Signaler

Proxy Squid3 + Squidguard

Posez votre question LuckyLuck45100 - Dernière réponse le 23 juin 2017 à 14:49 par barnabe0057
Bonjour à tous,
Je rencontre un souçis avec mon proxy ( maquettage sur VMware )
Alors voilà j'ai un serveur w2012r2 en 192.168.54.110 GW : 192.168.54.254
DHCP ...
  • Il a bien accès à internet --Je ping mon client


J'ai donc un client w7 en
192.168.54.10 GW : 192.168.54.254
  • Je ping bien mon serveur **Tout deux ont accès à internet et mon client est intégré au domaine du serveur


J'ai ensuite une machine debian ou j'ai installé et configurer Squid3 et SquidGuard avec la blacklist de toulouse et la compilation de la base c'est correctement effectué
Conf Debian :
#eth0
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 192.168.170.120
netmask 255.255.255.0
network 192.168.170.0
broadcast 192.168.170.255
gateway 192.168.170.1

#eth1
auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.170.195
netmask 255.255.255.0
network 192.168.170.0
broadcast 192.168.170.255
  • Dans mon client7 en @Proxy sur chrome j'ai mis 192.168.170.195 port 3128 et aucune connexion a internet :/




Merci à vous de m'apporter votre aide, même moindre.
Afficher la suite 
Utile
+0
plus moins
Bonjour,

Est-ce que tu as configuré le pare-feu de ta machine proxy pour autoriser les requêtes entrantes sur le port 3128 ?
Donnez votre avis
Utile
+0
plus moins
Bonjour,
tout d'abord merci de ta réponse, non pas du tout mon serveur debian ne fait pas parefeu ? je n'ai rien activité pour je crois bien .. :x

J'ai modifié la carte ETH1 de mon debian deja j'ai mis :
addr 192.168.54.254
netmask 255.255.255.0
network 192.168.54.0
broadcast 192.168.54.255
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 16 juin 2017 à 12:08
On va vérifier les règles de pare-feu, tape ceci dans une console :
iptables -L
Répondre
Donnez votre avis
Utile
+0
plus moins
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



Voilà ce que j'ai avec ta commande !
  • J'ai installé paping sur mon client7 pour tester de ping le port 3128 et il le ping correctement.


LE serveur et le client7 sont dans le même réseau local, sauf que je passe par le routeur pour sortir ( il ne fait pas encore Firewall, il na pas été configuré pour )

Merci à toi !
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 16 juin 2017 à 12:19
Ok il n'est pas configuré donc il accepte tout.
Répondre
Donnez votre avis
Utile
+0
plus moins
On va vérifier si Squid est bien en écoute sur le port 3128 :
netstat -tlunp | grep squid



“L'intelligence artificielle se définit comme le contraire de la bêtise naturelle.”
Donnez votre avis
Utile
+0
plus moins
tcp 0 0:::3128 :::* LISTEN 4670/(squid)
udp 0 0 0.0.0.0:38008 0.0.0.0:* 4670/(squid)
udp6 0 0:::55921 :::* 4670/(squid)

Donc je pense il est bien en écoute sur le port 3128.

Merci à toi de consacrer du temps à m'aider.
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 16 juin 2017 à 12:43
Tout est ok de ce côté.
Répondre
LuckyLuck45100- 16 juin 2017 à 12:46
Oui, sachant dans le proxy de mon navigateur du client7 j'ai bien accès à internet j'ai mis 192.168.54.254 port 3128
Je penche pour un soucis de mon fichier de conf squid ;x
Répondre
Donnez votre avis
Utile
+0
plus moins
Que retourne cette commande ?
./squid -k parse



zipe31 34665Messages postés dimanche 7 novembre 2010Date d'inscription ContributeurStatut 21 juin 2017 Dernière intervention - 16 juin 2017 à 15:08
Salut,

Installe pastebinit (
apt-get install pastebinit
), puis une fois installé :
pastebinit /etc/squid3/squid.conf
et donnes-nous le lien qui sera affiché dans le terminal.
Répondre
zipe31 34665Messages postés dimanche 7 novembre 2010Date d'inscription ContributeurStatut 21 juin 2017 Dernière intervention - 16 juin 2017 à 16:43
Oups ;-((

Petite erreur dans la commande, c'est
pastebin /etc/squid3/squid.conf
désolé ;-(

Salut barnabe0057 ;-)
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention LuckyLuck45100 - 16 juin 2017 à 16:11
quand on prend par SSH on ne peux pas copier
==>> je ne te l'aurais pas demandé si ce n'était pas possible

slt zipe31
Répondre
LuckyLuck45100- 19 juin 2017 à 10:20
Merci à vous pour votre aide ( zipe pour la cmd ) et excusez pour absentéisme ce week-end je n'étais pas chez moi.
Non barnabe ce que je voulais dire c'est que je ne SAIS pas copier du moins :/
Voilà le lien : paste.debian.net/972145
Merci !
Répondre
UnGnU 469Messages postés lundi 2 mai 2016Date d'inscription 22 juin 2017 Dernière intervention - 19 juin 2017 à 10:58
Salut,

Comme un fichier de 4000 lignes est assez imbuvable, voici juste les lignes numérotées qui servent réellement dans le fichier :

     1  acl allowedips src 192.168.54.0/24
2 acl manager proto cache_object
3 acl localhost src 127.0.0.1/32 ::1
4 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
15 acl SSL_ports port 443
16 acl Safe_ports port 80 # http
17 acl Safe_ports port 21 # ftp
18 acl Safe_ports port 443 # https
19 acl Safe_ports port 70 # gopher
20 acl Safe_ports port 210 # wais
21 acl Safe_ports port 1025-65535 # unregistered ports
22 acl Safe_ports port 280 # http-mgmt
23 acl Safe_ports port 488 # gss-http
24 acl Safe_ports port 591 # filemaker
25 acl Safe_ports port 777 # multiling http
26 acl CONNECT method CONNECT
32 http_access allow manager localhost
33 http_access deny manager
36 http_access deny !Safe_ports
39 http_access deny CONNECT !SSL_ports
48 http_access allow allowedips
50 http_access allow localhost
174 http_port 3128
705 cache_store_log /var/log/squid3/store.log
879 cache_log /var/log/squid3/cache.log
884 cache_access_log /var/log/squid3/access.log
913 coredump_dir /var/spool/squid3
1082 url_rewrite_program /usr/bin/squidGuard -C /etc/squid3/squidGuard.conf
1261 refresh_pattern ^ftp: 1440 20% 10080
1262 refresh_pattern ^gopher: 1440 0% 1440
1263 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
1264 refresh_pattern . 0 20% 4320
1894 visible_hostname proxyag
2764 error_directory /usr/share/squid3/errors/French
3687 forwarded_for off
3931 acl liste_url dstdomain "/etc/squid3/liste-sites.txt"
3932 http_access deny liste_url
Répondre
Donnez votre avis
Utile
+0
plus moins
ahah! merci bien d'avoir éclairci la conf ^^
Désolé juste je voulais le donner comme je l'avais pour éviter les erreurs de ma part.
LuckyLuck45100- 19 juin 2017 à 13:08
Pensez-vous que cela peux venir de mes IPTABLE qui bloque l'accès ?
Répondre
UnGnU 469Messages postés lundi 2 mai 2016Date d'inscription 22 juin 2017 Dernière intervention - 19 juin 2017 à 13:09
Non ;-)
Répondre
Donnez votre avis
Utile
+0
plus moins
Bonjour,

Pour éviter que Squid ne démarre en root, il faut créer un groupe squid et un utilisateur squid :
groupadd squid
useradd squid -g squid -d /usr/local/squid -s /sbin/nologin

Ensuite il faut les déclarer dans le fichier de conf à l'aide de ces directives :
cache_effective_user squid
cache_effective_group squid

Ensuite il faut modifier les permissions des répertoires où l'utilisateur squid doit venir écrire :
chown squid:squid /var/spool/squid3
chown squid:squid /var/log/squid3
chmod -R 700 /var/log/squid3

On va quand même ajouter une règle iptables pour accepter les connexions entrantes sur le port 3128 :
iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT


“L'intelligence artificielle se définit comme le contraire de la bêtise naturelle.”
Donnez votre avis
Utile
+0
plus moins
Pour l'instant ton proxy ne fait pas office de cache, est-ce que c'est volontaire ou pas ?
LuckyLuck45100- 19 juin 2017 à 15:35
Euh.. j'ai allégé mon fichier conf j'ai repris celui UnGnu avait mis la haut, je reprend mon ancien ? ( je lai mis de coté )

Et aussi coté client par contre je n'ai plus du tout accès à internet avec le proxy rentré dans mon navigateur mdr ^^

En tout cas, j'ai rentré ce que tu m'as dit avant la ligne 913 dans le fichier allégé et en restart encore une erreur
https://www.noelshack.com/2017-25-1-1497879513-2017-06-19-15h38-12.png
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 19 juin 2017 à 15:48
Rajoute cette directive entre cache_dir ufs et coredump_dir :
cache_mem 64 MB


Je suis en train de voir pour l'autre erreur concernant les permissions.
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 19 juin 2017 à 16:00
Le temps de tester on va donner des permissions larges sur le dossier des logs :
chmod -R 777 /var/log/squid3

Tu ne devrais plus avoir de messages d'erreur au lancement de Squid.
Répondre
LuckyLuck45100- 19 juin 2017 à 16:21
Après le restart :

WARNING: No units on 'cache_mem 64MB ', assuming 64.00 bytes

toujours pas :(

qu'est-ce que cela signifie ?

Je devrais plutot mettre un cache de 16MB plutot non ?

Edit: autant pour moi je suis un boulet sa a reboot.
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 19 juin 2017 à 16:32
Je ne sais pas, je cherche.

Essaie de rajouter cette directive :
range_offset_limit 100 KB

Dis-moi si c'est mieux ou pas.
Répondre
Donnez votre avis
Utile
+0
plus moins
C'est de ma faute, sa j'avais oublié de mettre un espace sa a redémarré correctement, par contre côté client j'ai bien recuperé laccès internet mais les sites tels que You....Tube fonctionne toujours.
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 19 juin 2017 à 16:52
Sur ton client windows, est-ce que tu as pensé à effacer le cache DNS ?
ipconfig /flushdns
Répondre
Donnez votre avis
Utile
+0
plus moins
Plus de nouvelles ?

Je suppose que ça fonctionne alors.
LuckyLuck45100- 19 juin 2017 à 22:51
désolé bernabe, j'ai pris la route de mon boulot à chez moi et je suis rentré chez moi que à l'instant !
Je test ça ( je voie en principe tes msg de 9h a 17h ) :/ Désolé !
Avec l'aide que tu m'apporte j'aurai du te prévenir avant je m'en excuse !
C'est que je test ça en parrallèle au boulot quand je ne suis pas appeler ( je suis apprenti )
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 19 juin 2017 à 22:57
Pas grave, je comprend.

Bonne nuit à demain.
Répondre
LuckyLuck45100- 19 juin 2017 à 23:07
Bon, je rencontre un souçis stupide .. Permission non accordé quand je restart le /etc/network/interfaces ( j'ai changé IP car au boulot je suis en 170.x chez moi non )
Cela doit être du a la commande chown que tu m'a fait executer mais sa m'étonne que ça ai influé la dessus, si au passage tu peux me dire pourquoi !
Je te remercie encore.
Répondre
Donnez votre avis
Utile
+0
plus moins
Bonjour à toi !

Désolé pour hier soir, j'avais tout de même essayé mais sans succès!

Pour ce matin j'ai donc vidé le cache DNS et cela ne change rien, j'ai toujours accès aux sites censé être interdit.
Donnez votre avis
Utile
+0
plus moins
Pas de solution ? :/
LuckyLuck45100- 20 juin 2017 à 15:28
J'ai l'air de l'avoir :x

https://www.noelshack.com/2017-25-2-1497965298-2017-06-20-15h28-11.png
Répondre
LuckyLuck45100- 20 juin 2017 à 15:56
Tu sèche également ? :p
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 20 juin 2017 à 15:59
Oui je reprendrai ce soir, je dois m'occuper de quelque chose d'important.
Répondre
LuckyLuck45100- 20 juin 2017 à 16:00
Aucun problème, je te remercie en tout cas! Tiens moi au jus ! Bon courage!
Répondre
LuckyLuck45100- 20 juin 2017 à 16:31
Si je met http_access deny all en premier sa bloque bien l'accès à internet sur mon poste client donc cela doit venir plutot de mon squidguard non ?
Répondre
Donnez votre avis
Utile
+0
plus moins
Bonjour bernabe,
je reviens vers toi pour savoir si au moins pourrais-tu m'indiquer comment retrouver les droits pour editer mes cartes Eth car quand je veux modifier ils me disent permission non accordée.

Cordialement
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 22 juin 2017 à 12:04
Bonjour, je ne crois pas du tout que ça a un rapport avec les permissions qu'on a changé.

Je te suggère de couper Squid avant de modifier tes paramètres réseau.
Répondre
LuckyLuck45100- 23 juin 2017 à 12:01
Salut !
Non, c'est du au modification des droits car la veille j'avais modifier l'IP justement.
Et quand chez moi j'ai essayé de reprendre impossible de modifier.
Répondre
barnabe0057 11018Messages postés lundi 2 mars 2009Date d'inscription ContributeurStatut 23 juin 2017 Dernière intervention - 23 juin 2017 à 14:49
chown root:root /var/spool/squid3
chown root:root /var/log/squid3
chmod -R 755 /var/log/squid3
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !