Proxy Squid3 + Squidguard

LuckyLuck45100 - 16 juin 2017 à 11:01 - Dernière réponse : barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention
- 23 juin 2017 à 14:49
Bonjour à tous,
Je rencontre un souçis avec mon proxy ( maquettage sur VMware )
Alors voilà j'ai un serveur w2012r2 en 192.168.54.110 GW : 192.168.54.254
DHCP ...
  • Il a bien accès à internet --Je ping mon client


J'ai donc un client w7 en
192.168.54.10 GW : 192.168.54.254
  • Je ping bien mon serveur **Tout deux ont accès à internet et mon client est intégré au domaine du serveur


J'ai ensuite une machine debian ou j'ai installé et configurer Squid3 et SquidGuard avec la blacklist de toulouse et la compilation de la base c'est correctement effectué
Conf Debian :
#eth0
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 192.168.170.120
netmask 255.255.255.0
network 192.168.170.0
broadcast 192.168.170.255
gateway 192.168.170.1

#eth1
auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.170.195
netmask 255.255.255.0
network 192.168.170.0
broadcast 192.168.170.255
  • Dans mon client7 en @Proxy sur chrome j'ai mis 192.168.170.195 port 3128 et aucune connexion a internet :/




Merci à vous de m'apporter votre aide, même moindre.
Afficher la suite 

62 réponses

Répondre au sujet
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 11:08
0
Utile
Bonjour,

Est-ce que tu as configuré le pare-feu de ta machine proxy pour autoriser les requêtes entrantes sur le port 3128 ?
Commenter la réponse de barnabe0057
LuckyLuck45100 - 16 juin 2017 à 11:44
0
Utile
1
Bonjour,
tout d'abord merci de ta réponse, non pas du tout mon serveur debian ne fait pas parefeu ? je n'ai rien activité pour je crois bien .. :x

J'ai modifié la carte ETH1 de mon debian deja j'ai mis :
addr 192.168.54.254
netmask 255.255.255.0
network 192.168.54.0
broadcast 192.168.54.255
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 12:08
On va vérifier les règles de pare-feu, tape ceci dans une console :
iptables -L
Commenter la réponse de LuckyLuck45100
LuckyLuck45100 - 16 juin 2017 à 12:17
0
Utile
1
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



Voilà ce que j'ai avec ta commande !
  • J'ai installé paping sur mon client7 pour tester de ping le port 3128 et il le ping correctement.


LE serveur et le client7 sont dans le même réseau local, sauf que je passe par le routeur pour sortir ( il ne fait pas encore Firewall, il na pas été configuré pour )

Merci à toi !
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 12:19
Ok il n'est pas configuré donc il accepte tout.
Commenter la réponse de LuckyLuck45100
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - Modifié par barnabe0057 le 16/06/2017 à 12:24
0
Utile
On va vérifier si Squid est bien en écoute sur le port 3128 :
netstat -tlunp | grep squid



“L'intelligence artificielle se définit comme le contraire de la bêtise naturelle.”
Commenter la réponse de barnabe0057
LuckyLuck45100 - 16 juin 2017 à 12:34
0
Utile
2
tcp 0 0:::3128 :::* LISTEN 4670/(squid)
udp 0 0 0.0.0.0:38008 0.0.0.0:* 4670/(squid)
udp6 0 0:::55921 :::* 4670/(squid)

Donc je pense il est bien en écoute sur le port 3128.

Merci à toi de consacrer du temps à m'aider.
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 12:43
Tout est ok de ce côté.
LuckyLuck45100 - 16 juin 2017 à 12:46
Oui, sachant dans le proxy de mon navigateur du client7 j'ai bien accès à internet j'ai mis 192.168.54.254 port 3128
Je penche pour un soucis de mon fichier de conf squid ;x
Commenter la réponse de LuckyLuck45100
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 12:52
0
Utile
11
Que retourne cette commande ?
./squid -k parse



zipe31 35174 Messages postés dimanche 7 novembre 2010Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 16 juin 2017 à 15:08
Salut,

Installe pastebinit (
apt-get install pastebinit
), puis une fois installé :
pastebinit /etc/squid3/squid.conf
et donnes-nous le lien qui sera affiché dans le terminal.
zipe31 35174 Messages postés dimanche 7 novembre 2010Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > zipe31 35174 Messages postés dimanche 7 novembre 2010Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 16 juin 2017 à 16:43
Oups ;-((

Petite erreur dans la commande, c'est
pastebin /etc/squid3/squid.conf
désolé ;-(

Salut barnabe0057 ;-)
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 16 juin 2017 à 16:11
quand on prend par SSH on ne peux pas copier
==>> je ne te l'aurais pas demandé si ce n'était pas possible

slt zipe31
LuckyLuck45100 - 19 juin 2017 à 10:20
Merci à vous pour votre aide ( zipe pour la cmd ) et excusez pour absentéisme ce week-end je n'étais pas chez moi.
Non barnabe ce que je voulais dire c'est que je ne SAIS pas copier du moins :/
Voilà le lien : paste.debian.net/972145
Merci !
UnGnU 611 Messages postés lundi 2 mai 2016Date d'inscription 12 décembre 2017 Dernière intervention > LuckyLuck45100 - 19 juin 2017 à 10:58
Salut,

Comme un fichier de 4000 lignes est assez imbuvable, voici juste les lignes numérotées qui servent réellement dans le fichier :

     1  acl allowedips src 192.168.54.0/24
2 acl manager proto cache_object
3 acl localhost src 127.0.0.1/32 ::1
4 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
15 acl SSL_ports port 443
16 acl Safe_ports port 80 # http
17 acl Safe_ports port 21 # ftp
18 acl Safe_ports port 443 # https
19 acl Safe_ports port 70 # gopher
20 acl Safe_ports port 210 # wais
21 acl Safe_ports port 1025-65535 # unregistered ports
22 acl Safe_ports port 280 # http-mgmt
23 acl Safe_ports port 488 # gss-http
24 acl Safe_ports port 591 # filemaker
25 acl Safe_ports port 777 # multiling http
26 acl CONNECT method CONNECT
32 http_access allow manager localhost
33 http_access deny manager
36 http_access deny !Safe_ports
39 http_access deny CONNECT !SSL_ports
48 http_access allow allowedips
50 http_access allow localhost
174 http_port 3128
705 cache_store_log /var/log/squid3/store.log
879 cache_log /var/log/squid3/cache.log
884 cache_access_log /var/log/squid3/access.log
913 coredump_dir /var/spool/squid3
1082 url_rewrite_program /usr/bin/squidGuard -C /etc/squid3/squidGuard.conf
1261 refresh_pattern ^ftp: 1440 20% 10080
1262 refresh_pattern ^gopher: 1440 0% 1440
1263 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
1264 refresh_pattern . 0 20% 4320
1894 visible_hostname proxyag
2764 error_directory /usr/share/squid3/errors/French
3687 forwarded_for off
3931 acl liste_url dstdomain "/etc/squid3/liste-sites.txt"
3932 http_access deny liste_url
Commenter la réponse de barnabe0057
LuckyLuck45100 - 19 juin 2017 à 11:13
0
Utile
2
ahah! merci bien d'avoir éclairci la conf ^^
Désolé juste je voulais le donner comme je l'avais pour éviter les erreurs de ma part.
LuckyLuck45100 - 19 juin 2017 à 13:08
Pensez-vous que cela peux venir de mes IPTABLE qui bloque l'accès ?
UnGnU 611 Messages postés lundi 2 mai 2016Date d'inscription 12 décembre 2017 Dernière intervention > LuckyLuck45100 - 19 juin 2017 à 13:09
Non ;-)
Commenter la réponse de LuckyLuck45100
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - Modifié par barnabe0057 le 19/06/2017 à 14:40
0
Utile
Bonjour,

Pour éviter que Squid ne démarre en root, il faut créer un groupe squid et un utilisateur squid :
groupadd squid
useradd squid -g squid -d /usr/local/squid -s /sbin/nologin

Ensuite il faut les déclarer dans le fichier de conf à l'aide de ces directives :
cache_effective_user squid
cache_effective_group squid

Ensuite il faut modifier les permissions des répertoires où l'utilisateur squid doit venir écrire :
chown squid:squid /var/spool/squid3
chown squid:squid /var/log/squid3
chmod -R 700 /var/log/squid3

On va quand même ajouter une règle iptables pour accepter les connexions entrantes sur le port 3128 :
iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT


“L'intelligence artificielle se définit comme le contraire de la bêtise naturelle.”
Commenter la réponse de barnabe0057
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 19 juin 2017 à 14:47
0
Utile
7
Pour l'instant ton proxy ne fait pas office de cache, est-ce que c'est volontaire ou pas ?
LuckyLuck45100 - 19 juin 2017 à 15:35
Euh.. j'ai allégé mon fichier conf j'ai repris celui UnGnu avait mis la haut, je reprend mon ancien ? ( je lai mis de coté )

Et aussi coté client par contre je n'ai plus du tout accès à internet avec le proxy rentré dans mon navigateur mdr ^^

En tout cas, j'ai rentré ce que tu m'as dit avant la ligne 913 dans le fichier allégé et en restart encore une erreur
https://www.noelshack.com/2017-25-1-1497879513-2017-06-19-15h38-12.png
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 19 juin 2017 à 15:48
Rajoute cette directive entre cache_dir ufs et coredump_dir :
cache_mem 64 MB


Je suis en train de voir pour l'autre erreur concernant les permissions.
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 19 juin 2017 à 16:00
Le temps de tester on va donner des permissions larges sur le dossier des logs :
chmod -R 777 /var/log/squid3

Tu ne devrais plus avoir de messages d'erreur au lancement de Squid.
LuckyLuck45100 > barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 19 juin 2017 à 16:21
Après le restart :

WARNING: No units on 'cache_mem 64MB ', assuming 64.00 bytes

toujours pas :(

qu'est-ce que cela signifie ?

Je devrais plutot mettre un cache de 16MB plutot non ?

Edit: autant pour moi je suis un boulet sa a reboot.
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 19 juin 2017 à 16:32
Je ne sais pas, je cherche.

Essaie de rajouter cette directive :
range_offset_limit 100 KB

Dis-moi si c'est mieux ou pas.
Commenter la réponse de barnabe0057
LuckyLuck45100 - 19 juin 2017 à 16:47
0
Utile
1
C'est de ma faute, sa j'avais oublié de mettre un espace sa a redémarré correctement, par contre côté client j'ai bien recuperé laccès internet mais les sites tels que You....Tube fonctionne toujours.
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 19 juin 2017 à 16:52
Sur ton client windows, est-ce que tu as pensé à effacer le cache DNS ?
ipconfig /flushdns
Commenter la réponse de LuckyLuck45100
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 19 juin 2017 à 21:07
0
Utile
3
Plus de nouvelles ?

Je suppose que ça fonctionne alors.
LuckyLuck45100 - 19 juin 2017 à 22:51
désolé bernabe, j'ai pris la route de mon boulot à chez moi et je suis rentré chez moi que à l'instant !
Je test ça ( je voie en principe tes msg de 9h a 17h ) :/ Désolé !
Avec l'aide que tu m'apporte j'aurai du te prévenir avant je m'en excuse !
C'est que je test ça en parrallèle au boulot quand je ne suis pas appeler ( je suis apprenti )
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 19 juin 2017 à 22:57
Pas grave, je comprend.

Bonne nuit à demain.
LuckyLuck45100 - 19 juin 2017 à 23:07
Bon, je rencontre un souçis stupide .. Permission non accordé quand je restart le /etc/network/interfaces ( j'ai changé IP car au boulot je suis en 170.x chez moi non )
Cela doit être du a la commande chown que tu m'a fait executer mais sa m'étonne que ça ai influé la dessus, si au passage tu peux me dire pourquoi !
Je te remercie encore.
Commenter la réponse de barnabe0057
LuckyLuck45100 - 20 juin 2017 à 09:47
0
Utile
Bonjour à toi !

Désolé pour hier soir, j'avais tout de même essayé mais sans succès!

Pour ce matin j'ai donc vidé le cache DNS et cela ne change rien, j'ai toujours accès aux sites censé être interdit.
Commenter la réponse de LuckyLuck45100
LuckyLuck45100 - 20 juin 2017 à 13:56
0
Utile
17
Pas de solution ? :/
LuckyLuck45100 - 20 juin 2017 à 15:28
J'ai l'air de l'avoir :x

https://www.noelshack.com/2017-25-2-1497965298-2017-06-20-15h28-11.png
LuckyLuck45100 > LuckyLuck45100 - 20 juin 2017 à 15:56
Tu sèche également ? :p
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 20 juin 2017 à 15:59
Oui je reprendrai ce soir, je dois m'occuper de quelque chose d'important.
LuckyLuck45100 > barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 20 juin 2017 à 16:00
Aucun problème, je te remercie en tout cas! Tiens moi au jus ! Bon courage!
LuckyLuck45100 - 20 juin 2017 à 16:31
Si je met http_access deny all en premier sa bloque bien l'accès à internet sur mon poste client donc cela doit venir plutot de mon squidguard non ?
Commenter la réponse de LuckyLuck45100
LuckyLuck45100 - 22 juin 2017 à 09:58
0
Utile
3
Bonjour bernabe,
je reviens vers toi pour savoir si au moins pourrais-tu m'indiquer comment retrouver les droits pour editer mes cartes Eth car quand je veux modifier ils me disent permission non accordée.

Cordialement
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention - 22 juin 2017 à 12:04
Bonjour, je ne crois pas du tout que ça a un rapport avec les permissions qu'on a changé.

Je te suggère de couper Squid avant de modifier tes paramètres réseau.
LuckyLuck45100 - 23 juin 2017 à 12:01
Salut !
Non, c'est du au modification des droits car la veille j'avais modifier l'IP justement.
Et quand chez moi j'ai essayé de reprendre impossible de modifier.
barnabe0057 11656 Messages postés lundi 2 mars 2009Date d'inscriptionContributeurStatut 11 décembre 2017 Dernière intervention > LuckyLuck45100 - 23 juin 2017 à 14:49
chown root:root /var/spool/squid3
chown root:root /var/log/squid3
chmod -R 755 /var/log/squid3
Commenter la réponse de LuckyLuck45100