Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 08:41] Hypathie [Configuration de squid comme proxy transparent] |
utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 17:41] Hypathie [Introduction] |
||
---|---|---|---|
Ligne 34: | Ligne 34: | ||
iptables -t mangle -X | iptables -t mangle -X | ||
- | iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT | + | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE |
- | iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80\ | + | iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 |
- | -j DNAT --to-destination 192.168.0.1:3128 | + | |
iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP | iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP | ||
- | |||
- | iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\ | ||
- | -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
- | |||
- | iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80\ | ||
- | -j REDIRECT --to-ports 3128 | ||
- | |||
- | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
</code> | </code> | ||
+ | Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]] | ||
- | * Ce qui donne : | ||
- | <code root>iptables -L -t nat</code> | ||
- | <code>Chain PREROUTING (policy ACCEPT) | + | <note> |
- | target prot opt source destination | + | **Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP la table FILTER** |
- | ACCEPT tcp -- debian-serveur.mondomaine.hyp anywhere tcp dpt:http | + | |
- | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.1:3128 | + | |
- | REDIRECT tcp -- 192.168.1.0/24 anywhere tcp dpt:http redir ports 3128 | + | |
- | Chain INPUT (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | |||
- | Chain OUTPUT (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | |||
- | Chain POSTROUTING (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | MASQUERADE all -- anywhere anywhere</code> | ||
- | |||
- | <code root>iptables -L PREROUTING -t mangle</code> | ||
- | <code>iptables -L -t mangle | ||
- | Chain PREROUTING (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | DROP tcp -- anywhere anywhere tcp dpt:3128</code> | ||
- | |||
- | <note> | ||
**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
Ligne 84: | Ligne 54: | ||
so that intercepted traffic does not get dropped. | so that intercepted traffic does not get dropped. | ||
- | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | + | </note> |
+ | |||
+ | * On conserve nos règles iptables pour le proxy | ||
+ | <code root> | ||
+ | iptables-save > /etc/iptables.squid | ||
+ | echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code> | ||
- | </note> | ||
===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde | La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde | ||
Ligne 100: | Ligne 74: | ||
- | ===Installer le serveur squid3=== | + | ====Installer le serveur squid3==== |
<code root>apt-get install squid3</code> | <code root>apt-get install squid3</code> | ||
<code root>apt-get build-dep squid3</code> | <code root>apt-get build-dep squid3</code> | ||
Ligne 366: | Ligne 340: | ||
=====Vérifications==== | =====Vérifications==== | ||
+ | Dans le fichier de configuration /etc/squid3/squid.conf :\\ | ||
+ | |||
+ | * les dossiers du cache : /var/spool/squid3 | ||
+ | * le fichier de log d'accès : /var/log/squid3/access.log | ||
+ | * cache_store_log: /var/log/squid3/store.log\\ Enregistre les activités du gestionnaire de stockage. Cela montre quels les objets sont éjectés de la mémoire cache, et où les objets sont enregistrés et pour combien de temps. Pour désactiver, entrez "none" ou supprimer la ligne. Vous pouvez désactiver en toute sécurité. | ||
+ | * mime_table (pour utiliser FTP) : /usr/share/squid3/mime.conf | ||
+ | * cache_log /var/log/squid3/cache.log | ||
+ | |||
+ | |||
====Vérifier le passage par le proxy ==== | ====Vérifier le passage par le proxy ==== | ||
Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\ | Pour vérifier que le sous-réseau qui est connecté au web via la passerelle, passe bien de même par le proxy.\\ | ||
Il faut : | Il faut : | ||
- | |||
* Générer du flux depuis le sous-réseau | * Générer du flux depuis le sous-réseau | ||
Tout bêtement, de côté du lan, on navigue ! | Tout bêtement, de côté du lan, on navigue ! | ||
Ligne 390: | Ligne 372: | ||
</code> | </code> | ||
- | ====Vérifier la cache ==== | + | ====Vérifier le cache ==== |
Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\ | Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\ | ||
Ligne 411: | Ligne 393: | ||
Se connecter plusieurs fois et tenter la commande : | Se connecter plusieurs fois et tenter la commande : | ||
- | <code root>cat /var/log/squid3/cache.log | grep TCP_HIT</code> | + | *Il faut un certain temps pour obtenir des HIT |
+ | <code root>tail -f /var/log/squid3/cache.log | grep TCP_HIT</code> | ||
+ | <code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r] | ||
+ | 1413884011.978 66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code> | ||
====Vérifier le cache==== | ====Vérifier le cache==== | ||
===Voir le fichier /var/log/squid3/cache.log=== | ===Voir le fichier /var/log/squid3/cache.log=== |