Configuration de squid3

Support Debian
#41

Ici, ils disent de rediriger vers un nouveau port 3129 : shirker.blog.com/2011/11/27/tran … 443-ports/

il faut sûrement ensuite créer de nouvelles règles dans iptables ?!

#42

Impec, les règles. S’il faut modifier le port d’écoute HTTPS, il faut modifier la règle iptables.
Le certificat : il en faut un, tu peux l’auto-signer.

#43

Mon netbook n’a pas accès au net :013 :013 :013 :013

code erreur : err_ssl_protocol_error

#tail -f /var/log/squid3/access.log

1390051491.186 0 172.16.10.5 NONE/400 4038 NONE error:invalid-request - NONE/- text/html 1390051491.554 147 172.16.10.5 TCP_MISS/302 733 GET http://www.google.com/ - DIRECT/74.125.132.103 text/html 1390051491.554 147 172.16.10.5 TCP_MISS/302 733 GET http://www.google.com/ - DIRECT/74.125.132.103 text/html 1390051491.928 156 172.16.10.5 TCP_MISS/302 735 GET http://www.google.fr/? - DIRECT/74.125.132.94 text/html 1390051491.928 156 172.16.10.5 TCP_MISS/302 735 GET http://www.google.fr/? - DIRECT/74.125.132.94 text/html 1390051491.958 0 172.16.10.5 NONE/400 4044 NONE error:invalid-request - NONE/- text/html

#44

J’ai supprimé la règle suivante :

résultat ok :

Il y a donc un problème sur cette règle là.

Changer la redirection du port 443 vers le port 3129 implique de changer ou d’ajouter quelles règles dans iptables ?

#45

Sérieusement, tu n’as pas une petite idée ?

#46

J’ai fait çà :

résultat pas bon :

1390054842.803 149 172.16.10.5 TCP_MISS/200 890 GET http://clients2.google.com/service/update2/crx? - DIRECT/173.194.40.192 text/xml

Je vais me coucher, on verra demain.

#47

En tout cas la règle iptables redirige bien le port 443 vers 3129. Le reste, c’est la conf de squid et je ne sais pas du tout interpréter ses logs.

#48

J’ai trouvé, mais je ne sais pas comment faire sans tout réinstaller !!

planet-libre.org/index.php?post_id=12302

#49

Je n’étais pas loin, il me manquait une ligne à ajouter j’avais trouvé l’autre !
J’essaye ce soir :

debian-fr.org/squid-et-http … ps#p418174

#50

Des erreurs dans le fichier de conf de squid et je ne trouve pas !!

# /etc/init.d/squid3 restart [....] Restarting Squid HTTP Proxy 3.x: squid32014/01/19 05:06:27| WARNING: Netm 2014/01/19 05:06:27| WARNING: IPv4 netmasks are particularly nasty when used to 2014/01/19 05:06:27| WARNING: For now we will assume you meant to write /32 . ok

ci-joint fichier de conf de squid

[code]#cat /etc/squid3/squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl CONNECT_ports port 443
acl CONNECT method CONNECT
acl POST method POST

Requêtes redirigées sans que l’utilisateur

client en ait conscience

http_port 3128 transparent
#https_port 3129 intercept ssl-bump generate-host-certificates=on

nom du serveur proxy

visible_hostname squid3

Déclaration du lan
acl monreseau src 172.16.10.0/28

Déclaration des ACL autorisées

http_access allow monreseau
http_access deny all
http_access allow manager localhost
http_access deny manager
#http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

Spécifie le chemin vers les logs dâaccès créé pour chaque page

visitée

access_log /var/log/squid3/access.log

Indique à Squid d’attendre 4 secondes avant de se couper quand on

essaye de le stoper ou de le redémarrer. Par défaut c’est 30 secondes

shutdown_lifetime 4 secondes

hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
acl QUERY urlpath_regex cgi-bin ?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Taille du cache dans la RAM

cache_mem 256 MB
maximum_object_size_in_memory 8 MB

Emplacement et taille du cache sur le disque

cache_dir ufs /var/spool/squid3/ 1000 16 256
minimum_object_size 3 KB
maximum_object_size 6 MB

Message d’erreur en french

error_directory /usr/share/squid3/errors/French
root@serveur-debian:~#[/code]

#51

Ce ne sont pas des erreurs mais des avertissements (warning). Curieusement la fin des lignes est tronquée. Apparemment ils concernent l’utilisation d’un masque 255.255.255.255 au lieu de la longueur de préfixe /32 dans l’acl de l’adresse 127.0.0.1.

#52

Il y a quelque chose à modifier dans le fichier de conf ?
Je vois le même fichier à peu de choses près partout sur tous les forums et il n’y a que chez moi que çà ne fonctionne pas :013

D’autre part, je n’ai toujours pas de connection au net via le netbook.

[quote=“toto69”]Je n’étais pas loin, il me manquait une ligne à ajouter j’avais trouvé l’autre !
J’essaye ce soir :

debian-fr.org/squid-et-http … ps#p418174[/quote]

çà ne marche pas chez moi !

#53

Un problème de réglé :smiley:

#54

acl CONNECT_ports port 443 acl CONNECT method CONNECT http_access deny CONNECT !CONNECT_ports

Le https passe. Mais je ne sais pas par quel mystère :open_mouth:

#55

J’en suis à la configuration du cache :

head -1 /proc/meminfo MemTotal: 1033848 kB
Je peux allouer combien de Mo la-dessus ?
1 033 848/1 024 = 1 009.617 Mo
Sachant que le serveur ne sert que de passerelle, je peux allouer le max, non ?
cache_mem 800 MB

#56

Petit problème, je ne peux plus voir mes logs en direct :

J’attends !! rien de rien !!

#57

Je ne trouve de réponse nulle part sur le net.
Une aide éventuelle serait-elle possible ?
Avant (je ne sais pas quoi exactement), j’avais accès aux logs en direct et maintenant, ce n’est plus le cas.
C’est très ennuyeux.

#58

J’en suis là :

[code]# iptables-save # Generated by iptables-save v1.4.14 on Wed Jan 22 04:38:40 2014
*nat
:PREROUTING ACCEPT [1:60]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [2:154]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Wed Jan 22 04:38:40 2014

Generated by iptables-save v1.4.14 on Wed Jan 22 04:38:40 2014

*filter
:INPUT ACCEPT [1343:114776]
:FORWARD ACCEPT [125:12993]
:OUTPUT ACCEPT [1224:174736]
COMMIT

Completed on Wed Jan 22 04:38:40 2014[/code]

#59

J’ai suivi cet article :

# openssl rsa -in privkey.pem -out privkey_noPwd.pem unable to load Private Key 3074107544:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

# /etc/init.d/squid3 restart [ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting......done. 2014/01/22 09:09:46| Failed to acquire SSL certificate '/etc/squid3/ssl/cacert.pem': error:02001002:system library:fopen:No such file or directory . ok

un coup de main !?

#60

Pour l’installation de ssl
J’ai pris cet article là :http://www.planet-libre.org/index.php?post_id=12302

Pour le certificat, celui-là
monblog.system-linux.net/blog/20 … us-debian/

# /etc/init.d/squid3 restart [ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting......done. . ok

Maintenant j’ai une page sur laquelle est écrit : impossible de se connecter au véritable site google.fr
le https est barré en rouge.

# tail -f /var/log/squid3/access.log 1390381775.114 181 172.16.10.5 TCP_MISS/302 709 GET http://www.google.com/ - DIRECT/74.125.195.104 text/html 1390381775.334 156 172.16.10.5 TCP_MISS/302 711 GET http://www.google.fr/? - DIRECT/173.194.78.94 text/html 1390381775.550 59 172.16.10.5 TCP_MISS/204 262 GET http://www.gstatic.com/generate_204 - DIRECT/173.194.40.111 text/html