wikinotes

Outils pour utilisateurs

Outils du site

Piste :
netadmin:proxy:squid:installer-squid3

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
netadmin:proxy:squid:installer-squid3 [2017/12/29 15:43] – créée yoannnetadmin:proxy:squid:installer-squid3 [2021/09/09 10:21] (Version actuelle) – ajout d'une référence yoann
Ligne 25: Ligne 25:
  
 ===== Contrôle du service ===== ===== Contrôle du service =====
 +
 +Afficher la version du programme:
 +<code bash>
 +$ squid3 -v
 +</code>
  
 Le démarrage/arrêt/redémarrage du service squid ce fait via la commande **service**: Le démarrage/arrêt/redémarrage du service squid ce fait via la commande **service**:
Ligne 42: Ligne 47:
 Le fichier de log peut grossir rapidement la commande ci dessous permet de déclancher la rotation des fichiers logs: Le fichier de log peut grossir rapidement la commande ci dessous permet de déclancher la rotation des fichiers logs:
 <code bash> <code bash>
-root# squid -k rotate+root# squid3 -k rotate
 </code> </code>
  
Ligne 49: Ligne 54:
  
 <file> <file>
-0 0 * * * /usr/local/squid/bin/squid -k rotate+0 0 * * * /usr/sbin/squid3 -k rotate
 </file> </file>
 +
 +===== Rendre le proxy transparent =====
 +
 +Le mode transparent permet de filtrer les postes clients sans configuration spécifique coté client. Il a cependant ces limites notamment avec **https**. Le filtrage transparent ne fonctionnera pas pour tous les sites en https qui considéreront une  attaque "man in the middle". Pour que cela fonctionne, des règles de NAT devront autoriser systématiquement le flux https et donc rendre le filtrage inopérant. 
 +
 +==== Configurer squid ====
 +
 +Activer le mode transparent en modifiant le fichier de configuration de squid3:
 +
 +<file>
 +http_port 3128 transparent 
 +</file>
 +
 +Modifier la configuration du système pour autoriser le routage de paquets. La procédure est décrite dans le wiki [[netadmin:linux:activer-routage]].
 +
 +
 +==== Règles iptables ====
 +
 +Dans les règles présentées ci-dessous:
 +  * **lan** est le nom de l'interface écoutant sur le LAN
 +  * **wan** est le nom de l'interface reliée à Internet
 +  * **192.168.0.254** est l'adresse sur le LAN du serveur
 +
 +
 +Règles de bypass du flux https
 +
 +<code bash>
 +iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 +iptables -t filter -A FORWARD -i lan -p tcp --dport 443 -j ACCEPT
 +iptables -t nat -A POSTROUTING -o wan -j SNAT --to-source 192.168.0.254
 +</code>
 +
 +Règle de NAT rendant squid transparent:
 +<code>
 +iptables -t nat -A PREROUTING -i lan -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254:3128
 +iptables -t nat -A PREROUTING -i wan -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
 +</code>
  
 ===== Références ===== ===== Références =====
  
   * https://wiki.squid-cache.org/SquidFaq/SquidLogs#Retrieving_.22lost.22_files_from_the_cache   * https://wiki.squid-cache.org/SquidFaq/SquidLogs#Retrieving_.22lost.22_files_from_the_cache
 +  * https://sebw.info/index.php?article89/squid-installation-proxy-cache-et-filtrage-via-squidguard
netadmin/proxy/squid/installer-squid3.1514562210.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki