original ce qui concerne la mise en cache !
+Par exemple avec lxde : gestionnaire de fichiers -> Éditer -> Préférences -> Gestion des volumes\
-En voilà un résumé ;-)
+Puis on décoche "Monter les volumes amovibles automatiquement lors du démarrage" et "Monter les volumes amovibles automatiquement quand ils sont insérés".
-<note tip>
+  * On formate la partition :
-**__Voici la définition de quelques options de configuration basiques :__**
+<code root>mkfs.ext3 /dev/sdg1</code>
-**''http_port''** : permet de définir le port sur lequel se lance Squid.\\ Par défaut, Squid se lance sur le port 3128. Il est également possible de définir plusieurs ports.
+  * Création d'un dossier pour le cache de squid3 :
+<code root>mkdir /data/</code>
-  http_port 3128 8080
+<code root>mount /dev/sdg1 /data</code>
-**''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par exemple :
+<code root>mkdir /data/cache/</code>
-  cache_dir ufs /usr/local/squid/var/cache/ 100 16 256
+  * Mise au point des droits sur le système de répertoire /data/cache/
+<code root>chmod -R 777 /data/cache/</code>
+<code root>chown -R proxy:proxy /data/cache/</code>
-"Remarque : Le type ufs de magasin:\\
+  * Connaître UUID de la partition pour le cache de squid3 :
-"ufs" est l'ancien format de stockage Squid bien connu qui a toujours été là."
+<code root>blkid /dev/sdg1</code>
-**''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local :
+  * Configurer le montage de la partition au démarrage du système :
+<code root>vim /etc/fstab</code>
+On ajoute à la fin du fichier :
+<code>UUID=3e2a6d44-5373-4e69-8c35-54f05443e78d /data  none  bind,rw,noatime,async 0 0</code>
-  * Définition d'une liste d'accès
-  acl localhost src 127.0.0.1/32
+===Paramétrage du cache dans /etc/squid3/squid.conf===
+Avec squid3 le cache n'est pas activer par défaut, pour mettre en place le cache, il faut récupérer les lignes commentées du fichiers d'origine /etc/squid3/squid.conf-bak.\\
-  * Définition des droits de cette liste
+  * **On désactive squid3**
+<code root>/etc/init.d/squid3 stop</code>
-  http_access allow localhost
+  * **On édite /etc/squid3/squid.conf :**
+Pour lui ajouter les directives du fichier "my-squid.conf en adaptant leurs valeurs à sa configuration
+<code root>vim /etc/squid3/squid.conf</code>
+<code>acl manager proto cache_object
+acl localhost src 127.0.0.1/32 ::1
+acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
+acl lan src 192.168.1.0/24
+acl SSL_ports port 443
+acl Safe_ports port 80          # http
+acl Safe_ports port 21          # ftp
+acl Safe_ports port 443         # https
+acl Safe_ports port 70          # gopher
+acl Safe_ports port 210         # wais
+acl Safe_ports port 1025-65535  # unregistered ports
+acl Safe_ports port 280         # http-mgmt
+acl Safe_ports port 488         # gss-http
+acl Safe_ports port 591         # filemaker
+acl Safe_ports port 777         # multiling http
+acl CONNECT method CONNECT
+http_access allow manager localhost
+http_access deny manager
+http_access deny !Safe_ports
+http_access deny CONNECT !SSL_ports
+http_access allow localhost
+http_access allow lan
+http_access deny all
-  * Interdiction à toutes les autres listes
+icp_access allow localhost
+icp_access deny all
-  http_access deny all
+http_port 3128 transparent
-**__Concernant la mise en cache les résolutions DNS__** :
+cache_mem 256 MB
+minimum_object_size 3 KB
+maximum_object_size 6 MB
-**''positive_dns_ttl''** : permet de définir la limite supérieure au-delà de laquelle le serveur invalidera une résolution DNS positive mise en cache.
+ipcache_size 10240
-Par défaut cette option est positionnée à 6 heures (360 minutes). Cette valeur doit être plus grande que celle de l’option negative_dns_ttl.
+fqdncache_size 10240
-**''negative_dns_ttl''** : permet de définir la durée pendant laquelle une résolution DNS négative sera gardée en cache. La valeur minimale est de 1 seconde et il n’est pas recommandé d’aller au-delà de 10 secondes.
+memory_replacement_policy heap GDSF
+cache_replacement_policy heap LFUDA
-**__Concernant l'affichage des traces de debug__ :**
+cache_dir aufs /data/cache 20000 14 256
-**''log_mime_hdrs''** : permet d’afficher les en-têtes HTTP des requêtes et des réponses dans les logs d’activité.
+cache_swap_low 95
+cache_swap_high 99
-**''debug_options''** : cette option permet d’afficher les différentes informations de debug de Squid. Le système de log du serveur est décomposé en sections. Il est donc possible de paramétrer le niveau de log de chacune de ces sections en fonction de ce que l’on souhaite étudier.(( Il existe **93** sections et 10 niveaux de debug, de __0 à 9__, 9 étant le plus précis.)) Voici une configuration qui permet d’avoir un peu plus d’informations sur les traitements réalisés par Squid en interne ((attention toutefois car les fichiers de log peuvent très vite devenir volumineux)) :
+cache_effective_user proxy
+cache_effective_group proxy
-  debug_options ALL,1 17,2 55,2 56,2 57,2 58,2
+access_log /var/log/squid3/access.log squid
+#cache_log /var/log/squid3/cache.log
+#cache_store_log /var/log/squid3/store.log
+coredump_dir /var/spool/squid3
+cache allow lan
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:        1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+refresh_pattern .               0       20%     4320
+visible_hostname routeur-debian
+dns_timeout 10 seconds
+dns_nameservers 192.168.0.1 212.27.40.240 212.27.40.241
+</code>
+<note tip>
+**__Voici la définition de quelques options de configuration basiques :__**
+**''cache_mem''** : Il s'agit de la taille de la mémoire RAM et la valeur choisie doit être adaptée à son matérielle.\\ Plus squid est configuré avec un stockage disque important via la directive cache_dir plus il aura besoin de mémoire pour en ordonné l’utilisation. Mais en outre plus vous allouez d’espace de mémoire pour squid via la directive cache_mem plus squid aura besoin de mémoire vive, en dehors du quota alloué par cette directive, pour ordonner la aussi les objets stocker dans ce cache.\\ Pour connaître la taille et le détaille de l'utilisation de la RAM : **''free -m''**\\
+**''cache_dir''** : permet d’indiquer où stocker les données mises en cache sur le disque.\\ Squid est conçu pour travailler en mémoire afin de charger plus rapidement les données mises en cache.\\ Toutefois, lorsque la mémoire est insuffisante ou que le serveur doit être stoppé, Squid va basculer les données en cache mémoire sur le disque afin de pouvoir en charger d’autres ou les recharger par la suite.\\ Pour __mettre en place cette politique de remplacement des données en cache__ lorsque la mémoire est insuffisante, (algorithme de type LRU (Least Recently Used)), il faut utiliser l’**option cache_dir** qui permet de spécifier au serveur où stocker les données de cache sur le disque et de quelle façon.\\ Le premier argument correspond à l’emplacement disque, le second à l’espace alloué (100 Méga-octets dans l’exemple ci-dessous), le troisième au nombre de répertoires racine, et le dernier au nombre de sous-répertoires. Cette arborescence permet de constituer un index rapide d’accès.\\ Par défaut :
+  cache_dir ufs /usr/local/squid/var/cache/ 100 16 256
+"Remarque : Le type ufs de magasin:\\
+"ufs" est l'ancien format de stockage Squid bien connu qui a toujours été là."
+**''http_access''**, **''icp_access''** : permettent de restreindre l’accès HTTP et ICP en spécifiant des règles de contrôle d’accès (ACls pour access control lists).\\ Chaque requête HTTP ou ICP provoque la vérification de ces règles d’accès. Cet aspect lié à la sécurité est un des points très importants dont il faut se soucier dès l’installation et la mise en route de Squid.\\ Ci-dessous les paramètres par défaut contenus dans le fichier de configuration qui restreignent l’utilisation du serveur au poste local :
->section **17** Request Forwarding __2__
->section **55** HTTP Header __2__
->section **56** HTTP Message Body  __2__
->section **57** HTTP Status-line  __2__
->section **58** HTTP Reply (Response) __2__
 </note>
-  * Il faut donc extraire ce qui nous intéresse concernant le cache du fichier de configuration /etc/squid3/squid.conf :
->#Default:
+  * On crée le cache :
->''# cache_mem 256 MB''
+<code root>squid3 -z</code>
->#Default:
+<code>2014/11/04 12:56:33| Creating Swap Directories
->''# maximum_object_size_in_memory 512 KB''
+/11/04 12:56:33| /data/cache exists
-># Décommentez et régler les éléments suivants pour ajouter un répertoire de cache disque:
+/11/04 12:56:33| Making directories in /data/cache/00
->''#cache_dir ufs /var/spool/squid3 100 16 256''
+/11/04 12:56:33| Making directories in /data/cache/01
->#Default:
+/11/04 12:56:33| Making directories in /data/cache/02
->''# store_dir_select_algorithm least-load''
+/11/04 12:56:33| Making directories in /data/cache/03
->#       A value of 0 indicates no limit.
+/11/04 12:56:33| Making directories in /data/cache/04
->#Default:
+/11/04 12:56:33| Making directories in /data/cache/05
->''# max_open_disk_fds 0''
+/11/04 12:56:33| Making directories in /data/cache/06
->#  TAG: minimum_object_size     (bytes)
+/11/04 12:56:33| Making directories in /data/cache/07
->#       Objects smaller than this size will NOT be saved on disk.  The
+/11/04 12:56:33| Making directories in /data/cache/08
->#       value is specified in kilobytes, and the default is 0 KB, which
+/11/04 12:56:33| Making directories in /data/cache/09
->#       means there is no minimum.
+/11/04 12:56:33| Making directories in /data/cache/0A
->#Default:
+/11/04 12:56:33| Making directories in /data/cache/0B
->''# minimum_object_size 0 KB''
+/11/04 12:56:33| Making directories in /data/cache/0C
->#Default:
+/11/04 12:56:33| Making directories in /data/cache/0D</code>
->''# maximum_object_size 4096 KB''
 <note important>
@@ Ligne 310: / Ligne 345: @@
 </note>
-  * Grâce à la ligne suivant les fichiers du cache sont créés
->''cache_dir ufs /var/spool/squid3 100 16 256''
-Et quand on re-démarre squid3 :
+  * **Ou télécharger ce fichier :**
-<code root>/etc/init.d/squid3 restart</code>
+<code texte my-squid.conf>
+# ACCESS CONTROLS OPTIONS
+# ====================
+acl QUERY urlpath_regex -i cgi-bin \? \.php$ \.asp$ \.shtml$ \.cfm$ \.cfml$ \.phtml$ \.php3$ localhost
+acl all src
+acl localhost src 127.0.0.1/32 ::1
+acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
+acl lan src 192.168.1.0/24
+acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 81 3128 1025-65535
+acl sslports port 443 563 81 2087 10000
+acl manager proto cache_object
+acl purge method PURGE
+acl connect method CONNECT
+http_access allow manager localhost
+http_access deny manager
+http_access deny !safeports
+http_access deny CONNECT !sslports
+http_access allow localhost
+http_access allow localnet
+http_access allow lan
+http_access deny all
+# NETWORK OPTIONS
+# ====================
+http_port 3128 transparent
+# OPTIONS WHICH AFFECT THE CACHE SIZE
+# ==============================
+cache_mem 16 MB
+maximum_object_size_in_memory 32 KB
+memory_replacement_policy heap GDSF
+cache_replacement_policy heap LFUDA
+cache_dir aufs /home/proxy/cache 20000 14 256
+maximum_object_size 128000 KB
+cache_swap_low 95
+cache_swap_high 99
+# LOGFILE PATHNAMES AND CACHE DIRECTORIES
+# ==================================
+access_log /var/log/squid3/access.log
+cache_log /var/log/squid3/cache.log
+cache_store_log none
+logfile_rotate 5
+log_icp_queries off
+# OPTIONS FOR TUNING THE CACHE
+# ========================
+cache deny QUERY
+refresh_pattern ^ftp: 1440 20% 10080 reload-into-ims
+refresh_pattern ^gopher: 1440 0% 1440
+refresh_pattern -i \.(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080 90% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
+refresh_pattern -i \.(html|htm|css|js)$ 1440 75% 40320
+refresh_pattern -i \.index.(html|htm)$ 0 75% 10080
+refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
+refresh_pattern . 1440 90% 10080
+#
+quick_abort_min 0 KB
+quick_abort_max 0 KB
+quick_abort_pct 100
+store_avg_object_size 13 KB
+# HTTP OPTIONS
+# ===========
+vary_ignore_expire on
+# ANONIMITY OPTIONS
+# ===============
+request_header_access From deny all
+request_header_access Server deny all
+request_header_access Link deny all
+request_header_access Via deny all
+request_header_access X-Forwarded-For deny all
+# TIMEOUTS
+# =======
+forward_timeout 240 second
+connect_timeout 30 second
+peer_connect_timeout 5 second
+read_timeout 600 second
+request_timeout 60 second
+shutdown_lifetime 10 second
+# ADMINISTRATIVE PARAMETERS
+# =====================
+cache_mgr routeur-debian
+cache_effective_user proxy
+cache_effective_group proxy
+httpd_suppress_version_string on
+visible_hostname routeur-debian
+ftp_list_width 32
+ftp_passive on
+ftp_sanitycheck on
+# DNS OPTIONS
+# ==========
+dns_timeout 10 seconds
+dns_nameservers 192.168.0.1 212.27.40.240 212.27.40.241
+# MISCELLANEOUS
+# ===========
+memory_pools off
+client_db off
+reload_into_ims on
+coredump_dir /var/log/squid
+pipeline_prefetch on
+offline_mode off
+</code>
+  * Copie du précédent fichier squid.conf :
+<code root>mv /etc/squid3/squid.conf /etc/squid3/squid.conf-BAK2</code>
+  * Mise en place du nouveau fichier /etc/squid3/squid.conf
+<code root>mv /home/hypathie/Téléchargements/my-squid.conf /etc/squid3/squid.conf</code>
+  * **Et quand on re-démarre squid3 :**
+> Grâce à la directive ''cache_dir'' les fichiers du cache sont créés
+<code root>/etc/init.d/squid3 start</code>
 <code>2014/10/17 16:29:49| Creating Swap Directories
 /10/17 16:29:49| /var/spool/squid3 exists
@@ Ligne 343: / Ligne 501: @@
   * On se déplace dans le répertoire du cache :
 (S'il vous plaît servez-vous de l'auto-complétion, surtout ici)
-<code root>cd /var/spool/squid3/</code>
+<code root>cd /home/cache</code>
   * On supprime tous les dossiers
@@ Ligne 362: / Ligne 520: @@
 =====Vérifications====
+Dans le fichier de configuration /etc/squid3/squid.conf :\\
+  * les dossiers du cache : /var/spool/squid3
+  * le fichier de log d'accès : /var/log/squid3/access.log
+  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
+  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
+  * cache_log /var/log/squid3/cache.log
 ====Vérifier le passage par le proxy ====
 Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
 Il faut :
   * Générer du flux depuis le sous-réseau
 Tout bêtement, de côté du lan, on navigue !
   * Tout en observant côté passerelle (i.e. serveur squid)
-le fichier /var/log/squid3/access.logdes logs d'accès :
+le fichier /var/log/squid3/access.log des logs d'accès :
 <code root>
@@ Ligne 385: / Ligne 551: @@
 <...>
 </code>
+====Vérifier le cache ====
+Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
+Pour vérifier que squid sert au client une page de son cache, il faut visiter le même URL plusieurs fois.
+La 1ère fois on a normalement dans /var/log/squid3/access.log, ''TCP_MISS'', mais après on doit obtenir ''TCP_HIT''.
+  * TCP_MISS : L'objet demandé n'est pas dans le cache.
+  * TCP_HIT : Une copie valide de l'objet demandé était dans le cache.
+On peut trouver d'autres indications :
+  * TCP_REFRESH_HIT :   L'objet demandé a été mis en cache mais obsolète (ICM -> 304).
+  * TCP_REF_FAIL_HIT : L'objet demandé a été mis en cache mais il obsolète ; la requête IMS a échoué mais l'objet a été livré.
+  * TCP_REFRESH_MISS : L'objet demandé a été mis en cache mais était obsolète. La requête IMS retourné le nouveau contenu.
+  * TCP_CLIENT_REFRESH_MISS : Le client a émis une certaine demande de cache en même temps que la demande.  Ainsi, le cache doit extraire à nouveau l'objet.
+  * TCP_IMS_HIT : Le client a émis une demande IMS pour un objet qui est nouvellement dans le cache.
+  * TCP_NEGATIVE_HIT :Demande d'un objet mis en cache négative, par exemple "404 Not Found"
+  * TCP_MEM_HIT : Une copie valide de l'objet demandé a été mis dans la mémoire du cache, évitant ainsi les accès disque.
+  * TCP_DENIED : Accès a été refusé pour cette demande.
+  * TCP_OFFLINE_HIT : L'objet demandé a été récupéré à partir du cache en mode déconnecté. Voir "offline_mode" dans le fichier squid.conf.
+Se connecter plusieurs fois et tenter la commande :
+  *Il faut un certain temps pour obtenir des HIT
+<code root>tail -f /var/log/squid3/cache.log | grep  TCP_HIT</code>
+<code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]
+1413884011.978     66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code>
+====Vérifier le cache====
+===Voir le fichier /var/log/squid3/cache.log===
+On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
+  * Par exemple ci-dessous les DNS enregistrés :
+<code>2014/10/16 13:11:45| Process ID 3735
+/10/16 13:11:45| With 65535 file descriptors available
+/10/16 13:11:45| Initializing IP Cache...
+/10/16 13:11:45| DNS Socket created at [::], FD 7
+/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
+/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
+/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>
 <note tip>
@@ Ligne 414: / Ligne 627: @@
 >**''type''** : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).
 </note>
-====Vérifier le cache====
-===Voir le fichier /var/log/squid3/cache.log===
-On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\
-  * Par exemple ci-dessous les DNS enregistrés :
-<code>2014/10/16 13:11:45| Process ID 3735
-/10/16 13:11:45| With 65535 file descriptors available
-/10/16 13:11:45| Initializing IP Cache...
-/10/16 13:11:45| DNS Socket created at [::], FD 7
-/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
-/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
-/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code>

Debian-facile

Différences

Pied de page des forums