Jump to content

Archived

This topic is now archived and is closed to further replies.

percubabs

Questions sur squid

Recommended Posts

Bonjour

J’installe squid et je voulais savoir comment configurer acl localnet src pour des pc dhcpisé entre 192.168.0.30 et 192.168.0.249 ?

merci d'avance

edit ; je sèche un peut sur les confs réseau à appliquer. quelqu'un peut m'expliquer ?

j'applique ça bêtement ?

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Link to post
Share on other sites

Bonjour,

Je crois avoir ta réponse, mais ta questio est en plusieurs volets.

1- Tes postes clients sont des PC sur le réseau local (192.168.0.x), ceux-ci recoivent une adresse IP via un bail DHCP d'après tes explications. Il faut premièrement s'assurer que les informations DHCP sont bien valides (Sous Windows: ipconfig /all, Sous Linux: ifconfig Et route -n). Les postes clients doivent avoir une adresse 192.168.0.x, un masque de 255.255.255.0 et une passerelle par défaut étant ton serveur Linux (du moins si c'est celui-ci qui fait office de sortie et je crois que oui avec ton exemple. Si tout est OK à ce niveau, on passe à l'étape #2

2- Sur le serveur Linux, tu dois avoir au minimum Iptables et SQUID installé. Sur ce serveur, si tu as une console graphique, est-ce que tu peux naviguer sur le web (sans le proxy SQUID) ?

3- Si ça fonctionne, est-ce que si tu ajoutes le proxy manuel (TCP/3128) dans le navigateur web du serveur, est-ce que ça fonctionne ?

4- Pour le trafic FTP et NAT, il faut activer des modules supplémentaires afin d'assurer un bon fonctionnement:

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

5- Activation du "forwarding" (router). Par défaut, c'est bloqué. Il faut autoriser le passage du trafic réseau d'une carte réseau à l'autre. echo 1 > /proc/sys/net/ipv4/ip_forward

6- Si rendu là tout fonctionne bien, tu devrais pouvoir faire la même chose en configuration le proxy SQUID (TCP/3128) dans le navigateur web d'un poste client et ça devrait fonctionner.

7- Finalement voici un exemple de configuration minimale de Iptables dans un script /etc/firewall.sh (chmod 755) qui doit être lancé au démarrage du serveur pour appliquer les règles.

#Variables

W1 = "eth0" #(WAN)

L1 = "eth1" #(LAN)

IPT = "/sbin/iptables"

# Nettoyage des anciennes regles IPTABLES (RAZ)
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Regles par defaut pour INPUT, OUTPUT (E/S)
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

# Autorisation du loopback en tout temps (lo) - Regle 1
$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -I OUTPUT 1 -o lo -j ACCEPT

# Activation du NAT
$IPT -t nat -A POSTROUTING -o $W1 -j MASQUERADE

# Redirection du trafic http vers proxy SQUID
$IPT -t nat -A PREROUTING -i $L1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Autorisation du retour des paquets
$IPT -A FORWARD -i $W1 -o $L1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorisation du routage de LAN vers WAN
$IPT -A FORWARD -i $L1 -o $W1 -j ACCEPT

# Blocage d'acces cote WAN vers Serveur - Regle 7
$IPT -A INPUT -i $W1 -p tcp --dport 3128 -s 0/0 -j DROP
$IPT -A INPUT -i $W1 -p tcp --dport 80 -s 0/0 -j DROP
$IPT -A INPUT -i $W1 -p tcp --dport 3306 -s 0/0 -j DROP

8- Je te conseille de réunir l'exécution du forwarding, modules et règles Iptables dans le même fichier. Le tout sera exécuté automatiquement au démarrage si tu ajoute dans /etc/rc.local la ligne /etc/firewall.sh et il sera facile de mettre à jour Iptables en exécutant ./firewall.sh à tout moment.

NOTE: La configuration manuelle du proxy dans un client sur le serveur directement ou sur un poste permet de facilement détecter un problème de pare-feu. Vu qu'il y a plus d'un logiciel en relation avec la configuration.

Tu peux également consulter les LOGS dans /var/log/squid pour déterminer s'il y a des erreurs.

Link to post
Share on other sites

×
×
  • Create New...