• Objet : du tuto
• Niveau requis :

  débutant, avisé
• Commentaires : Contexte d'utilisation du sujet du tuto.
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.

Voir : le site de squid
proxy transparent

Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP.

Un serveur DNS est installé sur la passerelle.

La passerelle est mise en place avec masquerade :

(eth0 est la carte ethernet vers le web)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Le serveur squid est installé :

apt-get install squid3

apt-get build-dep squid3

Le fichier est commenté quasiment entièrement.

cp /etc/squid3/squid.conf /etc/squid3/squid.conf_back

Puis pour y voir plus clair, on toutes les lignes dé-commentées du fichier original, et on re-crée ce fichier afin qu'il ne contienne que ces lignes.

echo "`grep -v "^#" /etc/squid3/squid.conf | sed -e '/^$/d'`" >/etc/squid3/squid.conf

Ce qui donne :

less /etc/squid3/squid.conf

• On ajoute ou modifie les lignes suivantes :

eth0 (vers internet) : 192.168.0.1
eth1 (vers lan) : 192.168.1.1

acl localnet src 192.168.1.0/24
acl lan src 192.168.0.1 192.168.1.0/24
http_access allow localhost
http_access allow localnet
http_access allow lan

acl localnet src 192.168.1.0/24 : le réseau qui doit avoir accès au serveur proxy
acl lan src 192.168.0.1 192.168.1.0/24: Liste de contrôle : le lan seulement utilise squid
http_access allow localhost: accès à squid permis au localhost
http_access allow lan: idem
http_port 3128 : “http_port 3128” devient “http_port 3128 transparent”

Ce qui donne :

less /etc/squid3/squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl lan src 192.168.1.0/24
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet 
http_access allow lan
http_access deny all
http_port 3128 transparent
coredump_dir /var/spool/squid3
#Default:
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

/etc/init.d/squid3 restart

S'il n'y a pas d'erreur :

[ ok ] Restarting Squid HTTP proxy: squid.

Nous n'avons pour l'instant que l'IP masquerade mis en place :

• Il faut ajouter :

iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -J ACCEPT

• Ce qui donne :

iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source      destination         
DNAT       tcp  --  anywhere    anywhere      tcp dpt:http to:192.168.1.1:3128
REDIRECT   tcp  --  anywhere    anywhere      tcp dpt:http redir ports 3128

Chain INPUT (policy ACCEPT)
target     prot opt source      destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source      destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source      destination         
MASQUERADE  all  --  anywhere   anywhere

• Vérifier que les lignes suivantes comportes ces valeurs :

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

• Faire rendre en compte une éventuelle modification :

sysctl -p

Tout bêtement, de côté du lan, on navigue.

• Voir le fichier /var/log/squid3/cache.log

On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.
Par exemple ci-dessous les DNS enregistrés :

2014/10/16 13:11:45| Process ID 3735
2014/10/16 13:11:45| With 65535 file descriptors available
2014/10/16 13:11:45| Initializing IP Cache...
2014/10/16 13:11:45| DNS Socket created at [::], FD 7
2014/10/16 13:11:45| DNS Socket created at 0.0.0.0, FD 8
2014/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
2014/10/16 13:11:45| Adding domain mondomaine.hyp from /etc/resolv.conf
2014/10/16 13:11:45| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2014/10/16 13:11:45| Adding nameserver 192.168.0.1 from /etc/resolv.conf
2014/10/16 13:11:45| Adding nameserver 212.27.40.240 from /etc/resolv.conf
2014/10/16 13:11:45| Adding nameserver 212.27.40.241 from /etc/resolv.conf
2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...>

• Le fichier /var/log/squid3/access.log

Ce dernier répertorie tous les accès faits au serveur, c’est-à-dire toutes les requêtes HTTP reçues et la façon dont elles ont été traitées. Le format de ce fichier est paramétrable via l’option access_log du fichier squid.conf. Le format natif d’une entrée de log est le suivant :
time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type

time : le temps UTC (en ms) auquel la requête a été reçue.

elapsed : le temps de traitement par le serveur de la requête (en ms). Ce temps de traitement diffère selon le mode utilisé (connecté ou déconnecté) :

• Pour TCP, il s’agit du temps écoulé entre le moment où le serveur a reçu la requête et le moment où il a répondu au client.
• Pour UDP, il s’agit du temps calculé entre le moment où le serveur prévoit de répondre au client et le moment où il lui répond effectivement.

remotehost : l’adresse IP du client. Cette donnée peut être cachée pour rendre les logs anonymes.

code/status : le code résultat de la transaction. Ce champ est composé de deux entrées séparées par un slash : le code de statut de Squid et le code HTTP de la réponse du serveur d’origine. La plupart de ces codes sont détaillés plus bas.

bytes : la taille de la donnée livrée au client.

method : la méthode utilisée pour récupérer la ressource (GET, HEAD, etc.).

URL : l’URL de la ressource demandée.

rfc931 : les informations utilisateurs (désactivé par défaut).

hierarchy code : un code permettant de savoir comment la requête a été traitée. Ce code peut être suivi par l’adresse IP vers laquelle la requête a été redirigée.

type : le type de contenu issu du header HTTP de la réponse (Les échanges ICP ne contiennent pas cette information).

vim /etc/squid/squid.conf

Ajouter :

#Default:
 cache_effective_user proxy
#Default:
 cache_log /var/log/squid/cache.log