Pb avec squid

Bonjour,

Je ne sais pas si je suis dans le bon endroit pour poser ma question, alors excusez-moi d’avance.

Voici mon problème :

J’ai installé un serveur Linux avec une debian etch pour faire un proxy entre mon réseau maison et mon FAI (Orange).

WEB <-----> Livebox (192.168.1.1) <----> (eth 1 = 192.168.1.11) Serveur Proxy / DHCP (eth0 = 192.168.2.250) <------> SWITCH <----> PC1 + PC2 + PC3 (192.168.2.x)

sur mon serveur, j’ai activer le routage avec : echo 1 > /proc/sys/net/ipv4/ip_forward

j’ai fait du MASQUERADE avec IPTABLES.

j’ai configurer SQUID comme il faut en suivant le tuto de Christian CALECA.

Mon problème :

Que j’active ou que je n’active pas SQUID mes postes clients ont toujours accès à internet même en fonction de mes ACL.

Que je configure les navigateurs des postes clients avec PROXY, rien ne change.

Je ne trouve pas ou est le problème.

Merci d’avance de votre aide.

Il faut être plus précis, donne tes règles iptables et la config de ton squid…

Bonjour,

Alors j’arrête pas de faire des tests.

Sur mon réseau, j’ai du MAC et du PC.

En activant SQUID.

Si je mets dans le navigateur d"un PC ou d’un MAC l’adresse du proxy et le port 3128. J’ai un message d’erreur “access denied”.

Si je ne mets pas d’adresse de proxy. J’accède à INTERNET.

Je ne comprends pas pourquoi ?

Voici mon “squid.conf”

[quote]/etc/squid# cat squid.conf
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl mast.local src 192.168.2.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl client1 src 192.168.2.21 # iMac Delphine
acl client2 src 192.168.2.22 # iMac Helene
acl clientok1 src 192.168.2.1-192.168.2.20 # client OK
acl clientok2 src 192.168.2.23-192.168.2.254 # client OK
acl semaine time MTWHF 16:00-21:00
acl weekend time SA 08:00-11:00
acl heures_ok time SMTWHFA 00:00-24:00
acl test time SMTWHFA 13:00-13:05

http_access allow client1 semaine
http_access allow client1 weekend
http_access allow client2 semaine
http_access allow client2 weekend
http_access allow clientok1 test !heures_ok
http_access allow clientok2 heures_ok
http_access deny mast.local
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
coredump_dir /var/spool/squid
[/quote]

Tu sembles avoir un problème parce que tu as accès à internet depuis ton poste sans passer par le proxy. De ce côté-là, il ne faut pas chercher au niveau du proxy, mais au niveau de la passerelle : as-tu interdit le forward sur le port 80 entre ton réseau et l’internet (la box) ?
Sans ça, forcément, tout passe en direct et ta passerelle est juste une passoire.

Pour le problème de squid qui ne répond pas, quels messages as-tu dans le log de squid (/var/log/squid/access.log) ?

bonjour

je n’ai pas épluché toute ta conf de iptables mais j’ai fait un post dernièrement avec la même configuration (proxy sur le routeur / pare-feu).

si tu veux comparer avec la tienne c’est là http://forum.debian-fr.org/viewtopic.php?f=3&t=17600