Hey Bonsoir,
Voila je suis novice dans l'univers Unix. Je veut faire un serveur proxy avec squid, j'ai tenté de le faire mais sans succès ... Il marchait mais pas en mode transparent... Il fallait config les utilisateurs.
Voila donc je me tourne vers vous pour différentes raison:
- M'aider dans la démarche de configuration de Squid (ce qu'il faut mettre, pas mettre etc.)
- Me dire ce qu'il faudrait mettre dans iptables pour le rendre transparent.
Je tiens à pressisé que mon linux reçois internet par l'interface eth0 et le reseau local est connecté à l'interface eth1.
Les interfaces :
eth0 :
Ip : 10.0.0.2
Passerelle : 10.0.0.1
DNS : 10.0.0.1
eth1:
Ip : 192.168.1.1
Voila merci d'avance pour votre aide.
ValOo
Forum Linux.débutant Configuration SQUID en mode tranparent
17
mai
2009
# cf fichier de conf ( environ 4000 lignes )
Posté par nono14 (site web personnel) . Évalué à 2.
Cherche un peu il y a plein de doc sur le net.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: cf fichier de conf ( environ 4000 lignes )
Posté par NeoX . Évalué à 2.
1°) que squid soit installé sur la passerelle
2°) rediriger les ports demandés par tes utilisateurs vers le port sur lequel squid ecoute
(en remplacement de ce que tu faisais sur les postes des utilisateurs)
3°) voir le post precedent
[^] # Re: cf fichier de conf ( environ 4000 lignes )
Posté par benoar . Évalué à 3.
# pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Je cherché sur le web et sur le forum et j'ai réussi ... Enfin ma joie est modéré.
je vous explique mon proxy marche niquel ... mais je suis obligé de metre la config proxy dans les navigateur intenet des clients pour que cela passe. Et je voudrais qu'il soit transparent ... J'ai mi "http_port 3128 transparent" avec une regle iptables suivant : "iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128" sachant que mon reseau local est sur l'interface eth1 comme je l'avais mis dans mon post précedent ... Pouvez vous me dire ou est mon erreur??
Merci d'avance
ValOo
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Est ce que les clients utilisent cette passerelle?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Ip : 192.168.1.0/24
Masque reseau : 255.255.255.0
Passerelle par def : 192.168.1.1
DNS : 192.168.1.1
Et pour squid installer sur la passerelle consiste à ce que la machine est 2 carte reseau une pour internet et l'autre pour le reseau local?? c'est bien ca?
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
- Si oui, que disent les logs de squid ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Je problème est de savori si il est paquet sont vraiment rediriger ?? Ya un moyen de controlé parcque que jai mis la regle iptables mais bon a mon avis sa vient de la...
Ah tu une solustion pour voir les paquets (logiciels?)?
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Voila comment je px réglé mon problème?
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Voila comment je px réglé mon problème?
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
le problème est de savoir si oui ou non les paquets son redirigés... Jai mi la regel dans iptables mais rien ne se passe dans les logs...
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
iptables -L -nv -t nat
sur la passerelle/routeur
et
cat /proc/sys/net/ipv4/ip_forward
Quel est l'os de tes clients ?
Quelle version de squid?
Analyse les trames des clients et/ou la passerelle avec tcpdump.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Chain PREROUTING (policy ACCEPT 63 packets, 5697 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Voila ce que cela me donne pour cette commande.
root@ecureuil-proxy:/home/ecureuil# cat /proc/sys/net/ipv4/ip_forward
0
Et voila pour cela.
Vous trouvé un truc anormal?
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 paquets 0 bytes :
=> Aucun paquet n'a atteint la passerelle et/ou matcher la régle
ip_forward est à zéro, alors qu'en géneral il est positionné à 1 sur les routeurs.
Que donne la commande:
netstat -rn
Un petit schéma de ton réseau serait peut etre utile.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
Table de routage IP du noyau
Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth0
voila la commande demandé.
Pour ce qui est du schéma :
(je n'en est pas donc je vais expliquer :-) )
Internet arrive par l'interface eth0 sur le pc du proxy avec l'ip 10.0.0.2 (ip interface eth0)
Le Lan (clients du camping) son branché sur l'interface eth1 sur le pc du proxy l'ip du proxy sur cette interface est 192.168.1.1, et les clients commence de 192.168.1.2 à 192.168.1.254
Et pour finir c'est le linux ou ya le proxy qui fais office de routeur.
Voila si vous voulez des precisions demandé.
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
( ou le meme vlan )?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
"echo 1 > /proc/sys/net/ipv4/ip_forward"
Jarive à "1" avec la commande que vous m'aviez donne plus haut.
Eu oui le proxy et les clients sont sur le même switch
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
tcpdump -n -i eth1 host 192.168.1.2 and dst port 80
sur le routeur
Remplacer: 192.168.1.2 par l'ip de la machine réelle de test
et surfer à partir de la machine 192.168.1.2
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
root@ecureuil-proxy:/home/ecureuil# tcpdump -n -i eth1 host 192.168.1.2 and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
root@ecureuil-proxy:/home/ecureuil# tcpdump -n -i eth1 host 192.168.1.2 and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
capture de paquets, tu as un soucis. ( le proxy etant désactivé pour l'opération )
-soucis d'architecture
-navigateur
-autre...
Tu te rends compte qu'il est difficile de faire un diagnostique à distance.
Parfois il faut etre devant les machines pour faire un diagnostique correct.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 2.
20:14:42.053362 IP 192.168.1.1 > 192.168.1.2: ICMP 192.168.1.1 udp port 53 unreachable, length 65
Voila ce que j'ai recu comme paquets mais j'ai enlevé le filtrage sur le port 80 jai mis tt les port de l'interface eth1 avec en host 192.168.1.2
Un problème de DNS?
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Cf fichier de configuration .
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 2.
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pb de tranparence
Posté par Valentin GUEGNARD . Évalué à 1.
[^] # Re: pb de tranparence
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# Le DNS
Posté par Valentin GUEGNARD . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.