L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 08:18]
Hypathie [Vérifications]
+++ utilisateurs:hypathie:tutos:proxy-transparent [02/11/2014 08:44]
Hypathie [Introduction]
@@ Ligne 34: / Ligne 34: @@
 iptables -t mangle -X
-iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT
+iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80\
+iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128
- -j DNAT --to-destination 192.168.0.1:3128
-iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
-iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\
+iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
- -p tcp --dport 80 -j REDIRECT --to-port 3128
-iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80\
+iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP
- -j REDIRECT --to-ports 3128
-iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 </code>
+Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]]
-  * Ce qui donne :
-<code root>iptables -L -t nat</code>
-<code>Chain PREROUTING (policy ACCEPT)
+<note>
-target     prot opt source        destination
+**Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER**
-ACCEPT     tcp  --  debian-serveur.mondomaine.hyp  anywhere   tcp dpt:http
-DNAT       tcp  --  anywhere             anywhere  tcp dpt:http to:192.168.0.1:3128
-REDIRECT   tcp  --  192.168.1.0/24       anywhere  tcp dpt:http redir ports 3128
-Chain INPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain OUTPUT (policy ACCEPT)
-target     prot opt source      destination
-Chain POSTROUTING (policy ACCEPT)
-target     prot opt source      destination
-MASQUERADE  all  --  anywhere   anywhere</code>
-<code root>iptables -L PREROUTING -t mangle</code>
-<code>iptables -L -t mangle
-Chain PREROUTING (policy ACCEPT)
-target     prot opt source   destination
-DROP       tcp  --  anywhere anywhere      tcp dpt:3128</code>
-<note>
 **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] :
@@ Ligne 84: / Ligne 57: @@
   so that intercepted traffic does not get dropped.
-**Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.**
+</note>
+  * On conserve nos règles iptables pour le proxy
+<code root>
+iptables-save > /etc/iptables.squid
+echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code>
-</note>
 ===Configurer /etc/sysctl.conf ===
 La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde
@@ Ligne 96: / Ligne 73: @@
 net.ipv4.conf.default.rp_filter = 0
 </code>
-  * Faire rendre en compte une éventuelle modification :
+  * Faire prendre en compte une éventuelle modification :
 <code root>sysctl -p</code>
-===Installer le serveur squid3===
+====Installer le serveur squid3====
-<code root>apt-get install squid3</code>
 <code root>apt-get build-dep squid3</code>
+<code root>apt-get install squid3</code>
 =====Configuration de squid comme proxy transparent=====
@@ Ligne 125: / Ligne 104: @@
 <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code>
-  * On ajoute ou modifie les lignes suivantes :
+===Vérifier le proxy ===
-Rappel de la configuration:\\
+Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3128 transparent'' :
-eth0 (vers internet) : 192.168.0.1\\
+  * On édite /etc/squid3/squid.conf
-eth1 (vers lan) : 192.168.1.1
+<code root>vim /etc/squid3/squid.conf</code>
+  * Ce qui donne :
+<code>
+acl manager proto cache_object
+acl localhost src 127.0.0.1/32 ::1
+acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
+acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
+acl SSL_ports port 443
+acl Safe_ports port 80          # http
+acl Safe_ports port 21          # ftp
+acl Safe_ports port 443         # https
+acl Safe_ports port 70          # gopher
+acl Safe_ports port 210         # wais
+acl Safe_ports port 1025-65535  # unregistered ports
+acl Safe_ports port 280         # http-mgmt
+acl Safe_ports port 488         # gss-http
+acl Safe_ports port 591         # filemaker
+acl Safe_ports port 777         # multiling http
+acl CONNECT method CONNECT
+http_access allow manager localhost
+http_access deny manager
+http_access deny !Safe_ports
+http_access deny CONNECT !SSL_ports
+http_access allow localhost
+http_access allow localnet
+http_access deny all
+http_port 3128 transparent
+coredump_dir /var/spool/squid3
+refresh_pattern ^ftp:           1440    20%     10080
+refresh_pattern ^gopher:        1440    0%      1440
+refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
+refresh_pattern .               0       20%     4320
+</code>
+> Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet.
+  * Si on tente de naviguer depuis le LAN :
+{{http://pix.toile-libre.org/upload/img/1414862596.png|}}
+====Configuration détaillée du proxy ====
+===Mise en place du cache pour le LAN ===
-> ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy
 >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid
->''http_access allow localhost'': accès à squid permis au localhost
->''http_access allow lan'': idem
->''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent"
->''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute.
-  * Concernant le cache tout est commenté dans le fichier original
+>''access_log /var/log/squid3/access.log squid'' : On récupère cette ligne dans le fichier /etc/squid3/squid.conf-bak (copie de l'original) et on l'ajoute au fichier /etc/squid3/squid.conf
-On récupère le concernant, et on l'ajoute aussi dans le fichier /etc/squid3/squid.conf
   * Ce qui donne :
@@ Ligne 171: / Ligne 188: @@
 #hierarchy_stoplist cgi-bin ?
+cache allow LocalNet
+#cache deny QUERY
 # MEMORY CACHE OPTIONS
@@ Ligne 294: / Ligne 314: @@
 >#Default:
 >''# maximum_object_size 4096 KB''
+>''cache'' : pour déterminer l'utilisation du cache\\ ''cache allow LocalNet'' ; elle doit remplacer ''no_cache''
 <note important>
@@ Ligne 362: / Ligne 383: @@
 =====Vérifications====
+Dans le fichier de configuration /etc/squid3/squid.conf :\\
+  * les dossiers du cache : /var/spool/squid3
+  * le fichier de log d'accès : /var/log/squid3/access.log
+  * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité.
+  * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf
+  * cache_log /var/log/squid3/cache.log
 ====Vérifier le passage par le proxy ====
 Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\
 Il faut :
   * Générer du flux depuis le sous-réseau
 Tout bêtement, de côté du lan, on navigue !
@@ Ligne 386: / Ligne 415: @@
 </code>
-====Vérifier la cache ====
+====Vérifier le cache ====
 Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\
@@ Ligne 407: / Ligne 436: @@
 Se connecter plusieurs fois et tenter la commande :
-<code root>cat /var/log/squid3/cache.log | grep  TCP_HIT</code>
+  *Il faut un certain temps pour obtenir des HIT
+<code root>tail -f /var/log/squid3/cache.log | grep  TCP_HIT</code>
+<code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]
+1413884011.978     66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code>
 ====Vérifier le cache====
 ===Voir le fichier /var/log/squid3/cache.log===

Debian-facile

Différences

Pied de page des forums