Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 17:34] Hypathie [Introduction] |
utilisateurs:hypathie:tutos:proxy-transparent [01/11/2014 18:36] Hypathie [Configuration de squid comme proxy transparent] |
||
---|---|---|---|
Ligne 35: | Ligne 35: | ||
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
+ | |||
+ | iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128 | ||
+ | |||
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 | iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
Ligne 74: | Ligne 77: | ||
- | ===Installer le serveur squid3=== | + | ====Installer le serveur squid3==== |
- | <code root>apt-get install squid3</code> | + | |
<code root>apt-get build-dep squid3</code> | <code root>apt-get build-dep squid3</code> | ||
+ | |||
+ | <code root>apt-get install squid3</code> | ||
=====Configuration de squid comme proxy transparent===== | =====Configuration de squid comme proxy transparent===== | ||
Ligne 99: | Ligne 104: | ||
<code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | <code root>echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf</code> | ||
- | * On ajoute ou modifie les lignes suivantes : | + | ===Vérifier le proxy === |
- | Rappel de la configuration:\\ | + | Dans un premier temps on va simplement vérifier que le proxy bloque le trafic du LAN, pour ce faire on ajoute seulement une acl pour le réseau de la passerelle 192.168.0.0/24 et on prévient squid qu'il sert de proxy transparent ''http_port 3128 transparent'' : |
- | eth0 (vers internet) : 192.168.0.1\\ | + | * On édite /etc/squid3/squid.conf |
- | eth1 (vers lan) : 192.168.1.1 | + | <code root>vim /etc/squid3/squid.conf</code> |
+ | |||
+ | * Ce qui donne : | ||
+ | |||
+ | <code> | ||
+ | acl manager proto cache_object | ||
+ | acl localhost src 127.0.0.1/32 ::1 | ||
+ | acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 | ||
+ | acl localnet src 192.168.0.0/24 # RFC1918 possible internal network | ||
+ | acl SSL_ports port 443 | ||
+ | acl Safe_ports port 80 # http | ||
+ | acl Safe_ports port 21 # ftp | ||
+ | acl Safe_ports port 443 # https | ||
+ | acl Safe_ports port 70 # gopher | ||
+ | acl Safe_ports port 210 # wais | ||
+ | acl Safe_ports port 1025-65535 # unregistered ports | ||
+ | acl Safe_ports port 280 # http-mgmt | ||
+ | acl Safe_ports port 488 # gss-http | ||
+ | acl Safe_ports port 591 # filemaker | ||
+ | acl Safe_ports port 777 # multiling http | ||
+ | acl CONNECT method CONNECT | ||
+ | http_access allow manager localhost | ||
+ | http_access deny manager | ||
+ | http_access deny !Safe_ports | ||
+ | http_access deny CONNECT !SSL_ports | ||
+ | http_access allow localhost | ||
+ | http_access allow localnet | ||
+ | http_access deny all | ||
+ | http_port 3128 transparent | ||
+ | coredump_dir /var/spool/squid3 | ||
+ | refresh_pattern ^ftp: 1440 20% 10080 | ||
+ | refresh_pattern ^gopher: 1440 0% 1440 | ||
+ | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | ||
+ | refresh_pattern . 0 20% 4320 | ||
+ | </code> | ||
+ | > Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet. | ||
+ | |||
+ | |||
+ | * Si on tente de naviguer depuis le LAN : | ||
+ | {{http://pix.toile-libre.org/upload/img/1414862596.png|}} | ||
+ | |||
+ | ====Configuration détaillée du proxy ==== | ||
+ | |||
+ | ===Mise en place du cache pour le LAN === | ||
- | > ''acl localnet src 192.168.1.0/24'' : le réseau qui doit avoir accès au serveur proxy | ||
>''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | >''acl lan src 192.168.0.1 192.168.1.0/24'': Liste de contrôle : le lan seulement utilise squid | ||
- | >''http_access allow localhost'': accès à squid permis au localhost | + | |
- | >''http_access allow lan'': idem | + | >''access_log /var/log/squid3/access.log squid'' : On récupère cette ligne dans le fichier /etc/squid3/squid.conf-bak (copie de l'original) et on l'ajoute au fichier /etc/squid3/squid.conf |
- | >''http_port 3128'' : "http_port 3128" devient "http_port 3128 transparent" | + | |
- | >''access_log /var/log/squid3/access.log squid'' : le fichier de log est commenté, on récupère la ligne dans le fichier sauvegardé et on l'ajoute. | + | |
* Concernant le cache tout est commenté dans le fichier original | * Concernant le cache tout est commenté dans le fichier original |