• Objet : du tuto
• Niveau requis :

  débutant, avisé
• Commentaires : Contexte d'utilisation du sujet du tuto.
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.

Voir : le site de squid
proxy transparent

Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.

Un serveur DNS est installé sur la passerelle.

La passerelle est mise en place avec masquerade :

(eth0 est la carte ethernet vers le web)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Le serveur squid est installé :

apt-get install --no-install-recommends squid3

Le fichier est commenté quasiment entièrement.

cp /etc/squid/squid.conf /etc/squid/squid.conf-saved

Puis pour y voir plus clair, on toutes les lignes dé-commentées du fichier original, et on re-crée ce fichier afin qu'il ne contienne que ces lignes.

echo "`grep -v "^#" /etc/squid/squid.conf | sed -e '/^$/d'`" >/etc/squid/squid.conf

Ce qui donne :

less /etc/squid/squid.conf

acl all src all
acl manager proto cache_object #par défaut
acl localhost src 127.0.0.1/32 # par défaut
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 # par défaut
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access deny all
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 8 MB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
 visible_hostname debian-serveur
hosts_file /etc/hosts
coredump_dir /var/spool/squid

• On ajoute ou modifie les lignes suivantes :

eth0 (vers internet) : 192.168.0.1
eth1 (vers lan) : 192.168.1.1

acl localnet src 192.168.1.0/24
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl lan src 192.168.0.1 192.168.1.0/24
http_access allow localhost
http_access allow lan

acl localnet src 192.168.1.0/24 : le réseau qui doit avoir accès au serveur proxy
httpd_accel_host virtual: Squid comme un accélérateur de http¹⁾
httpd_accel_port 80: choix du port 80 comme port contrôlé par le proxy
httpd_accel_with_proxy on: poser squid comme proxy local et comme accélérateur http
httpd_accel_uses_host_header on: activer le nom d'hôte
acl lan src 192.168.0.1 192.168.1.0/24: Liste de contrôle : le lan seulement utilise squid
http_access allow localhost: accès à squid permis au localhost
http_access allow lan: idem
http_port 3128 : “http_port 3128” devient “http_port 3128 transparent”

• Ce qui donne :

acl all src all
acl manager proto cache_object #par défaut
acl localhost src 127.0.0.1/32 # par défaut
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 # par défaut
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access deny all
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl lan src 192.168.0.1 192.168.1.0/24
http_access allow localhost
http_access allow lan
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 8 MB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$       0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
 visible_hostname debian-serveur
hosts_file /etc/hosts
coredump_dir /var/spool/squid

/etc/init.d/squid restart

S'il n'y a pas d'erreur :

[ ok ] Restarting Squid HTTP proxy: squid.

Nous n'avons pour l'instant que l'IP masquerade mis en place :

• Il faut ajouter :

iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -J ACCEPT

• Ce qui donne :

iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source      destination         
DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128

Chain INPUT (policy ACCEPT)
target     prot opt source      destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source      destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source      destination         
MASQUERADE  all  --  anywhere   anywhere

• Vérifier que les lignes suivantes comportes ces valeurs :

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

• Faire rendre en compte une éventuelle modification :

sysctl -p

• On lance côté passerelle

tail -f /var/log/squid/access.log

On laisse ouvert.

• Côté du lan, on navigue