serveur proxy http - squid Résolu/Fermé

Question

Bonjour à tous, 

Je vais vous exposer mon problème en détail, et j'espère qu'ensemble on arrivera à ce "projet". Grâce à ce soucis, j'aimerais créer un réel tutoriel complet afin qu'il reserve encore à d'autres. Créer un pseudo groupe de travail pour que dans une semaine le tuto soit opérationnel.

J'ai un serveur Debian, sous lequel on m'a demandé de créer un serveur proxy http à cause de connections abusives sur des sites prOns (porns). Pour cela, j'ai installé squid. Enfin ... à part avoir fais un : 

#apt-get install squid 

Le reste, j'ai tenté avec plusieurs tutoriels trouvés sur google de configurer # /etc/squid/squid.conf

mais bon rien ne marche.

Configuration matériel : 

2 carte réseaux : une qui recoit le net (10/100) via un routeur (enfin 2 pour etre exacte - vu qu'on récupère le signal depuis un routeur qui ne m'appartien pas, le deuxième est là au cas où on recoit une nouvelle connection --BREF DETAIL j'peux supprimer un routeur) l'autre (10/100/1000) qui est connecté aux SWITCH's.

-- Première question : quel est le paramétrage que je puisse mettre à eth1 (celle reliée au routeur) et à eth0 (celle reliée aux switchs)
Pour l'instant, eth1 est en dhcp et eth0 en static, mais une fois sur deux on arrive à ping vers l'extérieur genre www.google.fr

-- Deuxième question : dois je installé un serveur DHCP sur le serveur pour qu'il puisse redistribuer des IP's aux switchs ?

-- Troisième question : avez vous suivi des tuto qui marchent et qui tiennent la route pour configurer squid.conf ?

-- Quatrième question : quelle est exactement la configuration que je dois apporter client internet du genre firefox (ubuntu).

Si vous avez déjà suivi des tuto, merci de m'en faire part, j'essayerais et je ferais quelque chose d'unique.

En tout cas, merci d'avance.

sebsauvage · Answer

-- Troisième question : avez vous suivi des tuto qui marchent et qui tiennent la route pour configurer squid.conf ? 

J'en ai fait un moi-même, là: http://www.commentcamarche.net/faq/sujet 6323 installer un serveur proxy http squid

J'utilise Squid chez moi. Le PC sur lequel tourne Squid a 2 cartes réseau, l'une reliée à internet (eth1) par une FreeBox (en DHCP), l'autre (eth0) avec une IP fixe, sur laquelle Squid offre son service.


dois je installé un serveur DHCP sur le serveur pour qu'il puisse redistribuer des IP's aux switchs ?

C'est sans rapport avec le proxy.
Qui est chargé d'attribuer les adresses IP aux machine de ton LAN ?
IP fixes, DHCP ?  Si DHCP, il n'y a pas déjà un serveur DHCP présent ?

Pour savoir quel paramétrage IP mettre à ton eth0 (relié au LAN), je recommanderais une IP fixe.  Ca sera plus simple pour configurer les clients.


-- Quatrième question : quelle est exactement la configuration que je dois apporter client internet du genre firefox (ubuntu). 

Activer le proxy dans Firefox et indiquer l'adresse et le port du proxy.

J0K0 · Answer

Hello merci de cette super réponse !

Alors ce qu'il y a de drole c'est que j'ai suivi ton tuto hier mais que malheureusement il ne marche pas ... chez moi !

-- Pourrais je avoir ton squid.conf pour que je puisse le copier / comparer ?
-- Pourrais je avoir ton /etc/network/interfaces puor que je puisse aussi le copier / comparer ? (j'avais un soucis sur le gateway ... si je dois en mettre au pas ...)

Pour le DHCP, c'est le routeur sur lequel je suis qui assigne les IP's, dans certains cas, j'ai des pc's fixent donc qui nécessitent des ip's fixent, mais dans certains cas, des personnes utilisent leur pc perso, donc un DHCP me conviendrait. Dois je quand mm installer un serveur DHCP pour qu'eth0 redistribue des ips aux switchs ?

Configuration matériel :

Internet - routeur (dont je n'ai aucun accès) - routeur (dont j'ai un accès total) - serveur (eth1) - serveur (eth0) - switch's - pc's.

Merci !!

sebsauvage · Answer

Je n'ai pas mon PC sous la main. Je te donnerai mes fichiers de conf ce soir par MP.

Les switch sont-ils également reliés au routeur, ou bien juste à ta machine ?

J0K0 · Answer

non, les switchs sont reliés à la machine (eth0 - carte réseau 10/100/1000) comme c'est marqué sur le plan du dessus : 

Configuration matériel : 

Internet - routeur (dont je n'ai aucun accès) - routeur (dont j'ai un accès total) - serveur (eth1) - serveur (eth0) - switch's - pc's

Pour ce qui est de squid.conf et interfaces : j'aimerais plutot que tu me les colles ici pour en faire profiter d'autres (peut etre).

Merci, super sympa :)

sebsauvage · Answer

non, les switchs sont reliés à la machine (eth0 - carte réseau 10/100/1000) comme c'est marqué sur le plan du dessus : 

Ok.

Donc il n'y a actuellement aucun serveur DHCP pour les machines connectées sur le switch ?
Dans ce cas installer un serveur DHCP (sur eth0) pourrait être une bonnée idée, en effet.


j'aimerais plutot que tu me les colles ici pour en faire profiter d'autres (peut etre). 

Je pense que ça devrait être faisable.

J0K0 · Answer

Super !!!

Donc, je dois trouver un tuto concernant l'installation d'un serveur DHCP, maintenant il s'agit de le configurer pour qu'il agisse sur l'eth0 !! :s 

Je n'ai pas accès au pc là, sinon j'l'aurais fais en live, je suis au boulot ... donc problématique ! mais j'm'y recoller surement ce soir ... 22h ! :D

encore grand merci !

sebsauvage · Answer

Donc, je dois trouver un tuto concernant l'installation d'un serveur DHCP, maintenant il s'agit de le configurer pour qu'il agisse sur l'eth0 !! :s 

Yes.
C'est pas trop mon rayon, le serveur DHCP.
Ceci dit, Firestarter est capable de te l'auto-configurer, ce qui est assez sympa.

sebsauvage · Answer

Voilà:
http://sebsauvage.net/temp/ccm/squid.conf
http://sebsauvage.net/temp/ccm/interfaces

J0K0 · Answer

Hello !

Merci de ton poste ! Je vais matter ça ... 

j'hallucine de voir comme le squid.conf est long :s Je vais associer ton TUTO et ton SQUID.CONF pour réaliser le mien ... pour interfaces, je vois que le mien ressemblait pas mal, mais il y avait quelques erreurs quand mm ....

Bref, affaire à suivre, surement demain soir ! :)

encore merci, je vous tiendrais au courrant .... 

Bonne soirée !

sebsauvage · Answer

De rien  :-)

J'ai gardé le squid.conf fourni par défaut, et j'ai fait mes modifs dedans.
C'est vrai qu'il est long.

J0K0 · Answer

Hello !

Pfiou que d'émotions : je m'explique ...

- j'ai installé et paramétré dhcpd3-server, voici son contenu et /etc/network/interfaces :

* dhcpd.conf *

ddns-update-style none;
ddns-updates off;
option domain-name "sph.qqc";
option domain-name-servers 194.2.0.50;
default-lease-time 3600;
max-lease-time 7200;
log-facility local7;

autoritative;
allow unknown-clients;
server-name "dns.sph.qqc";
option subnet-mask 255.255.255.0;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.1 192.168.10.100;
option broadcast-address 192.168.10.255;
option routers 192.168.10.1;
ping-check = 1;
}

Et j'ai aussi rajouté que le dchpd était en lecture sur "eth0" ici : /etc/default/dhcp3-server : à la ligne :  interfaces "eth0", (ca ressemble)

* interfaces *

auto lo
iface lo inet loopback

auto eth1

iface eth1 inet dhcp

auto eth0

iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0

#broadcast 192.168.10.255
#network 192.168.10.0
#gateway 194.2.0.50

Vous voyez que broadcast, network, gateway ne sont pas activé à cause de #, en fait là j'avais un soucis, quand le service networking démarrait, j'avais un soucis : Failed to bring up eth0
En fait c'était le gateway qui foutait la merde .... Après m'être inspiré de ton interfaces sebsauvage je suis arrivé à mettre les # là ou ils sont actuelllement. Donc là le service networking démarre très bien ... 

En gros, le serveur DHCP marche très bien, il m'assigne les IP et tout ca super bien ....

Question :

-- Est ce qu'il ne faut pas "partager" la connection internet entrant sur eth1 vers eth0 justement en précisant le gateway ou autre ? ou alors c'est le travail du server proxy à dire qu'internet arrive par eth1 et que les pc sont connectés à eth0 ???! 

Voici le squid.conf 


visible_hostname sph.qqc
http_port 8080
http_port 192.168.10.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443		# https
acl SSL_ports port 563		# snews
acl SSL_ports port 873		# rsync
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl sph src 10.0.0.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow sph
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy


Alors pour le visible_hostname sph.qqc dans le smb.conf le nom du workgroup c'est SPH, d'après un tuto trouvé il mettait nom.qqc donc on a betement copier ....

Maintenant que je viens de copier ce truc ici, je vois qu'il a possiblement une faute : 
acl sph src 10.0.0.0/255.255.255.0 
--> acl sph src 192.168.10.0/255.255.255.0
non ?

BREF, tout ça pour dire, que  je n'arrive toujours pas à me connecter ... :s

Il doit y avoir une petite connerie quelque part je présume mais je ne trouve pas.

Question : 

-- Comment doit on configurer mozilla pour se connecter à un proxy ?
Ici mettre simplement le nom du proxy ? (sph.qqc) et le port ? (8080) ?

Merci de me dire ce que vous pensez de tout ça ... :)

Je retourne au charbon là ...

sebsauvage · Answer

Est ce qu'il ne faut pas "partager" la connection internet entrant sur eth1 vers eth0 justement en précisant le gateway ou autre ? ou alors c'est le travail du server proxy à dire qu'internet arrive par eth1 et que les pc sont connectés à eth0 ???! 

Si tu partage la connexion, le proxy ne sert à rien puisque les machines du réseau local peuvent sortir comme elles veulent.
Tout l'interêt, c'est justement de forcer les machines à passer par le proxy.

Après avoir lancé squid, regarde les erreurs dans /var/log/squid
et regarde sur quelle IP squid est en écoute:  sudo netstat -lp --inet

J0K0 · Answer

Saluuuuuuuut !

bon, super bonne nouvelle, TOUT MARCHE ! 

voici /etc/network/interfaces puis /etc/dhcpd3/dhcpd.conf puis /etc/squid/squid.conf

interfaces :

auto lo
iface lo inet loopback

auto eth1

iface eth1 inet dhcp

auto eth0

iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0


squid.conf :

http_port 192.168.10.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_dir ufs /var/spool/squid 200 16 256
access_log /var/log/squid/access.log squid
dns_nameservers 194.2.0.50
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl sph src 192.168.10.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow sph
http_access deny all
icp_access allow all
visible_hostname sph-server
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT 


dhcpd.conf :

ddns-update-style none;
ddns-updates off;
option domain-name "sph";
option domain-name-servers 194.2.0.50;
default-lease-time 3600;
max-lease-time 7200;
log-facility local7;
autoritative;
allow unknown-clients;
server-name "dns.sph";
option subnet-mask 255.255.255.0;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.1 192.168.10.100;
option broadcast-address 192.168.10.255;
option routers 192.168.10.1;
ping-check = 1;
}


Voilà, donc, ça marche.
Maintenant la question est  : comment :
-- mettre un mot de passe + login ?
-- bloquer les sites ou carrément la description du site (tous les sites prOns ou achat ...) ?

ENCORE MERCI SEBSAUVAGE !!!!

sebsauvage · Answer

Content que tout marche, et merci du retour.


mettre un mot de passe + login ?

Il existe des modules complémentaires pour squid pour fait de l'authentification, du filtrage, etc.

Pour le blocage des sites porno, je te recommande OpenDNS: C'est vraiment royale.
En plus tu as des stats sur ton réseau. Tu peux même bloquer les domaines et sous-domaines de ton choix (par exemple bloquer hotmail, ou youtube).
Non seulement c'est gratuit, mais ça a de bonnes chances de booster l'affichage des pages:
http://www.commentcamarche.net/faq/sujet 8725 opendns un dns rapide et utile

Pour squid, tu peux lui préciser les serveurs DNS à utiliser: dns_nameservers 208.67.222.222 208.67.220.220


Perso, j'utilise OpenDNS chez moi et je n'y trouve que des avantages.
Et c'est gratuit même pour les entreprises.

J0K0 · Answer

Pour le :

dns_nameservers 194.2.0.50

c'est le Primary DNS sur le routeur ou j'ai la connection internet, je ne connais pas les DNS du FAI ...

Pour les login/mdp je chercherais plus tard ... 

Je suis sous des clients linux - ubuntu, dans les paramètres de mozilla j'ai mis le serveur proxy : 192.168.10.1 (IP serveur) et port : 8080, de là j'arrive à accéder au net sans problème, par contre pour les mails (evolution) je n'arrive pas à me connecter, il y a sous "Système/Préférences/Proxy Réseau" de quoi connecter le pc au proxy, donc je mets l'ip serveur, le port mais y'a toujours rien pour evolution ou xmms (radio internet), ...... donc mise à part mozilla qui marche après l'avoir config, et bisarrement si mon pc n'est pas attribué dans le domaine sph eh ben j'arrive quand mm à accéder au net via mozilla .... 

une idée peut etre ? j'pensais avoir fais le plus dure ... mais là les ennuis commencent :s

merci !

sebsauvage · Answer

Ah vous avez des DNS internes, ok.



par contre pour les mails (evolution) je n'arrive pas à me connecter

C'est normal: squid est un proxy HTTP et FTP.
Ça ne marchera pas pour les autres protocoles (email: SMTP/POP3/IMAP, etc.)

Vous avez probablement un serveur de mail interne. Les clients mails devraient pointer dessus.
(ou alors c'est le serveur de mail de votre FAI, je ne sais pas.)

J0K0 · Answer

Non, pas encore de serveur mail internes, mais ca viendra un jour peut etre, par contre, je dois donc installer un pluggin ou un serveur proxy pour le SMTP/POP3/IMAP ... ?????

Je me comprends, mais est ce tu me comprends ? :D

J0K0 · Answer

*Transition : je suis au boulot ...*

J'ai vu qu'il y a " postfix " comme serveur mail ... donc, faudrait que je trouve une documentation complète de ce logiciel ... J'ai bien compris que si on a un domaine avec une prise en charge du mail exchange on pouvait créer un serveur mail pour l'envoi et réception de mail de type : user@monEntreprise.fr, user1@monEntreprise.fr, etc ... MAIS si on a pas (encore) de domaine mais qu'on veut juste récupérer ces mails de free, estvideo,gmail .... etc du serveur vers le client, est ce possible ?

Merci, je continue mes recherches ..... :|

J0K0 · Answer

Hello les survivants de la nuit ... 
j'ai trouvé un bon tutoriel de squid, et de squidguard, il se trouve ici :
https://www.malekal.com/linux/
Par contre pour mettre des logins/mdp, je n'en ai aucune idée, je vais continuer à creuser ... 

Pour OpenDNS (dont je comprends maintenant ton dns_nameservers 208.67.222.222 208.67.220.220 je ne sais pas si c'est la solution, étant donné que je suis sous une debian en mode texte, ou alors je n'ai pas compris exactement son utilisation ... Pour ce qui est du problème des mails, toujours à creuser aussi ...

Merci, bonne nuit à vous !

sebsauvage · Answer

Non, pas encore de serveur mail internes, mais ca viendra un jour peut etre, par contre, je dois donc installer un pluggin ou un serveur proxy pour le SMTP/POP3/IMAP ... ????? 

Il faudra effectivement installer un autre serveur.

On peut imaginer installer un serveur de mail local qui va chercher toutes les x minutes les mails sur le serveur de ton FAI.
(Je suis surpris: ta boite ne possède pas son nom de domaine, et un serveur de mail qui va avec ?)


Par contre pour mettre des logins/mdp, je n'en ai aucune idée, je vais continuer à creuser ... 

Je n'ai jamais creusé du côté des plugins Squid.


ou alors je n'ai pas compris exactement son utilisation 

Effectivement :-)
Même en mode texte, tu as besoin de serveurs DNS.  Ne serait que pour faire un apt-get.

Au lieu d'utiliser les DNS du FAI, tu peux utiliser OpenDNS.
C'est une question de réseau, pas de mode graphique.

Serveur proxy http - squid

33 réponses

Discussions similaires