SQUID et masquerading ???

par **Breizh-Tux** » 11 Juil 2003 16:42

J'ai épluché les forum d'ixus sur le sujet déjà bien fourni de squid mais hélas je n'ai pas trouvé mon bonheur. J'espère ne pas etre passé à coté ??? Voici mon souci : je viens d'installer squid sur ma passerelle (debian:apt-get install squid) et hop il tourne. Je vérifie ps aux | grep [s]quid :: OK deux processus trouvés. je le configure un peu car mon /etc/squid.conf est vraiment cool, si si toutes les lignes à 98% sont commentées ... je le relance : $/etc/init.d/squid restart squid. OK Je retourne sur ma station et je lance mozilla sans changer de conf donc acces direct et la rien de nouveau j'accède au net comme avant l'install de squid . Détail de ma passerelle : eth0-[DHCP]->Internet eth1-[192.168.0.2]->Lan-[192.168.0.1] eth2-[192.168.1.2]->DMZ[192.168.1.1] mais pas concerné par squid ... Apres quelques recherches sur le sujet je décide de forcer les connexions à destination du port 80 a etre rediriger sur le port d'écoute de squid 3128 : $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 $iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 anywhere MASQUERADE all -- 192.168.0.0/24 anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Je retourne sous Mozilla et la connexion refusée ??? Je le configure pour contacter dircetment 192.168.0.2:3128 IDEM ??? Je commence à perdre qq cheveux , merci de m'aider à obtenir qq expiactions. <IMG SRC="images/smiles/icon_biggrin.gif"> YannicK

par **Breizh-Tux** » 11 Juil 2003 17:03

est-ce qu 'un $ echo 0 > /proc/sys/net/ipv4/ip_forward accompagné de $ apt-get remove ipmasq --purge suffirait ?

par **targa** » 11 Juil 2003 17:04

Ce post m'intéresse. J'ai également installé squid sur ma passerelle , une mandrake 9.0, je l'ai configuré en utilisant webmin comme c'est décrit sur le site de <a href="http://christian.caleca.free.fr/squid/squid.htm" target="_blank">http://christian.caleca.free.fr/squid/squid.htm</a>, j'ai rajouté mon réseau local, et j'ai rajouté sur mon firewall iptables -A OUTPUT -o $IFRED -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $IFRED -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -i $IFGREEN -p tcp --dport 80 -j DNAT --to-destination $IP_GREEN:3128 Et impossible d'accéder au net dès postes clients. Moi aussi, je voudrais bien un coup de main.

par **targa** » 11 Juil 2003 18:25

J'ai trouvé le problème pour Squid. Les règles que j'ai ajouté on l'air de fonctionner. Il faut préciser à squid qu'il travaille comme un proxy transparent. Si tu le configures dans le fichier squid.conf tu rajoutes ca a la fin httpd_accel_with_proxy on httpd_accel_uses_host_header on httpd_accel_host virtual httpd_accel_port 80 Sinon dans webmin ces options se trouvent dans options diverses, tu coches les mêmes options et tu rajoutes le port 80. Voili voilou Bon week end

par **Breizh-Tux** » 11 Juil 2003 18:40

Ces modifs n'ont rien changer... En fait si grace à ces règle j'ai plus le surf ... donc pour moi c'était pas ça, c cool j'ai tout le we pour plancher ... <IMG SRC="images/smiles/icon_biggrin.gif"> YannicK

par **jdh** » 11 Juil 2003 21:33

En lisant ces posts, on peut se poser la question : squid marche-t-il ? Ce n'est pas parce que il y a 2 (ou +) jobs dans un "ps fax" que squid marche ! Surtout quand il y a des règles iptables qui trainent ! L'indication serait plutot de voir si le log (d'activité) de squid se remplit. En local, il est peut-être possible de tester à l'aide de wget. Du réseau local, je configurerai un PC avec les bonne valeurs de proxy. A la limite le log peut se remplir peut-être sans que la page soit fournie. Je vais tester avec ma passerelle (debian woody 3). Rdv dans quelques heures .... NB: concernant les règles iptables, qu'utilises tu ? j'utilise personnellement "shorewall" qui est (très) simple à utiliser et qui génère des règles très propres. Le redirect y est décrit !

par **jdh** » 11 Juil 2003 23:26

Ca marche !!! Le plus long est de faire marcher Squid ! Un document de référence : <A HREF="http://squid.visolve.com/white_papers/trans_caching.htm" TARGET="_blank">http://squid.visolve.com/white_papers/trans_caching.htm</A> Ma config : - une passerelle de base avec eth0 -> dhcp @, eth1 -> local : 10.10.10.0/24 - Debian Woody 3.0 mi stable/testing - Squid 2.5 (testing) - iptables : shorewall Quelques éléments : * /etc/squid.conf : tag acl : acl maison src 10.10.10.0/255.255.255.0 (~ligne 1700) tag http_access : http_access allow maison (~ ligne 1740) tag visible_hostname : visible_hostname fw.xxxx.dyndns.org (~ligne 1960) (fqdn) tag http_accel : (comme indiqué par "targa" et dans l'url) httpd_accel_host virtual (~ligne 2050) httpd_accel_port 80 httpd_accel_with_proxy on (~ ligne 2080) httpd_accel_uses_host_header on (~ ligne 2100) * créer le cache par squid -z (n'avais pas marché après le apt-get à cause de l'absence du fqdn de la passerelle) * iptables : (toujours comme a dit "targa") -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128 -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128 * vérification de fonctionnement : tail -f /var/log/squid/access.log Pour moi ça marche ...

par **Breizh-Tux** » 12 Juil 2003 11:57

Connaissez-vous le paquet ipmasq fourni avec debian stable ? Il permet le masquerading comme son nom l'indique, on peux lui ajouter des règles pour renforcer la sécurité du masquerading ... Je l'ai installé pour tester et je me demande si mes soucis ne viennent pas de lui ... Je vais essayer de le désinstaller et voir le résultat ... <IMG SRC="images/smiles/icon_biggrin.gif"> YannicK

par **jdh** » 12 Juil 2003 13:29

Ce packet semble le résultat du travail personnel de Brian Basset (développeur Debian). A mon sens, il s'agit d'un ensemble assez minimal pour faire (et controler) le NAT nécessaire pour un réseau interne privé connecté à Internet par une passerelle. Il s'agit d'un ensemble toutefois assez interessant : notions de règles spécifiques pour certains usages. Cela reste un packet un peu ancien (v 3.4.4 fevrier 2000 ! maintenant v3.5.12). Aujourd'hui, je pense que Shorewall est un packet (plus) interessant pour un firewall/passerelle. C'est la suite de Seawall (pour ipchains). L'ensemble semble le travail d'une petite équipe (autour de Tom Eastep). Les news montrent un niveau d'activité assez fort : nombreuses évolutions de versions. Le but semble d'intégrer de nombreuses technologies (Trafic shaping avec TC, Load balancing, ...). Par ailleurs, c'est le firewall des Mandrake 9 (il me semble). J'ai installé en production 2 serveurs avec Shorewall. Je suis vraiment séduit par la simplicité de mise en oeuvre et la qualité des règles iptables produites. NB: J'ai retiré la redirection de ftp au travers de Squid : ça marche pas ! URL : <A HREF="http://www.shorewall.net/" TARGET="_blank">http://www.shorewall.net/</A>

par **Breizh-Tux** » 13 Juil 2003 18:48

Quelque snouvelles de mon SQUID de m****e , pardon ... Alors comme prévu jdh tu as raison deux process tournent mais squid ne dait rien . 2 lignes de connections refusées apres un : $tail /var/log/squid/access.log voici mon iptables -L : Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:ssh ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:ssh ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:10000 ACCEPT all -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination et un iptables -t nat -L : Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 anywhere MASQUERADE all -- 192.168.0.0/24 anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Lorsque je configure mes poste client en connexionn directe je surfe tjrs sur le net et en lui indiquant 192.168.0.2:3128 l'add du proxy:port, ça marche aussi , je commence à sécher et ça vient pas que du soleil ... Des idées pour mon souci ??? Merci <IMG SRC="images/smiles/icon_biggrin.gif"> YannicK

par **jdh** » 13 Juil 2003 18:55

Salut Yannick, Sans aucune regles iptables (iptables -F; iptables -X; iptables -P INPUT ACCEPT; ...) que ce passe-t-il ? Quand j'ai testé sur ma machine, sur une autre session, je faisais un tcpdump -ln -X -i eth1 'not port 22' | tee a1 pour voir ce qu'il se passe. J'ai commencé par les réglages avec proxy (au niveau IE et dans squid.conf : ligne http_accell ...) Je suis en ligne ce soir et demain, alors n'hésites pas ...

par **jdh** » 13 Juil 2003 21:32

Yannick, En (re)lisant tes règles iptables, il me semble que tu n'autorises pas en INPUT le port 3128 ce qui ... risque d'empecher l'accès à Squid. iptables -A INPUT -s 192.168.0.0/24 -dport 3128 -j ACCEPT As-tu vérifié que le cache a bien été créé (squid -z -> /var/spool/squid/*) ? Dans le cas contraire, tu dois avoir un message d'erreur dans /var/log/messages genre "child process exited due to signal 6" avec arret des jobs squid. La trace tcpdump aide bien a démeler la situation. A +

SQUID et masquerading ???

Qui est en ligne ?