Configuration d'un serveur proxy

sally · Janvier 30, 2018, 2:44pm

Bonjour tout le monde.

Aidez moi à configurer mon serveur proxy qui est sur une machine virtuelle debian et le client qui est sur la machine physique windows. Au fait après configuration de mon fichier squid.conf, le navigateur m’affiche toujours pas à se connecter.
voici l’erreur qui s’affiche

La connexion a été refusée par le serveur proxy

Firefox est configuré pour utiliser un serveur proxy mais celui-ci n’accepte pas les connexions.

    Vérifiez que les paramètres du proxy sont corrects ;
    Contactez votre administrateur réseau pour vous assurer que le serveur proxy fonctionne.

voici le contenu du fichier squid.conf

root@svr-proxy:/home/magir# cat /etc/squid3/squid.conf
acl manager proto cache_object
#Ajout de la définition ACL pour le réseau local
acl lan src 192.168.1.0/255.255.255.0
#Ajout d'ACL pour une machine spéciale (serveur, administration) du réseau local
acl special_hosts src 192.168.1.14
acl localhost src 127.0.0.0/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

http_access allow lan           #ajout du droit
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128

hierarchy_stoplist cgi_bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
icp_port 3130
coredump_dir /var/spool/squid3

# nom DNS du proxy
visible_hostname svr-proxy
#détermination de l'utilisateur effectuant les requêts sur le serveur
cache_effective_user proxy
cache_effective_group proxy
#concernant le cache :
##memoire vive allouée à squid = 16 Mo
cache_mem 16 MB
##repertoire où stocker le cache, la taille maxi du repertoire = 1024 Mo
##et le nombre de sous repertoires de 1er et de 2e niveau (16 rep dans lesquels$
cache_dir ufs /var/spool/squid3 1024 16 128
##pour réécrire les logs toutes les 2 semaines
logfile_rotate 2

la configuration du client windows

sally · Janvier 30, 2018, 2:54pm

@mattotop, @PascalHambourg au secours encore moi

sk4hrr · Janvier 30, 2018, 3:27pm

Bonjour,

J’ai failli lire ton poste en entier, puis j’ai vu le deuxième… Comme tu as tes préférences, je passe mon tour

sally · Janvier 30, 2018, 3:28pm

Désolée. Pitié

sally · Janvier 30, 2018, 3:42pm

S’il te plait

Baruch · Février 2, 2018, 11:54am

commence par mettre 192.168.1.0/24 ce sera plus clair…
as-tu ouvert le parefeu pour qu’il accepte les connexions?

sally · Février 2, 2018, 10:28pm

Salut @Baruch comment ouvrir le parefeu stp

sally · Février 2, 2018, 10:36pm

Bonsoir tout le monde. Je vous remercie pour votre aide. J’ai pu faire la configuration jusqu’au niveau de la configuration du proxy transparent. Au fait, j’ai crée mon fichier bash firewall.sh. Lors de l’exécution j’ai une erreur qui m’est affichée.

le contenu de mon fichier firewall.sh :

#! /bin/bash
#
#
#nom de l'interface réseau connectée au LAN
ETHERNET_LAN="eth0"

#nom de  l'interface Ethernet connectée à Internet
ETHERNET_INTERNET="eth1"

#adresse IP du serveur Squid
SQUID_SERVER_IP="192.168.58.130"

#numéro de port d'écoute de Squid
SQUID_PORTT="8080"

###quelques ports TCP spécifiques
MULTI_PORT="22,20,21"

###effacer toutes les règles existantes des chaines prédéfinies de la table FILTER
iptables -F

###effacer toutes les règles existantes des chaines utilisateurs de la table FILTER
iptables -X

###effacer toutes les règles existantes de la table NAT (des chaines prédéfinies ou non)
iptables -t nat -F
iptables -t nat -X

###effacer toutes les règles existantes de la table MANGLE (des chaines prédéfinies ou non)
iptables -t mangle -F
iptables -t mangle-X

#charger les modules NAT et de traçage
modprobe ip_conntrack
modprobe ip_conntrack_ftp

####activer le relayage IPv4 (transformation du serveur en routeur IPv4)###
sysctl -w net.ipv4.ip_forward=1
sysctl -p

##
iptables -p INPUT DROP
iptables -p OUTPUT ACCEPT

##règles INPUT/OUTPUT pour loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A INPUT -i $ETHERNET_INTERNET -m state --ctstate ESTABLISHED, RELATED, -j  ACCEPT
#iptables --table nat --append POSTROUTING --out-interface $ETHERNET_INTERNET -j MASQUERADE
#iptables --append FORWARD --in-interface $ETHERNET_LAN -j ACCEPT

iptables -A INPUT -i $ETHERNET_LAN -j ACCEPT
iptables -A OUTPUT -o $ETHERNET_LAN -j ACCEPT

### rediriger le trafic web vers le réseau Squid####
iptables -t nat -A PREROUTING -i $ETHERNET_LAN -p tcp --dport 80 -j DNAT --to-port $SQUID_SERVER_IP:$SQUID_PORT

iptables -t nat -A PREROUTING -i $ETHERNET_INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

#####IPTABLE Autoriser certains services spécifiques
iptables -A INPUT -p tcp -m multiport --dports $MULTI_PORT -j ACCEPT

iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

voici l’erreur qui s’affiche lors de l’exécution

root@proxy:~# sh /root/firewall.sh 
iptables v1.6.1: no command specified
Try `iptables -h' or 'iptables --help' for more information.
net.ipv4.ip_forward = 1
net.ipv4.ip_forward = 1
iptables v1.6.1: unknown protocol "input" specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.6.1: unknown protocol "output" specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.6.1: unknown option "--to-port"
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.6.1: option "--to-port" requires an argument
Try `iptables -h' or 'iptables --help' for more information.

PascalHambourg · Février 3, 2018, 9:21am

Ces erreurs sont dues à des fautes de frappe dans ton script qu’une relecture attentive permet de déceler aisément.

iptables -t mangle-X
-> iptables v1.6.1: no command specified

Espace manquant.

iptables -p INPUT DROP
-> iptables v1.6.1: unknown protocol "input" specified

-p au lieu de -P.

iptables -p OUTPUT ACCEPT
-> iptables v1.6.1: unknown protocol "output" specified

-p au lieu de -P.

SQUID_PORTT="8080"
iptables -t nat -A PREROUTING -i $ETHERNET_LAN -p tcp --dport 80 -j DNAT --to-port $SQUID_SERVER_IP:$SQUID_PORT
-> iptables v1.6.1: unknown option "--to-port"

PORTT au lieu de PORT.

iptables -t nat -A PREROUTING -i $ETHERNET_INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
-> iptables v1.6.1: option "--to-port" requires an argument

PORTT au lieu de PORT.

sally · Février 3, 2018, 10:47am

Bonjour. Merci pour ton aide. J’ai fait la correction, je remarque encore une erreur

#! /bin/bash
#
#
#nom de l'interface réseau connectée au LAN
ETHERNET_LAN="eth0"

#nom de  l'interface Ethernet connectée à Internet
ETHERNET_INTERNET="eth1"

#adresse IP du serveur Squid
SQUID_SERVER_IP="192.168.58.130"

#numéro de port d'écoute de Squid
SQUID_PORTT="8080"

###quelques ports TCP spécifiques
MULTI_PORT="22,20,21"

###effacer toutes les règles existantes des chaines prédéfinies de la table FILTER
iptables -F

###effacer toutes les règles existantes des chaines utilisateurs de la table FILTER
iptables -X

###effacer toutes les règles existantes de la table NAT (des chaines prédéfinies ou non)
iptables -t nat -F
iptables -t nat -X

###effacer toutes les règles existantes de la table MANGLE (des chaines prédéfinies ou non)
iptables -t mangle -F
iptables -t mangle -X

#charger les modules NAT et de traçage
modprobe ip_conntrack
modprobe ip_conntrack_ftp

####activer le relayage IPv4 (transformation du serveur en routeur IPv4)###
sysctl -w net.ipv4.ip_forward=1
sysctl -p

##
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

##règles INPUT/OUTPUT pour loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i $ETHERNET_INTERNET -m state --state ESTABLISHED  -j  ACCEPT
iptables --table nat --append POSTROUTING --out-interface $ETHERNET_INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $ETHERNET_LAN -j ACCEPT

iptables -A INPUT -i $ETHERNET_LAN -j ACCEPT
iptables -A OUTPUT -o $ETHERNET_LAN -j ACCEPT

### rediriger le trafic web vers le réseau Squid####
iptables -t nat -A PREROUTING -i $ETHERNET_LAN -p tcp --dport 80 -j DNAT --to-port $SQUID_SERVER_IP:$SQUID_PORTT

iptables -t nat -A PREROUTING -i $ETHERNET_INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORTT

#####IPTABLE Autoriser certains services spécifiques
iptables -A INPUT -p tcp -m multiport --dport $MULTI_PORT -j ACCEPT

iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

l’erreur

root@proxy:~# sh /root/firewall.sh 
net.ipv4.ip_forward = 1
net.ipv4.ip_forward = 1
iptables v1.6.1: unknown option "--to-port"
Try `iptables -h' or 'iptables --help' for more information.

PascalHambourg · Février 3, 2018, 11:05am

La cible DNAT n’a pas d’option --to-port. C’est --to-destination, ou --to en abrégé.
Tu devrais être capable de détecter et corriger ce genre d’erreur toi-même.