Configuration de squid3

Support Debian
#21

Oui, je suis d’accord. Mais ils ne manquerons pas de venir me voir en demandant : c’est quoi çà, çà s’affiche tout le temps ! Dans ce cas, on explique. Faut pas se rater ce jour là :smiley: :smiley:

#22

Je viens d’afficher les logs en direct de squid3

#tail -f /var/log/squid3/access.log

J’ai fait un p’tit essai : youporn :naughty:

çà n’en finit pas d’afficher des lignes !!!
N’y-a-t-il pas moyen d’afficher uniquement le nécessaire : une ou deux lignes suffisent largement. Je sais que le môme a tenté un coup de youporn et çà me suffit. J’ai pas besoin de pourrir mon fichier log avec toutes ces sottises :078

#23

Pour quelle(s) raison(s) la connexion ftp et ssh est longue depuis quelques temps depuis mon netbook ?
Squid ??

#24

Je croyais avoir déjà écrit que je ne connaissais rien aux proxys filtrant.

Concernant l’authentification :
D’après http://wiki.squid-cache.org/Features/Authentication#Authentication_in_interception_and_transparent_modes il n’est pas possible de faire d’authentification en mode transparent.
Par contre, si tu as ton propre compte utilisateur sur le netbook, tu pourrais éventuellement configurer le navigateur pour utiliser explicitement le proxy en HTTP et HTTPS, ce qui pourrait ouvrir droit à une authentification.

Concernant les logs :
Logiquement les logs de squid contiennent chaque ressource demandée par le navigateur et pas seulement chaque page demandé par l’utilisateur. Chaque “élément” de la page (image, icone, frame, feuille de style, compteur de visites, contenu dynamique récupéré par javascript…) compte aussi pour une ressource. Je ne suis jamais allé sur youporn, mais je suppose que chaque page doit être blindée de bandeaux de pub. Si ton navigateur a une option d’informations sur la page, tu peux voir tout ce qu’il est nécessaire de charger pour afficher la page.

#25

[quote=“toto69”]Pour quelle(s) raison(s) la connexion ftp et ssh est longue depuis quelques temps depuis mon netbook ?
Squid ??[/quote]
Non, ces connexions utilisent des ports différents qui ne sont pas interceptés.
Qu’entends-tu exactement par “la connexion est longue” ?

#26

Si je comprends bien, je n’aiplus grand chose à configurer avec iptables ni sur squid3.
Je passe donc à dansguardian

#27

Le cache de squid est par défaut à 8mo. en fonction de quel paramètres puis-je l’augmenter ? Taille du disque dur, espace dispo. taille mémoire vive ?

#28

Si tu veux intercepter les connexions HTTPS, il faudra ajouter une redirection du port 443 par iptables.

Pour le reste, j’ai vu quelqu’un qui semble beaucoup plus calé que moi dans la discussion “Problème squidGuard et URL en https bloquées”.

#29

[quote=“PascalHambourg”]Si tu veux intercepter les connexions HTTPS, il faudra ajouter une redirection du port 443 par iptables.

Pour le reste, j’ai vu quelqu’un qui semble beaucoup plus calé que moi dans la discussion “Problème squidGuard et URL en https bloquées”.[/quote]

La redirection que j’ai ajoutée suffit-elle ? Dans quelle chaîne : forward ?

[code]# iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp – anywhere anywhere tcp dpt:http redir ports 3128
ACCEPT tcp – 172.16.10.0/28 anywhere tcp dpt:https

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all – anywhere anywhere
MASQUERADE all – anywhere anywhere[/code]

#30

La table nat n’a pas de chaîne FORWARD. Une redirection ne peut avoir lieu que dans OUTPUT pour les connexions sortantes et PREROUTING pour les connexions entrantes.
Donne le jeu de règles complet au format iptables-save stp. Là, il manque des bouts. Mais à première vue, il n’y pas de redirection pour HTTPS : ACCEPT ne change rien.

#31

[code]# iptables-save

Generated by iptables-save v1.4.14 on Sat Jan 18 10:45:37 2014

*nat
:PREROUTING ACCEPT [5806:627720]
:INPUT ACCEPT [3414:307565]
:OUTPUT ACCEPT [3472:302295]
:POSTROUTING ACCEPT [272:56087]
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 172.16.10.0/28 -p tcp -m tcp --dport 443 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Sat Jan 18 10:45:37 2014

Generated by iptables-save v1.4.14 on Sat Jan 18 10:45:37 2014

*filter
:INPUT ACCEPT [165307:152758782]
:FORWARD ACCEPT [17233:8589551]
:OUTPUT ACCEPT [156667]
COMMIT

Completed on Sat Jan 18 10:45:37 2014[/code]

connexion entrante :
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-ports 3128

connexion sortante :
??

#32

C’est mieux. Vérifie néanmoins si squid peut utiliser le même port pour les connexions HTTP et HTTPS en transparent, sinon il faudra définir un port différent pour HTTPS.

[quote=“toto69”]connexion sortante :
??[/quote]
Quoi ? Pourquoi voudrais-tu rediriger des connexions sortantes émises par la machine elle-même ?

Pourquoi le doublon pour la règle MASQUERADE ?

#33

Au départ je n’en voyais pas l’utilité puisque le port 443 serait redirigé vers le 3128 qui lui peut sortir. C’est pourquoi j’ai mis des ???

Ah oui tiens, j’avais pas vu . Je l’enlève :

#iptables -D POSTROUNTING 2

çà ne marche pas

[quote="PascalHambourg"]Vérifie néanmoins si squid peut utiliser le même port pour les connexions HTTP et HTTPS en transparent, sinon il faudra définir un port différent pour HTTPS.[/quote]

Comment je fais pour vérifier çà :017 :think:

#34

[quote=“toto69”]Ah oui tiens, j’avais pas vu . Je l’enlève :
Code:
#iptables -D POSTROUNTING 2

çà ne marche pas
[/quote]

Je me suis trompé :

maintenant çà fonctionne :wink:

[code]# iptables-save

Generated by iptables-save v1.4.14 on Sat Jan 18 12:09:35 2014

*nat
:PREROUTING ACCEPT [4:472]
:INPUT ACCEPT [4:472]
:OUTPUT ACCEPT [3:210]
:POSTROUTING ACCEPT [1:70]
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 172.16.10.0/28 -p tcp -m tcp --dport 443 -j ACCEPT
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Sat Jan 18 12:09:35 2014

Generated by iptables-save v1.4.14 on Sat Jan 18 12:09:35 2014

*filter
:INPUT ACCEPT [166982:152906787]
:FORWARD ACCEPT [17233:8589551]
:OUTPUT ACCEPT [157961]
COMMIT

Completed on Sat Jan 18 12:09:35 2014[/code]

#35

Donc, normalement, le port 443 passe maintenant par le proxy via le port 3128.

Le contenu est-il aussi filtré ? J’ai jeté un coup d’oeil au lien : “Problème squidGuard et URL en https bloquées”. J’comprends pas tout :blush:
Le but est-il de créé un certificat d’authentification qui va se substituer à l’original faisant croire que le contenu est authentifié ?

#36

Il y a encore la règle ACCEPT dans PREROUTING qui est en trop. Elle ne fait rien sur les paquets mais en les ACCEPTant, elle interrompt le parcours des règles suivantes de la chaîne.
Pour le port d’écoute de squid, il faut regarder dans la documentation.

#37

Comme je l’ai expliqué plus haut, le certificat de squid va se substituer à celui du serveur, mais cela ne fera pas illusion auprès du navigateur qui verra que ce n’est pas le bon. D’où avertissement avec choix ou refus d’afficher le site.

#38

[quote=“PascalHambourg”]Il y a encore la règle ACCEPT dans PREROUTING qui est en trop. Elle ne fait rien sur les paquets mais en les ACCEPTant, elle interrompt le parcours des règles suivantes de la chaîne.
Pour le port d’écoute de squid, il faut regarder dans la documentation.[/quote]

[code]# iptables-save

Generated by iptables-save v1.4.14 on Sat Jan 18 12:18:03 2014

*nat
:PREROUTING ACCEPT [1:33]
:INPUT ACCEPT [1:33]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Sat Jan 18 12:18:03 2014

Generated by iptables-save v1.4.14 on Sat Jan 18 12:18:03 2014

*filter
:INPUT ACCEPT [167359:152931085]
:FORWARD ACCEPT [17233:8589551]
:OUTPUT ACCEPT [158430]
COMMIT

Completed on Sat Jan 18 12:18:03 2014[/code]

J’y vais :smiley:

#39

Donc, je laisse tombé le certificat ou je copie colle celui de l’auteur du blog ?

#40

Je ne vois rien dans la doc de squid sur le protocole https avec squid en mode transparent.

Je continue à chercher