serveur proxy http - squidRésolu/Fermé

Question

Bonjour à tous, 

Je vais vous exposer mon problème en détail, et j'espère qu'ensemble on arrivera à ce "projet". Grâce à ce soucis, j'aimerais créer un réel tutoriel complet afin qu'il reserve encore à d'autres. Créer un pseudo groupe de travail pour que dans une semaine le tuto soit opérationnel.

J'ai un serveur Debian, sous lequel on m'a demandé de créer un serveur proxy http à cause de connections abusives sur des sites prOns (porns). Pour cela, j'ai installé squid. Enfin ... à part avoir fais un : 

#apt-get install squid 

Le reste, j'ai tenté avec plusieurs tutoriels trouvés sur google de configurer # /etc/squid/squid.conf

mais bon rien ne marche.

Configuration matériel : 

2 carte réseaux : une qui recoit le net (10/100) via un routeur (enfin 2 pour etre exacte - vu qu'on récupère le signal depuis un routeur qui ne m'appartien pas, le deuxième est là au cas où on recoit une nouvelle connection --BREF DETAIL j'peux supprimer un routeur) l'autre (10/100/1000) qui est connecté aux SWITCH's.

-- Première question : quel est le paramétrage que je puisse mettre à eth1 (celle reliée au routeur) et à eth0 (celle reliée aux switchs)
Pour l'instant, eth1 est en dhcp et eth0 en static, mais une fois sur deux on arrive à ping vers l'extérieur genre www.google.fr

-- Deuxième question : dois je installé un serveur DHCP sur le serveur pour qu'il puisse redistribuer des IP's aux switchs ?

-- Troisième question : avez vous suivi des tuto qui marchent et qui tiennent la route pour configurer squid.conf ?

-- Quatrième question : quelle est exactement la configuration que je dois apporter client internet du genre firefox (ubuntu).

Si vous avez déjà suivi des tuto, merci de m'en faire part, j'essayerais et je ferais quelque chose d'unique.

En tout cas, merci d'avance.

sebsauvage · Answer

-- Troisième question : avez vous suivi des tuto qui marchent et qui tiennent la route pour configurer squid.conf ? 

J'en ai fait un moi-même, là: http://www.commentcamarche.net/faq/sujet 6323 installer un serveur proxy http squid

J'utilise Squid chez moi. Le PC sur lequel tourne Squid a 2 cartes réseau, l'une reliée à internet (eth1) par une FreeBox (en DHCP), l'autre (eth0) avec une IP fixe, sur laquelle Squid offre son service.


dois je installé un serveur DHCP sur le serveur pour qu'il puisse redistribuer des IP's aux switchs ?

C'est sans rapport avec le proxy.
Qui est chargé d'attribuer les adresses IP aux machine de ton LAN ?
IP fixes, DHCP ?  Si DHCP, il n'y a pas déjà un serveur DHCP présent ?

Pour savoir quel paramétrage IP mettre à ton eth0 (relié au LAN), je recommanderais une IP fixe.  Ca sera plus simple pour configurer les clients.


-- Quatrième question : quelle est exactement la configuration que je dois apporter client internet du genre firefox (ubuntu). 

Activer le proxy dans Firefox et indiquer l'adresse et le port du proxy.

J0K0 · Answer

Hello merci de cette super réponse !

Alors ce qu'il y a de drole c'est que j'ai suivi ton tuto hier mais que malheureusement il ne marche pas ... chez moi !

-- Pourrais je avoir ton squid.conf pour que je puisse le copier / comparer ?
-- Pourrais je avoir ton /etc/network/interfaces puor que je puisse aussi le copier / comparer ? (j'avais un soucis sur le gateway ... si je dois en mettre au pas ...)

Pour le DHCP, c'est le routeur sur lequel je suis qui assigne les IP's, dans certains cas, j'ai des pc's fixent donc qui nécessitent des ip's fixent, mais dans certains cas, des personnes utilisent leur pc perso, donc un DHCP me conviendrait. Dois je quand mm installer un serveur DHCP pour qu'eth0 redistribue des ips aux switchs ?

Configuration matériel :

Internet - routeur (dont je n'ai aucun accès) - routeur (dont j'ai un accès total) - serveur (eth1) - serveur (eth0) - switch's - pc's.

Merci !!

sebsauvage · Answer

Je n'ai pas mon PC sous la main. Je te donnerai mes fichiers de conf ce soir par MP.

Les switch sont-ils également reliés au routeur, ou bien juste à ta machine ?

J0K0 · Answer

non, les switchs sont reliés à la machine (eth0 - carte réseau 10/100/1000) comme c'est marqué sur le plan du dessus : 

Configuration matériel : 

Internet - routeur (dont je n'ai aucun accès) - routeur (dont j'ai un accès total) - serveur (eth1) - serveur (eth0) - switch's - pc's

Pour ce qui est de squid.conf et interfaces : j'aimerais plutot que tu me les colles ici pour en faire profiter d'autres (peut etre).

Merci, super sympa :)

sebsauvage · Answer

non, les switchs sont reliés à la machine (eth0 - carte réseau 10/100/1000) comme c'est marqué sur le plan du dessus : 

Ok.

Donc il n'y a actuellement aucun serveur DHCP pour les machines connectées sur le switch ?
Dans ce cas installer un serveur DHCP (sur eth0) pourrait être une bonnée idée, en effet.


j'aimerais plutot que tu me les colles ici pour en faire profiter d'autres (peut etre). 

Je pense que ça devrait être faisable.

J0K0 · Answer

Super !!!

Donc, je dois trouver un tuto concernant l'installation d'un serveur DHCP, maintenant il s'agit de le configurer pour qu'il agisse sur l'eth0 !! :s 

Je n'ai pas accès au pc là, sinon j'l'aurais fais en live, je suis au boulot ... donc problématique ! mais j'm'y recoller surement ce soir ... 22h ! :D

encore grand merci !

sebsauvage · Answer

Donc, je dois trouver un tuto concernant l'installation d'un serveur DHCP, maintenant il s'agit de le configurer pour qu'il agisse sur l'eth0 !! :s 

Yes.
C'est pas trop mon rayon, le serveur DHCP.
Ceci dit, Firestarter est capable de te l'auto-configurer, ce qui est assez sympa.

sebsauvage · Answer

Voilà:
http://sebsauvage.net/temp/ccm/squid.conf
http://sebsauvage.net/temp/ccm/interfaces

J0K0 · Answer

Hello !

Merci de ton poste ! Je vais matter ça ... 

j'hallucine de voir comme le squid.conf est long :s Je vais associer ton TUTO et ton SQUID.CONF pour réaliser le mien ... pour interfaces, je vois que le mien ressemblait pas mal, mais il y avait quelques erreurs quand mm ....

Bref, affaire à suivre, surement demain soir ! :)

encore merci, je vous tiendrais au courrant .... 

Bonne soirée !

sebsauvage · Answer

De rien  :-)

J'ai gardé le squid.conf fourni par défaut, et j'ai fait mes modifs dedans.
C'est vrai qu'il est long.

J0K0 · Answer

Hello !

Pfiou que d'émotions : je m'explique ...

- j'ai installé et paramétré dhcpd3-server, voici son contenu et /etc/network/interfaces :

* dhcpd.conf *

ddns-update-style none;
ddns-updates off;
option domain-name "sph.qqc";
option domain-name-servers 194.2.0.50;
default-lease-time 3600;
max-lease-time 7200;
log-facility local7;

autoritative;
allow unknown-clients;
server-name "dns.sph.qqc";
option subnet-mask 255.255.255.0;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.1 192.168.10.100;
option broadcast-address 192.168.10.255;
option routers 192.168.10.1;
ping-check = 1;
}

Et j'ai aussi rajouté que le dchpd était en lecture sur "eth0" ici : /etc/default/dhcp3-server : à la ligne :  interfaces "eth0", (ca ressemble)

* interfaces *

auto lo
iface lo inet loopback

auto eth1

iface eth1 inet dhcp

auto eth0

iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0

#broadcast 192.168.10.255
#network 192.168.10.0
#gateway 194.2.0.50

Vous voyez que broadcast, network, gateway ne sont pas activé à cause de #, en fait là j'avais un soucis, quand le service networking démarrait, j'avais un soucis : Failed to bring up eth0
En fait c'était le gateway qui foutait la merde .... Après m'être inspiré de ton interfaces sebsauvage je suis arrivé à mettre les # là ou ils sont actuelllement. Donc là le service networking démarre très bien ... 

En gros, le serveur DHCP marche très bien, il m'assigne les IP et tout ca super bien ....

Question :

-- Est ce qu'il ne faut pas "partager" la connection internet entrant sur eth1 vers eth0 justement en précisant le gateway ou autre ? ou alors c'est le travail du server proxy à dire qu'internet arrive par eth1 et que les pc sont connectés à eth0 ???! 

Voici le squid.conf 


visible_hostname sph.qqc
http_port 8080
http_port 192.168.10.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443		# https
acl SSL_ports port 563		# snews
acl SSL_ports port 873		# rsync
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl sph src 10.0.0.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow sph
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy


Alors pour le visible_hostname sph.qqc dans le smb.conf le nom du workgroup c'est SPH, d'après un tuto trouvé il mettait nom.qqc donc on a betement copier ....

Maintenant que je viens de copier ce truc ici, je vois qu'il a possiblement une faute : 
acl sph src 10.0.0.0/255.255.255.0 
--> acl sph src 192.168.10.0/255.255.255.0
non ?

BREF, tout ça pour dire, que  je n'arrive toujours pas à me connecter ... :s

Il doit y avoir une petite connerie quelque part je présume mais je ne trouve pas.

Question : 

-- Comment doit on configurer mozilla pour se connecter à un proxy ?
Ici mettre simplement le nom du proxy ? (sph.qqc) et le port ? (8080) ?

Merci de me dire ce que vous pensez de tout ça ... :)

Je retourne au charbon là ...

sebsauvage · Answer

Est ce qu'il ne faut pas "partager" la connection internet entrant sur eth1 vers eth0 justement en précisant le gateway ou autre ? ou alors c'est le travail du server proxy à dire qu'internet arrive par eth1 et que les pc sont connectés à eth0 ???! 

Si tu partage la connexion, le proxy ne sert à rien puisque les machines du réseau local peuvent sortir comme elles veulent.
Tout l'interêt, c'est justement de forcer les machines à passer par le proxy.

Après avoir lancé squid, regarde les erreurs dans /var/log/squid
et regarde sur quelle IP squid est en écoute:  sudo netstat -lp --inet

J0K0 · Answer

Saluuuuuuuut !

bon, super bonne nouvelle, TOUT MARCHE ! 

voici /etc/network/interfaces puis /etc/dhcpd3/dhcpd.conf puis /etc/squid/squid.conf

interfaces :

auto lo
iface lo inet loopback

auto eth1

iface eth1 inet dhcp

auto eth0

iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0


squid.conf :

http_port 192.168.10.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_dir ufs /var/spool/squid 200 16 256
access_log /var/log/squid/access.log squid
dns_nameservers 194.2.0.50
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl sph src 192.168.10.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow sph
http_access deny all
icp_access allow all
visible_hostname sph-server
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT 


dhcpd.conf :

ddns-update-style none;
ddns-updates off;
option domain-name "sph";
option domain-name-servers 194.2.0.50;
default-lease-time 3600;
max-lease-time 7200;
log-facility local7;
autoritative;
allow unknown-clients;
server-name "dns.sph";
option subnet-mask 255.255.255.0;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.1 192.168.10.100;
option broadcast-address 192.168.10.255;
option routers 192.168.10.1;
ping-check = 1;
}


Voilà, donc, ça marche.
Maintenant la question est  : comment :
-- mettre un mot de passe + login ?
-- bloquer les sites ou carrément la description du site (tous les sites prOns ou achat ...) ?

ENCORE MERCI SEBSAUVAGE !!!!

sebsauvage · Answer

Content que tout marche, et merci du retour.


mettre un mot de passe + login ?

Il existe des modules complémentaires pour squid pour fait de l'authentification, du filtrage, etc.

Pour le blocage des sites porno, je te recommande OpenDNS: C'est vraiment royale.
En plus tu as des stats sur ton réseau. Tu peux même bloquer les domaines et sous-domaines de ton choix (par exemple bloquer hotmail, ou youtube).
Non seulement c'est gratuit, mais ça a de bonnes chances de booster l'affichage des pages:
http://www.commentcamarche.net/faq/sujet 8725 opendns un dns rapide et utile

Pour squid, tu peux lui préciser les serveurs DNS à utiliser: dns_nameservers 208.67.222.222 208.67.220.220


Perso, j'utilise OpenDNS chez moi et je n'y trouve que des avantages.
Et c'est gratuit même pour les entreprises.

J0K0 · Answer

Pour le :

dns_nameservers 194.2.0.50

c'est le Primary DNS sur le routeur ou j'ai la connection internet, je ne connais pas les DNS du FAI ...

Pour les login/mdp je chercherais plus tard ... 

Je suis sous des clients linux - ubuntu, dans les paramètres de mozilla j'ai mis le serveur proxy : 192.168.10.1 (IP serveur) et port : 8080, de là j'arrive à accéder au net sans problème, par contre pour les mails (evolution) je n'arrive pas à me connecter, il y a sous "Système/Préférences/Proxy Réseau" de quoi connecter le pc au proxy, donc je mets l'ip serveur, le port mais y'a toujours rien pour evolution ou xmms (radio internet), ...... donc mise à part mozilla qui marche après l'avoir config, et bisarrement si mon pc n'est pas attribué dans le domaine sph eh ben j'arrive quand mm à accéder au net via mozilla .... 

une idée peut etre ? j'pensais avoir fais le plus dure ... mais là les ennuis commencent :s

merci !

sebsauvage · Answer

Ah vous avez des DNS internes, ok.



par contre pour les mails (evolution) je n'arrive pas à me connecter

C'est normal: squid est un proxy HTTP et FTP.
Ça ne marchera pas pour les autres protocoles (email: SMTP/POP3/IMAP, etc.)

Vous avez probablement un serveur de mail interne. Les clients mails devraient pointer dessus.
(ou alors c'est le serveur de mail de votre FAI, je ne sais pas.)

J0K0 · Answer

Non, pas encore de serveur mail internes, mais ca viendra un jour peut etre, par contre, je dois donc installer un pluggin ou un serveur proxy pour le SMTP/POP3/IMAP ... ?????

Je me comprends, mais est ce tu me comprends ? :D

J0K0 · Answer

*Transition : je suis au boulot ...*

J'ai vu qu'il y a " postfix " comme serveur mail ... donc, faudrait que je trouve une documentation complète de ce logiciel ... J'ai bien compris que si on a un domaine avec une prise en charge du mail exchange on pouvait créer un serveur mail pour l'envoi et réception de mail de type : user@monEntreprise.fr, user1@monEntreprise.fr, etc ... MAIS si on a pas (encore) de domaine mais qu'on veut juste récupérer ces mails de free, estvideo,gmail .... etc du serveur vers le client, est ce possible ?

Merci, je continue mes recherches ..... :|

J0K0 · Answer

Hello les survivants de la nuit ... 
j'ai trouvé un bon tutoriel de squid, et de squidguard, il se trouve ici :
https://www.malekal.com/linux/
Par contre pour mettre des logins/mdp, je n'en ai aucune idée, je vais continuer à creuser ... 

Pour OpenDNS (dont je comprends maintenant ton dns_nameservers 208.67.222.222 208.67.220.220 je ne sais pas si c'est la solution, étant donné que je suis sous une debian en mode texte, ou alors je n'ai pas compris exactement son utilisation ... Pour ce qui est du problème des mails, toujours à creuser aussi ...

Merci, bonne nuit à vous !

sebsauvage · Answer

Non, pas encore de serveur mail internes, mais ca viendra un jour peut etre, par contre, je dois donc installer un pluggin ou un serveur proxy pour le SMTP/POP3/IMAP ... ????? 

Il faudra effectivement installer un autre serveur.

On peut imaginer installer un serveur de mail local qui va chercher toutes les x minutes les mails sur le serveur de ton FAI.
(Je suis surpris: ta boite ne possède pas son nom de domaine, et un serveur de mail qui va avec ?)


Par contre pour mettre des logins/mdp, je n'en ai aucune idée, je vais continuer à creuser ... 

Je n'ai jamais creusé du côté des plugins Squid.


ou alors je n'ai pas compris exactement son utilisation 

Effectivement :-)
Même en mode texte, tu as besoin de serveurs DNS.  Ne serait que pour faire un apt-get.

Au lieu d'utiliser les DNS du FAI, tu peux utiliser OpenDNS.
C'est une question de réseau, pas de mode graphique.

J0K0 · Answer

Hello ! 

J'me suis dis, ayé le seul qui me répond il est mourru, plus de réponses :|

Donc, ok pour le serveur mail, je suppose postfix (je verrais pour trouver un tuto à moins que tu sois déjà passé par là ?), pour les mdp/logins et le blocage de sites y'a squidGuard, à tester et appronfondir avec différents tutoriaux ... 

Pour OpenDNS, je peux donc aussi interdire l'accès à des sites, d'après ce que j'ai lu (...???), et donc rajouter les DNS serveurs à mon serveur (...???) pour la connection internet ... Je testerais surement demain après midi, là j'suis au boulot (encore)

Pour le domaine, j'vais m'expliquer ... Je ne travail pas dans l'informatique, je n'ai aucun diplome dans l'informatique, ce n'est qu'un pur hobby que j'apprécie énormément, c'est donc pour ça, qu'étant Sapeur Pompier Volontaire (depuis 8 ans) que je fais économiser à notre centre surement beaucoup d'argent en évitant de laisser faire par une société de professionnelle ce genre de serveur qui est en constante évolution. Le nom de domaine va surement etre financé anuellement étant donné une probablement construction d'un site personnalisé avec Forum, utilisateurs/mot de passes (encore ces log/mdp !! :s) ... Mais pour ça je verrais encore, étant donné qu'on est derrière un routeur dont je n'ai aucun accès ... J'dois donc négocier pour qu'il me redirige les ports qui vont bien :D

En espérant que tu comprennes à présent pourquoi je galère pas mal à faire tout ça !

Encore et encore MERCI à toi ! (aux autres aussi, même s'ils ne disent rien :x)

sebsauvage · Answer

Pour OpenDNS, je peux donc aussi interdire l'accès à des sites, d'après ce que j'ai lu (...???)

Yes... tu peux bloquer facilement des domaines précis (genre hotmail, youtube... ce que tu veux).


et donc rajouter les DNS serveurs à mon serveur

Ta boite utilise déjà sûrement des serveurs DNS.
Ces serveurs DNS peuvent être configurés pour utiliser OpenDNS pour la résolution des adresses externes à la boite.

Ou bien tu peux utiliser opendns uniquement dans Squid si tu veux filtrer des choses précises (ce qui rend le filtrage des sites adultes ultra-simples).

L'avantage d'OpenDNS, c'est qu'il n'y a aucun logiciel à installer pour mettre en place le filtrage.



En espérant que tu comprennes à présent pourquoi je galère pas mal à faire tout ça ! 

Pas de problème, je comprend :-)

J0K0 · Answer

Hello !
Des news pour ce *$*$$$$%%%!!!!!*$$ serveur proxy ... 

Comme vous pouvez le constatez, il commence à me rendre, nerveux ! Après l'avoir configurer (normalement) pour accéder au net avec authentification, je n'arrive pas à avoir la fenetre qui va bien avec le login/mdp à rentrer. Je reste sur une page : Access Denied, le mail que j'ai mis pour contacter l'admin... donc forcément tout ce qui est OpenDNS ou autre logiciels pour bloquer des domains ou autres, pas testé encore étant donné que j'me prends la tete avec ca déjà... :s 

Quelqu'un est déjà passé par là ? Pourrait il me faire part de son /etc/squid/squid.conf pour que je puisse le comparer au mien et voir ce qui va ou pas ? (désolé je n'ai pas le mien sous la main, je posterais ce soir à nouveau pour le mettre en ligne)

Merci

J0K0 · Answer

Hey, RE !

Voici comme prévu mon squid.conf :

http_port 192.168.10.1:8080
dns_nameservers 194.2.0.50
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache_mem 16 MB
#maximum_object_size 15 MB
#redirect_program /usr/bin/squidGuard
#redirect_children 4
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_dir ufs /var/spool/squid 200 16 256
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl sph src 192.168.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443		# https
acl SSL_ports port 563		# snews
acl SSL_ports port 873		# rsync
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl Safe_ports port 22		# SSH
acl Safe_ports port 1863	# MSN
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow localhost
#http_access allow sph
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname sph-server
cache_mgr joelkomo@gmail.com,alex.rapior@gmail.com
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

# Authentification by aRAPIOR && jKOMOROWSKI #
#auth_param negotiate program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param digest children 5
#auth_param digest realm sph-server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/lib/squid/ncsa_auth /etc/webmin/squid/users
auth_param basic children 5
auth_param basic realm sph-server
auth_param basic credentialsttl 12 hours
acl utilisateurs proxy_auth REQUIRED
#acl utilisateurs proxy_auth %LOGIN
http_access allow utilisateurs

Bon, y'a quelques trucs que j'ai modifier encore au dernier moment, ne trouvant pas, j'crois que j'ai fais un peu du tout et du n'importe quoi ..

Votre avis SVP ?

Merci !!

J0K0 · Answer

Hello ! 

Eh ben c'est bon, j'y suis enfin arrivé ! c'est : N I Q U E L    !! 

J'avais en fait créer mon fichier users et tout avec la commande htpasswd mais dans le squid.conf j'avais une erreur de "!" qu'il me manquait devant users, je mettrais mon squid.conf très bientot. 

Encore merci, j'fais un peu l'monologue là, mais j'pense que ca va servire à d'autres qui voudront installer squid !

bOnne nUit :)

sebsauvage · Answer

Ce genre de message n'est jamais inutile !
Merci du retour.    :-)

J0K0 · Answer

Hello voici, comme promis mon squid.conf qui risque d'évoluer au niveau des ports, ce genre de choses, simplement :

http_port 192.168.10.1:8080
dns_nameservers 194.2.0.50
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache_mem 16 MB
#maximum_object_size 15 MB
#redirect_program /usr/bin/squidGuard
#redirect_children 4
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_dir ufs /var/spool/squid 200 16 256
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl sph src 192.168.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 22 # SSH
acl Safe_ports port 1863 # MSN
acl purge method PURGE
acl CONNECT method CONNECT
http_reply_access allow all
icp_access allow all
visible_hostname sph-server
cache_mgr joelkomo@gmail.com,alex.rapior@gmail.com
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

# Authentification by aRAPIOR && jKOMOROWSKI #
#auth_param negotiate program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
#auth_param digest children 5
#auth_param digest realm sph-server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/lib/squid/ncsa_auth /etc/webmin/squid/users
auth_param basic credentialsttl 12 hour
acl users proxy_auth REQUIRED
http_access allow localhost
http_access deny !Safe_ports
http_access allow purge localhost
http_access allow !users
http_access deny purge
http_access deny manager
http_access allow sph
http_access allow manager localhost
http_access deny all
#acl utilisateurs proxy_auth %LOGIN

biensure ce ne change pas, les lignes marquées d'un # sont en "commentaires", donc ne sont pas pris en compte par le .conf, pour mon erreur c'etait la ligne :
http_access allow !users

Voilà, en espérant aider encore bien d'autres users à vouloir mettre en place un serveur proxy !

A bientot, et encore merci ! (surtout à toi Seb !)

Je reposterais en cas de soucis pour d'autres aventures, comme squidguard ... par exemple :D


Bisounours ! :p

mlmd · Answer

Procédure installation SQUID SQUIDGUARD sous CentOS sur www.mlmd.fr

jean06800 · Answer

Hello,  
En deux mots , 2 choses à faire :
- Contrôle au niveau de l'URL ==> tu configures ton proxy, en particulier SquidGuard (port 3128 je crois),  
- Tu ajoutes un filtre supplémentaire avec un flitre supplémentaire au niveau du contenu des pages ==> DansGuardian (port 8080).  
Regardes sur le net, tu devrais trouver la marche à suivre (services à installer, fichiers de config, etc...).  
Au niveau de ton browser Web, fais pointer sur ton serveur proxy/DansGuardian c'est à dire adresse + port 8080.  
Ca marche d'enfer.  
A+

J0K0 · Answer

Hello, pour les mails il faut un serveur pop, je n'ai pas creusé ce problème étant donné que pour moi l'affaire est classée pour l'instant, l'utilisateur en question passe en HTTP. Pour le FTP, pas regardé encore vu que je ne suis pas concerné pour le moment ... Mais il faudra que je regarde un jour ou l'autre ... Si jamais, merci de poster une solution ici ..... ;)

Merci, bon dimanche :)

J0K0 · Answer

RE,
je crois que mon squid.conf n'a pas changé ... Par contre as tu bien installé un serveur apache ??? Je sais que c'est pour un serveur http, mais nous avons besoin de la commande htpasswd pour faire un add user au proxy .... j'm'étais fais un petit tuto perso, j'essayerais de te filer ca rapidement ..... Et aussi, que j'y pense il faut ajouter webmin à la configuration graphique ...... 

Je te dirais mon tuto perso que j'ai fais, ensuite tu verrais bien :)

mona · Answer

Bonjour,

Voila je dois configure un serveur de Bench WItBe et Iplabel, nous allons mettre un proxy/cache.
sur l'os débian.
Je voudrais avoir des conseil pour la conf et les services a lancé

Merci d'avance

wal · Answer

bonjour à tous.
j'ai eu à travailler sur le même projet.
en fait, pour y arriver, vous deviez suivre les étape suivantes:

1er étape:
supposons que eth0 de votre machine est côté WAN et eth1 côté LAN. vous n'êtes pas obligés de fixer une adresse à votre eht0 mais plutôt à votre eht1 (192.168.11.1)
il faudra d'abord permettre au LAN de se connecter à Internet via la machine qui fera office de proxy en configurant un NAT suivant la commande:

[root@lan ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

[root@lan ~]#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

2ème étape
configurer un serveur DHCP pour faciliter la connexion des postes du LAN. si le paquet DHCP n'est pas encore Installé, et que vous êtes sur une distribution CentOs ce qui est mon cas,  vous pouvez utiliser votre CD et taper les commance:
[root@lan ~/CentOS]#rpm -ivh dhcp*
[root@lan ~]#cp /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcpd.conf
[root@lan ~]#vi /etc/dhcpd.conf

une fois édité, remplacer l'adresse réseau par défaut par la votre c'est à dire 192.168.11.0 et masque 255.255.255.0, et mettre l'adresse de eth1 sur toutes les autres lignes (192.168.11.1) c'est a dire il est dhcp, dns et autre.

3ème étape (configuration de squid)

[root@lan ~]#vi /etc/squid/squid.conf

acl CONNECT method CONNECT
# ligne 590

acl lan src 192.168.11.0/24
http_access allow localhost
# ligne 637:

http_access allow lan

http_access deny all
# ligne 922: change

http_port
8080
# ligne 2794: add

header_access Referer deny all
header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all
# ligne 3008: 

visible_hostname nom_machine
# ligne 4280: 

forwarded_for off

[root@lan ~]#/etc/rc.d/init.d/squid start

Starting squid:                    [ OK ]

[root@lan ~]#chkconfig squid on 

j'espère vous avoir aidé.

Serveur proxy http - squid

33 réponses

Discussions similaires

Newsletters