Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 17:43] Hypathie [Vérifications] |
utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 17:33] Hypathie [Introduction] |
||
---|---|---|---|
Ligne 34: | Ligne 34: | ||
iptables -t mangle -X | iptables -t mangle -X | ||
- | iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p tcp --dport 80 -j ACCEPT | + | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE |
- | iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80\ | + | iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 |
- | -j DNAT --to-destination 192.168.0.1:3128 | + | |
iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP | iptables -t mangle -A PREROUTING -p tcp --dport 3128 -j DROP | ||
- | |||
- | iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24\ | ||
- | -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
- | |||
- | iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80\ | ||
- | -j REDIRECT --to-ports 3128 | ||
- | |||
- | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
</code> | </code> | ||
+ | Voir un autre exemple : [[http://sourcelinux.wikidot.com/setting-up-squid-in-gateway-as-a-transparent-proxy]] | ||
- | * Ce qui donne : | ||
- | <code root>iptables -L -t nat</code> | ||
- | <code>Chain PREROUTING (policy ACCEPT) | + | <note> |
- | target prot opt source destination | + | Ne pas oublier d'ouvrir éventuellement le port 3128 si un pare-feu posé précédemment met à DROP les chaînes INPUT FORWARD et OUTPUT à DROP sur la table FILTER |
- | ACCEPT tcp -- debian-serveur.mondomaine.hyp anywhere tcp dpt:http | + | |
- | DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.1:3128 | + | |
- | REDIRECT tcp -- 192.168.1.0/24 anywhere tcp dpt:http redir ports 3128 | + | |
- | Chain INPUT (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | |||
- | Chain OUTPUT (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | |||
- | Chain POSTROUTING (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | MASQUERADE all -- anywhere anywhere</code> | ||
- | |||
- | <code root>iptables -L PREROUTING -t mangle</code> | ||
- | <code>iptables -L -t mangle | ||
- | Chain PREROUTING (policy ACCEPT) | ||
- | target prot opt source destination | ||
- | DROP tcp -- anywhere anywhere tcp dpt:3128</code> | ||
- | |||
- | <note> | ||
**Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | ||
Ligne 84: | Ligne 54: | ||
so that intercepted traffic does not get dropped. | so that intercepted traffic does not get dropped. | ||
- | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | + | </note> |
+ | |||
+ | * On conserve nos règles iptables pour le proxy | ||
+ | <code root> | ||
+ | iptables-save > /etc/iptables.squid | ||
+ | echo "post-up iptables-restore < /etc/iptables.squid" >> /etc/network/interfaces</code> | ||
- | </note> | ||
===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde | La première ligne est probablement déjà configurer tel que ce-dessous. Modifier aussi la seconde | ||
Ligne 398: | Ligne 372: | ||
</code> | </code> | ||
- | ====Vérifier la cache ==== | + | ====Vérifier le cache ==== |
Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\ | Ci-dessus, nous avons observé que les connexions passaient par le proxy.\\ | ||
Ligne 419: | Ligne 393: | ||
Se connecter plusieurs fois et tenter la commande : | Se connecter plusieurs fois et tenter la commande : | ||
- | <code root>cat /var/log/squid3/cache.log | grep TCP_HIT</code> | + | *Il faut un certain temps pour obtenir des HIT |
+ | <code root>tail -f /var/log/squid3/cache.log | grep TCP_HIT</code> | ||
+ | <code>Server: ECS (cdg/D62E)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r] | ||
+ | 1413884011.978 66 192.168.1.2 TCP_MISS/200 919 POST http://ocsp.digicert.com/ - DIRECT/93.184.220.29 application/ocsp-response [Host: ocsp.digicert.com\r\nUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.2.0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3\r\nAccept-Encoding: gzip, deflate\r\nDNT: 1\r\nContent-Length: 83\r\nContent-Type: application/ocsp-request\r\nConnection: keep-alive\r\n] [HTTP/1.1 200 OK\r\nAccept-Ranges: bytes\r\nCache-Control: max-age=514328\r\nContent-Type: application/ocsp-response\r\nDate: Tue, 21 Oct 2014 09:32:42 GMT\r\nETag: "5445fdee-1d7"\r\nExpires: Mon, 27 Oct 2014 21:32:42 GMT\r\nLast-Modified: Tue, 21 Oct 2014 06:32:14 GMT\r\nServer: ECS (cdg/4484)\r\nX-Cache: HIT\r\nContent-Length: 471\r\n\r]</code> | ||
====Vérifier le cache==== | ====Vérifier le cache==== | ||
===Voir le fichier /var/log/squid3/cache.log=== | ===Voir le fichier /var/log/squid3/cache.log=== |