Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 37 Beta est disponible

#1 28/11/2014 16:38:47

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

squid intercept

bonjour,

j’essaie de configurer squid sur une de mes passerelles mais je rencontre des problèmes.
voici le fichier de configuration

less squid.conf | egrep -v -e '^[[:blank:]]*#|^$'
acl localnet src 192.168.1.0/24	# RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
http_port 3128 intercept
coredump_dir /var/spool/squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320

quand j'indique au navigateur d'utiliser ce proxy, tout est normal et je vois bien les accès dans acces.log
mais quand je fais la redirection

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

toutes les adresses sont réécrites en local
au lieu de

1417183211.159     79 192.168.1.19 TCP_MISS/200 529 GET http://ads.clicmanager.fr/counter.php? - HIER_DIRECT/91.204.119.46 image/gif

j'ai

1417183211.159     79 192.168.1.19 TCP_MISS/200 529 GET /counter.php? -HIER_NONE/- text/html

La doc sur squid ne traite pas de la configuration simple...

Merci
Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#2 28/11/2014 17:18:27

marc2006
Membre
Inscription : 31/05/2007
Messages : 1 425

Re : squid intercept

Salut Gérard =)

Dans ta ligne iptables, ce n'est pas --to-port plutôt ? (pas ports)
De plus, il faudrait préciser l'interface d'entrée : -i eth0 par exemple

Dernière modification par marc2006 (28/11/2014 17:19:31)

Hors ligne

#3 28/11/2014 19:11:55

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : squid intercept

je ne pense pas que cela vienne d'iptables car la 'capture' marche bien !
J'ai fait cette configuration sur des raspberry, donc debian, et je n'ai pas rencontré ce problème.

Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#4 28/11/2014 19:51:16

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : squid intercept

et par hasard ton squid ne serait pas dans la plage 192.168.1.0? Du coup les paquets qui sortent pour aller sur le web lui sont encore retourné?

ya l'air d'avoir un cas simple ici:
http://wiki.squid-cache.org/ConfigExamp … uxRedirect


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 28/11/2014 20:18:20

marc2006
Membre
Inscription : 31/05/2007
Messages : 1 425

Re : squid intercept

madko a écrit :

et par hasard ton squid ne serait pas dans la plage 192.168.1.0? Du coup les paquets qui sortent pour aller sur le web lui sont encore retourné?

Ce serait alors la partie "POSTROUTING" qui serait concernée pas PREROUTING car l'IP de Squid, bien qu'étant dans la plage (.1.19), n'est pas concernée par la règle nat actuelle si je ne me trompe pas =)

Hors ligne

#6 28/11/2014 20:25:09

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 882
Site Web

Re : squid intercept

Tu utilise pas plutôt firewalld par hasard? et pis franchement c'est quand même bien mieux fichu que iptable!

J'ai mes proxy avec sous CentOS 7 et ça fonctionne 10x mieux qu'avec les debian en iptable.

Dernière modification par VINDICATORs (28/11/2014 20:25:52)


AMD R7 5800x X470 64Go DDR4 3.6Ghz, RX5700XT+AMD R7 2700x A320 + 32Go DDR4 3.2Ghz, rx6500xt 4Go
AMD R5 2600 A320, 32Go DDR4 1.8Ghz,1030GT 2Go + AMD A6 9500 A320, 16Go DDR4 2.1Ghz
ARM Rpi4 4Go, à venir Pine64 2xQuartzB 2Go

Hors ligne

#7 28/11/2014 20:39:28

marc2006
Membre
Inscription : 31/05/2007
Messages : 1 425

Re : squid intercept

fgland a écrit :

je ne pense pas que cela vienne d'iptables car la 'capture' marche bien !
J'ai fait cette configuration sur des raspberry, donc debian, et je n'ai pas rencontré ce problème.

Gérard

Je dis ça car ton fichier de configuration actuellement ne permet pas de démarrer Squid ... Sous ma CentOS (VM), ce qui ne change pas de Fedora !
Tu as oublié une acl pour localhost et manager ! Ca m'étonnerait pas que ca vienne d'une ligne de config ...

Dernière modification par marc2006 (28/11/2014 20:39:56)

Hors ligne

Pied de page des forums