https://wiki.livois.com/mediawiki/index.php?action=history&feed=atom&title=ProxyProxy - Historique des versions2026-05-25T04:48:07ZHistorique des versions pour cette page sur le wikiMediaWiki 1.39.3https://wiki.livois.com/mediawiki/index.php?title=Proxy&diff=109&oldid=prevChristophe : 1 version2012-05-28T20:31:51Z<p>1 version</p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<tr class="diff-title" lang="fr">
<td colspan="1" style="background-color: #fff; color: #202122; text-align: center;">← Version précédente</td>
<td colspan="1" style="background-color: #fff; color: #202122; text-align: center;">Version du 28 mai 2012 à 20:31</td>
</tr><tr><td colspan="2" class="diff-notice" lang="fr"><div class="mw-diff-empty">(Aucune différence)</div>
</td></tr></table>Christophehttps://wiki.livois.com/mediawiki/index.php?title=Proxy&diff=108&oldid=prevChristophe : /* Configuration de squidguard */2009-06-20T15:05:27Z<p><span dir="auto"><span class="autocomment">Configuration de squidguard</span></span></p>
<p><b>Nouvelle page</b></p><div>[[Category:Sécurité]]<br />
__TOC__<br />
=Proxy DNS avec BIND=<br />
<licode file=/etc/conf.d/named><br />
CHROOT="/chroot/dns"<br />
</licode><br />
<br />
<pre><br />
#emerge --config bind<br />
</pre><br />
<br />
Le fichier à éditer est: <br />
<br />
<licode file=/chroot/dns/etc/bind/named.conf><br />
options {<br />
version "";<br />
directory "/var/bind";<br />
<br />
forward first;<br />
forwarders {<br />
192.168.100.163;<br />
192.168.100.164;<br />
};<br />
<br />
listen-on-v6 { none; };<br />
//listen-on { 127.0.0.1; };<br />
<br />
// to allow only specific hosts to use the DNS server:<br />
//allow-query {<br />
// 127.0.0.1;<br />
//};<br />
<br />
// if you have problems and are behind a firewall:<br />
//query-source address * port 53;<br />
pid-file "/var/run/named/named.pid";<br />
};<br />
<br />
zone "." IN {<br />
type hint;<br />
file "named.ca";<br />
};<br />
<br />
zone "localhost" IN {<br />
type master;<br />
file "pri/localhost";<br />
allow-update { none; };<br />
notify no;<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" IN {<br />
type master;<br />
file "pri/127.0.0";<br />
allow-update { none; };<br />
notify no;<br />
};<br />
</licode><br />
<br />
<licode file=/chroot/dns/etc/bind/pri/livois.com.zone><br />
$TTL 1W<br />
@ IN SOA ns.localhost. root.localhost. (<br />
2005121701 ; Serial<br />
28800 ; Refresh<br />
14400 ; Retry<br />
604800 ; Expire - 1 week<br />
86400 ) ; Minimum<br />
IN NS ns<br />
www IN A 192.168.10.10<br />
mail IN A 192.168.10.1<br />
bedouin IN A 192.168.100.33<br />
home IN A 192.168.100.2<br />
ldap IN CNAME www<br />
ftp IN CNAME www<br />
monys IN CNAME www<br />
livois.com. MX 10 mail<br />
</licode><br />
<br />
=Relay SMTP avec Postfix=<br />
http://www.postfix.org<br />
<br />
<u>/etc/postfix/main.cf</u><br />
<br />
Définir les adresses qui peuvent envoyer des mails<br />
<licode>mynetworks=127.0.0.1,192.168.x.0/24</licode><br />
<br />
Définir le serveur smtp relai par défaut si nécessaire (ex : antivirus)<br />
<licode>relayhost=relay.livois.com</licode><br />
<br />
Relai vers des serveurs distincts<br />
Ecrire dans le ficher <tt>/etc/postfix/transport</tt> une ligne du type :<br />
<licode file=/etc/postfic/transport><br />
postfix.org smtp:smtp.free.fr<br />
</licode><br />
<br />
Lancer la commande :<br />
<pre><br />
#postmap /etc/postfix/transport<br />
</pre><br />
<br />
Ajouter une ligne du type dans main.cf<br />
<licode file=/etc/postfix/main.cf><br />
transport_maps=hash:/etc/postfix/transport<br />
</licode><br />
<br />
<blockquote class=warning><br />
'''Remarque :''' Ne pas oublier de lancer la commande /usr/bin/newaliases à l’installation de postfix.<br />
</blockquote><br />
<br />
=Proxy HTTP et FTP avec Squid=<br />
http://www.squid-cache.org/<br />
<br />
http://christian.caleca.free.fr/squid/<br />
<br />
<blockquote class=gentoo>Package Gentoo : + customlog</blockquote><br />
<blockquote><br />
'''Remarque :''' Squid fonctionne bien comme proxy ftp pour mozilla mais pas pour internet explorer ou des clients ftp usuels. <br />
</blockquote><br />
<br />
==Configuration standard==<br />
Editer <tt>/etc/squid/squid.conf</tt><br />
<br />
Il existe, pour simplifier, deux types de lignes :<br />
* Les lignes « acl » qui définissent des variables (port, protocole, adresses sources, adresses destination, expressions rationnelles) <br />
* et les règles d’accès « http_access » qui autorisent (allow) ou non (deny) en fonction de l’association ET des variables « acl ».<br />
<br />
Quelques exemples de directives :<br />
(La liste complète se trouve à l’adresse http://squid.visolve.com/squid/configuration_manual.htm )<br />
<br />
{| class=wikitable<br />
!width=250|Exemples de règles!!width=550|Explications<br />
|-<br />
|no_cache deny<nowiki>|</nowiki>allow aclname<br>ex: no_cache deny nocache||<br />
Pour que certaines adresses ne soient pas dans le cache (utile pour les webmasters), on utilise la directive no_cache <br />
|-<br />
|cache_dir ufs /var/cache/squid 512 16 256||Définit un cache de 512Mo dans /var/squid/cache. Les valeurs 16 et 256 sont le nombre de sous répertoires de niveau 1 et 2. Plus de détails sur http://squid.visolve.com/squid/squid24s1/logfiles.htm#cache_dir.<br />
|-<br />
|http_port 8080||La connexion au proxy se fait sur le port 8080. C’est la seule ligne qui n’est ni une variable acl ni une règle d’accès http_access.<br />
|-<br />
|acl safe_port port 80 21 443<br>acl http_port port 80<br>acl ftp_port port 21<br>acl ssl_port port 443<br />
<br>acl http_proto proto http<br>acl ftp_proto proto ftp<br>acl CONNECT method CONNECT<br><br />
||Définition des ACLs générales<br />
|-<br />
|acl localhost src 127.0.0.1/32<br>acl lan src 192.168.XX.0/24<br>acl all src 0.0.0.0/0.0.0.0<br />
||Définition des groupes d'accès<br />
|-<br />
|<nowiki>#</nowiki>acl Regexp url_regex -i .wav -i .mp3 -i .mpeg -i .mpg -i .avi<br><nowiki>#</nowiki>http_access deny Regexp all||<br />
Pour éviter certains téléchargement (la règle n’est pas activée par défaut)<br />
|-<br />
|http_access allow CONNECT ssl_port lan<br>http_access allow ftp_port ftp_proto lan<br>http_access allow http_port http_proto lan||Autorisations<br />
|-<br />
|acl purge method PURGE<br>http_access allow purge localhost<br>http_access deny purge||<br />
|-<br />
|http_access deny all||Règle par défaut<br />
|}<br />
<br />
<blockquote class=note><br />
'''Remarques :'''Le paramètre <tt>visible_hostname</tt> peut être requis pour permettre le lancement de squid.<br />
Si on ne définit pas deny all, squid fait le contraire de la dernière ligne access ou deny.<br />
La première ligne lue est la première ligne appliquée.<br />
</blockquote><br />
<br />
==Configuration “proxy_transparent”==<br />
http://tldp.org/HOWTO/TransparentProxy.html<br />
<br />
* Du côté d’Iptables<br />
<licode><br />
$IPTABLES -t nat -A PREROUTING -i $IF_LAN1 -s $LAN1_NET -p tcp --dport 80 -j DNAT --to $IP_LAN1:8080<br />
</licode><br />
<br />
* Du côté de squid.conf<br />
<licode file=/etc/squid/squid.conf><br />
httpd_accel_host_virtual<br />
httpd_accel_port 80<br />
httpd_accel_with_proxy on<br />
httpd_accel_uses_host_header on<br />
</licode><br />
<br />
==Configuration avancée==<br />
===Limitation du débit===<br />
Each type of pools allows you to limit bandwith in different ways :<br />
<licode file=/etc/squid/squid.conf><br />
acl XXX<br />
delay_pool_count 1 #tells squid how many delay pools there will be<br />
delay_class 1 1 #creates a delay pool (N°1) of class 1<br />
delay_parameters 1 16000/16000 #pool 1 manipulated, restore/max values<br />
delay_access 1 allow XXX<br />
</licode><br />
<br />
The restore value is used to set the download speed, and the max value lets you the size at which the files are to be slowned down from. Restore is in bytes per second, max is in bytes. In the above example, downloads proceed at full speed until they have downloaded 16000 bytes. This limit ensures that that small file arrive reasonably fast. Once this much data has been transferred, the transfer rate is slowed to 16000 bytes per second (128K)<br />
<br />
By using a different pool type, you can set rate limits by IP address easily.<br />
Ex:<br />
<licode><br />
acl all src 0/0<br />
delay_pool_count 1<br />
delay_class 1 2 <br />
delay_parameters 1 12500/12500 2500/2500<br />
delay_access 1 allow all<br />
</licode><br />
<br />
Here each ip si limited to 2.5kbytes/s (20K)<br />
<licode><br />
acl all src 0/0<br />
delay_pool_count 1<br />
delay_class 1 3<br />
# 56000*8 sets your overall limit at 448 kbit/s<br />
# 18750*8 sets your per-network limit at 150 kbit/s<br />
# 500*8 sets your per-user limit at 4 kbit/s <br />
<br />
delay_parameters 1 56000/56000 18750/187500 500/500<br />
delay_access 1 allow all<br />
</licode><br />
<br />
Ici le per-network correspond à des réseaux de classe C.<br />
-1 => no limit<br />
===Load balancing (TODO)===<br />
===Transparent caching===<br />
http://www.deckle.co.za/squid-users-guide/Transparent_Caching<br />
<br />
Un proxy transparent est incompatible avec l'authentification pour des raisons internes à TCP.<br />
<br />
Il faut :<br />
* configurer le firewall rediriger les flux TCP vers le port 80 vers le proxy<br />
<licode>iptables –t nat –A PREROUTING –s network -p tcp --dport 80 –j DNAT --to server:8080</licode><br />
<br />
* configurer squid comme un proxy transparent<br />
<u>Configuration pour squid 2.6</u><br />
<br />
http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE1-RELEASENOTES.html#s2<br />
<br />
<licode file=/etc/squid/squid.conf><br />
http_port 192.168.10.1:8080 transparent<br />
</licode><br />
<br />
<u>Configuration pour squid < 2.6</u><br />
<licode file=/etc/squid/squid.conf><br />
httpd_accel_host virtual<br />
httpd_accel_port 80<br />
httpd_accel_with_proxy on<br />
httpd_accel_uses_host_header on<br />
</licode><br />
<br />
===Communicating with other proxy servers===<br />
<licode file=/etc/squid/squid.conf><br />
cache_peer cache.myparent.example parent 3128 3130 <br />
prefer_direct off<br />
</licode><br />
Squid communicates with the parent on HTTP port 3128 and will use ICP to query the server using port 3130. <br />
<br />
Pour un passage obligé par le proxy principal (s’il ne comprend pas ICP), rajouter default no-query :<br />
<br />
<licode>cache_peer cache.myparent.example parent 3128 3130 default no-query</licode><br />
<br />
The default option essentially tells Squid “ Go through this cache for all requests. If it’s down, return an error message to the client: you cannot go direct”.<br />
<br />
The no-query option sets Squid to ignore the given ICP port, and never to attempt to query the cache with ICP.<br />
<br />
===Divers===<br />
<br />
If squid dies email is sent to the address specified with the <tt>cache_mgr</tt> tag. This address is also appended to the end of error pages returned to users if, for example, the remote machine is unreachable.<br />
<br />
<licode>cache_store_log none</licode><br />
<br />
==Configuration de squidguard==<br />
http://www.squidguard.org/<br />
<br />
<licode file/etc/squid/squid.conf><br />
redirect_program /usr/local/squidGuard/bin/squidGuard<br />
redirect_children 20 <br />
redirector_bypass on<br />
</licode><br />
(La 2e ligne limite le nombre de redirecteurs qui prennent de 800Ko à 160Ko de mémoire)<br />
(La 3e ligne permet de ne pas utiliser de redirecteur s’ils sont tous occupés.)<br />
<br />
On peut lier squidguard à un antivirus :<br />
http://viralator.loddington.com<br />
<br />
<licode>redirect http://127.0.0.1/viralator.cgi?url=%u</licode><br />
<br />
==Logs==<br />
http://www.squid-cache.org/Scripts/<br />
<br />
* <tt>access.log</tt><br />
<pre><br />
time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type<br />
1097998987.301 4 192.168.10.2 TCP_MEM_HIT/200 620 GET http://awstats.sourceforge.net/icon/other/vk.png - NONE/- image/png<br />
</pre><br />
<br />
<tt>squid2common.pl</tt> transforme les logs squid sous le format clf<br />
<br />
<blockquote><br />
host rfc931 authuser [DD/Mon/YYYY:hh:mm:ss] "request" ddd bbbb<br><br />
ddd: the status code returned by the server, - if not available. <br><br />
bbbb: the total number of bytes sent, *not including the HTTP header*, - if available<br><br />
home.livois.com - - [17/Oct/2004:18:49:26 +1000] "GET http://martin.gleeson.com/pwebstats/style.css HTTP/1.0" 200 4664<br><br />
</blockquote><br />
<br />
* time<br />
<br />
A Unix timestamp as UTC seconds with a millisecond resolution. You can convert Unix timestamps into something more human readable using this short perl script: <br />
<licode><br />
#! /usr/bin/perl -p<br />
s/^\d+\.\d+/localtime $&/e;<br />
</licode><br />
<br />
===Webalizer===<br />
<blockquote class=gentoo><br />
Package Gentoo: webalizer (+xtended,+geoip)<br />
</blockquote><br />
<br />
<licode file=/etc/crontab><br />
0 0 * * * root webalizer -o /var/www/www.livois.com/supervision/squidalizer/ -p -Q -F squid -Y -C 0 -E 0 -e 0 /var/log/squid/access.log<br />
</licode><br />
<br />
* -p incremental (conserve les données après chaque passage)<br />
* -C 0 0 TopCountries<br />
* -S 30 30 TopSites<br />
* -Q mode silencieux<br />
* -Y n’indique pas la répartition par pays<br />
* -E 0 TopExit<br />
* -e 0 TopEntry<br />
* -F squid logs de type squid (par défaut clf = log apache)<br />
* -o $WEB/webalizer (repertoire des fichiers html d’output)<br />
<br />
Editer /etc/webalizer.conf (les TopK ne peuvent être changés en ligne de commande)<br />
<licode file=/etc/webalizer.conf><br />
TopSites 15<br />
TopKSites 15 (IP qui utilisent le proxy)<br />
TopURLs 30 (pages accedées)<br />
TopKURLs 30<br />
</licode><br />
<br />
===Awstats===<br />
Je préfère ne pas utiliser Awstats pour les logs squid car:<br />
* le format de logs squid n'est pas reconnu automatiquement<br />
* le protocole « CONNECT » (https) ne semble pas reconnu<br />
* les URLs sont triées par nombre d'accès et non par volume (débit)<br />
<br />
<br />
Pour changer le format des logs squid, il y a plusieurs façons de faire :<br />
* mettre la directive emulate_http_log dans squid.conf<br />
<blockquote><br />
If your log records are EXACTLY like this (With some Squid versions, after setting emulate_http_log to on):<br />
200.135.30.181 - - [dd/mmm/yyyy:hh:mm:ss +0x00] "GET http://www.mydomain.com/page.html HTTP/1.0" 200 456 TCP_CLIENT_REFRESH_MISS:DIRECT<br />
You must use : LogFormat="%host %other %logname %time1 %methodurl %code %bytesd %other"<br />
</blockquote><br />
<br />
* patcher squid 2 (pas nécessaire avec squid 3) http://longsleep.org/howto/squidawstats<br />
C'est possible avec le flag customlog sous Gentoo :<br />
<blockquote class=gentoo>Package Gentoo: squid +customlog</blockquote><br />
<br />
Configurer le format des logs de squid:<br />
<licode file=/etc/squid/squid.conf><br />
logformat combined %>a %ui %un [%{%d/%b/%Y:%H:%M:%S +0000}tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh<br />
</licode><br />
<br />
<blockquote class=note><br />
'''Remarque :'''L'argument passé à la variable %tl permet de mettre la date au format reconnu par awstats. +0000 correspond au "timezone offset"<br />
Plus d'information sur le patch customlog sont disponibles sur http://devel.squid-cache.org/customlog/.<br />
</blockquote><br />
<br />
* transformer access.log au format clf avec <tt>squid2common.pl</tt> (récupérable avec pwebstats)<br />
<br />
Par défaut <tt>squid2common.pl</tt> créé 2 fichiers (cache.convert et proxy.convert). <br />
Il faut changer une ligne dans le script pour ne créer qu'un fichier squid.convert.<br />
<br />
<blockquote><br />
If your log records are EXACTLY like this (NCSA common CLF log format):<br />
62.161.78.73 - - [dd/mmm/yyyy:hh:mm:ss +0x00] "GET /page.html HTTP/1.1" 200 1234<br />
You must use : LogFormat=4<br />
Note: Browsers, OS's, Keywords and Referers features are not available with a such format.<br />
</blockquote><br />
<br />
===Sarg===<br />
http://sarg.sourceforge.net/<br />
<br />
Sarg is a Squid Analysis Report Generator that allow you to view "where" your users are going to on the Internet. Sarg generate reports in html, with many fields, like: users, IP Addresses, bytes, sites and times.<br />
<br />
===Squidalyser===<br />
Squidalyser is a squid traffic analyser, designed to allow per-user scrutiny and analysis of squid logfiles. The program allows a non-technical user to extract information about web usage patterns, the type of information downloaded, the sites visited by users, the graphics downloaded, and the amount of information (per-byte or per-file) accessed. The program runs from a Unix system via a web browser. <br />
<br />
===Squid-graph===<br />
http://squid-graph.securlogic.com/<br />
<blockquote class=gentoo><br />
Package Gentoo: squid-graph<br />
</blockquote><br />
<br />
Squid Graph is a free, simple, yet powerful Squid v2 native logfile analysis tool that generates reports with graphical representation of the proxy server's traffic.<br />
<br />
Cet outil n'analyse le trafic que pour une journée. Sans doute vaut il mieux le faire soit même avec rrdtool.<br />
<br />
[[Image:Squidgraph.png|center]]<br />
<br />
<blockquote class="note"><br />
Noter l'outil <tt>/usr/bin/timeconv</tt> qui traduit les dates au format squid.<br />
</blockquote><br />
<br />
=Proxy POP=<br />
==perdition==<br />
==p3scan==<br />
<blockquote class=gentoo><br />
Package Gentoo: p3scan, spamassassin<br />
</blockquote><br />
<br />
Rediriger les connexions vers les serveurs POP externes sur le port 8110 du serveur.<br />
<licode file=/etc/fw/rc.firewall><br />
#Redirection des connexion POP du LAN vers les serveurs POP externes le p3scan 8110<br />
$IPTABLES -t nat -A PREROUTING -p tcp -d ! $IP_LAN -i $IF_LAN --dport pop3 -j REDIRECT --to 8110<br />
</licode><br />
<br />
<licode file=/etc/fw/access><br />
$IPTABLES -A INPUT -i $IF_LAN -s $LAN_NET -p tcp --sport 1024: --dport 8110 -m state --state NEW -j ACCEPT<br />
</licode><br />
<br />
Configurer p3scan :<br />
<licode file=/etc/p3scan/p3scan.conf><br />
maxchilds = 10<br />
ip = 192.168.10.1<br />
user = amavis<br />
scannertype = basic<br />
scanner = /usr/bin/clamdscan --no-summary<br />
checkspam<br />
spamcheck = /usr/bin/spamc<br />
quiet<br />
template = /etc/p3scan/p3scan-fr.mail<br />
</licode><br />
<br />
<pre><br />
#chown amavis /var/spool/p3scan -R<br />
</pre><br />
<br />
Configuration « antispam » avec spamassassin<br />
<br />
Les paramètres de configuration de p3scan.conf sont checkspam et spamcheck.<br />
<pre>#chown amavis /var/amavis/.spamassassin/bayes_journal</pre><br />
<br />
Il faut lancer spamd:<br />
<pre>#/etc/init/spamd start</pre><br />
<br />
<pre>#/etc/init.d/p3scan start</pre><br />
<br />
<blockquote class="note"><br />
'''Remarques :''' <br />
*L'option debug génère de nombreux logs <br />
*Le user doit correspondre au user de clamd – ici amavis<br />
*Les virus sont laissés par défaut dans le répertoire /var/spool/p3scan. <br />
*L'option <tt>justdelete</tt> supprime le message au lieu de le laisser dans ce répertoire.<br />
</blockquote><br />
<br />
{{Copy|2006|Christophe de Livois|FDL}}</div>Christophe