Questions sur squid

[percubabs]

Bonjour

J’installe squid et je voulais savoir comment configurer acl localnet src pour des pc dhcpisé entre 192.168.0.30 et 192.168.0.249 ?

merci d'avance

edit ; je sèche un peut sur les confs réseau à appliquer. quelqu'un peut m'expliquer ?

j'applique ça bêtement ?

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

[percubabs]

help ?

[ggbce]

Bonjour,

Je crois avoir ta réponse, mais ta questio est en plusieurs volets.

1- Tes postes clients sont des PC sur le réseau local (192.168.0.x), ceux-ci recoivent une adresse IP via un bail DHCP d'après tes explications. Il faut premièrement s'assurer que les informations DHCP sont bien valides (Sous Windows: ipconfig /all, Sous Linux: ifconfig Et route -n). Les postes clients doivent avoir une adresse 192.168.0.x, un masque de 255.255.255.0 et une passerelle par défaut étant ton serveur Linux (du moins si c'est celui-ci qui fait office de sortie et je crois que oui avec ton exemple. Si tout est OK à ce niveau, on passe à l'étape #2

2- Sur le serveur Linux, tu dois avoir au minimum Iptables et SQUID installé. Sur ce serveur, si tu as une console graphique, est-ce que tu peux naviguer sur le web (sans le proxy SQUID) ?

3- Si ça fonctionne, est-ce que si tu ajoutes le proxy manuel (TCP/3128) dans le navigateur web du serveur, est-ce que ça fonctionne ?

4- Pour le trafic FTP et NAT, il faut activer des modules supplémentaires afin d'assurer un bon fonctionnement:

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

5- Activation du "forwarding" (router). Par défaut, c'est bloqué. Il faut autoriser le passage du trafic réseau d'une carte réseau à l'autre. echo 1 > /proc/sys/net/ipv4/ip_forward

6- Si rendu là tout fonctionne bien, tu devrais pouvoir faire la même chose en configuration le proxy SQUID (TCP/3128) dans le navigateur web d'un poste client et ça devrait fonctionner.

7- Finalement voici un exemple de configuration minimale de Iptables dans un script /etc/firewall.sh (chmod 755) qui doit être lancé au démarrage du serveur pour appliquer les règles.

#Variables

W1 = "eth0" #(WAN)

L1 = "eth1" #(LAN)

IPT = "/sbin/iptables"

# Nettoyage des anciennes regles IPTABLES (RAZ)
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Regles par defaut pour INPUT, OUTPUT (E/S)
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

# Autorisation du loopback en tout temps (lo) - Regle 1
$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -I OUTPUT 1 -o lo -j ACCEPT

# Activation du NAT
$IPT -t nat -A POSTROUTING -o $W1 -j MASQUERADE

# Redirection du trafic http vers proxy SQUID
$IPT -t nat -A PREROUTING -i $L1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Autorisation du retour des paquets
$IPT -A FORWARD -i $W1 -o $L1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorisation du routage de LAN vers WAN
$IPT -A FORWARD -i $L1 -o $W1 -j ACCEPT

# Blocage d'acces cote WAN vers Serveur - Regle 7
$IPT -A INPUT -i $W1 -p tcp --dport 3128 -s 0/0 -j DROP
$IPT -A INPUT -i $W1 -p tcp --dport 80 -s 0/0 -j DROP
$IPT -A INPUT -i $W1 -p tcp --dport 3306 -s 0/0 -j DROP

8- Je te conseille de réunir l'exécution du forwarding, modules et règles Iptables dans le même fichier. Le tout sera exécuté automatiquement au démarrage si tu ajoute dans /etc/rc.local la ligne /etc/firewall.sh et il sera facile de mettre à jour Iptables en exécutant ./firewall.sh à tout moment.

NOTE: La configuration manuelle du proxy dans un client sur le serveur directement ou sur un poste permet de facilement détecter un problème de pare-feu. Vu qu'il y a plus d'un logiciel en relation avec la configuration.

Tu peux également consulter les LOGS dans /var/log/squid pour déterminer s'il y a des erreurs.

[percubabs]

merci , je suis passé sur pfsense avec package squid