Ubuntu-fr

greg18500

Configuration serveur DHCP et SQUID (2 cartes réseau)

bonjour,
Je vous sollicite pour m'aider à terminer la configuration de mon proxy transparent sous squid.
Ce serveur (son nom : proxy) fait également office de DHCP

Voici ma configuration

Connection filaire 1 (nom : enp2s0) , ip fixe en 192.168.1.100, relié à une box qui est en 192.168.1.1
Passerelle et dns configurés en dur en 192.168.1.1

Connection filaire 2 (nom : enp3s4) , ip fixe en 192.168.0.100, relié à un switch (avec les autres pc du lan)
Pas de passerelle ni de dns de renseigné.

Masque de sous réseau pour les 2 connections : 255.255.255.0

Donc : switch -> enp3s4 -> proxy -> enp2s0 -> box

Voici la configuration du dhcp (contenu de /etc/dhcp/dhcpd.conf):

authoritative;
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.100;
option domain-name-servers 192.168.0.100;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.50 192.168.0.99;
}

Le serveur dhcp fonctionne correctement à priori.

J'ai ensuite installé squid, voici la configuration de squid.conf

visible_hostname proxy
http_port 3128 transparent
http_port 192.168.0.100:3128
acl lan src 192.168.0.0/255.255.255.0
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 21
http_access allow lan
cache_dir ufs /var/spool/squid 100000 16 256

A ce stade première question : mes 2 fichiers de conf sont'ils complet, ou auriez vous des suggestions d'amélioration ?

Ensuite 2ème question, mon blocage....
Je pense qu'il faut que je fasse maintenant une règle iptable pour rediriger les ports 80,443 et 21 de ma carte enp3s4 vers squid,
une règle pour lui dire de sortir vers le web par la carte enp2s0 s'il n'a pas en cache
et donc rediriger le retour du web vers le lan ...

Je ne comprends pas beaucoup l'anglais, et je suis perdu parmi le nombre de forum que j'ai visité..
Surtout que je pense que la plupart du temps, c'est en configuration 1 carte réseau ..

Merci de m'apporter votre aide pour finir ma configuration.
Bonne journée.

alexandre958

Re : Configuration serveur DHCP et SQUID (2 cartes réseau)

Salut, tes script me semble vraiment bien configuré à moins d'une faut que j'ignore ( on est jamais à l'abri).

pour ce qui est de la redirection, ne t'inquiet pas c'est justement squid qui va le faire. il va recevoir des requêtes  sur le port 3128 de la carte qui possède l'ip: 192.168.0.100, et va rediriger ces requêtes vers internet en utilisant la configuration du serveur donc la passerelle et le DNS que tu as mit en dur sur le serveur lui-même.

iptables, va te servir à protéger tes redirection, CAD: si quelqu'un parvient par un moyen obscure à utiliser ton proxy pour un autre port que 21, 443 ou 80 alors iptables peut le bloquer avec un règle, c'est une sécurité à prendre mais iptables ne fait que du filtrage, il regarde tout les paquet et dit simplement oui ou non.

pour t'aider je te conseil de ne pas activer ton DHCP, te brancher une machine sur ton réseau 192.168.0.0 et de mettre simplement une adresse ip sur la machine et un masque sous-réseau, pas de passerelle, pas de DNS et tu configure ton proxy dans le navigateur web pour qu'il utilise ton proxy: 192.168.0.100:3128. et test voir si ca fonctionne.

Dernière modification par alexandre958 (Le 10/07/2016, à 22:23)

---

May the 4th be with you

greg18500

Re : Configuration serveur DHCP et SQUID (2 cartes réseau)

Bonjour,
Suite à différent tests je pense être arrivé à ce que je cherchais :
1ère modif :
Dans mon fichier de configuration du DHCP j'ai modifié le dns pour mettre celui de ma box
-> option routers 192.168.0.100; changé en option routers 192.168.1.1;

ensuite j'ai spécifié la carte découte pour le dhcp :
gedit /etc/default/isc-dhcp-server
INTERFACES="enp3s4"

Ensuite j'ai activé le routage :
gedit /etc/sysctl.conf
-> decommentez (en elevant le # en début de ligne)
net.ipv4.ip_forward=1
-> Activez par
sysctl -p

Ensuite j'ai créé la règle iptables:
Masquerade permet de gérer correctement les "routes" de renvoyer à la bonne personne la réponse du serveur

iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE

Mes postes clients accèdent donc à internet sans renseigner le proxy dans le navigateur.
--> Comment vérifier le bon fonctionnement du proxy ? Comment être sur que le cache fonctionne bien ?

Si on fait cette commande :
iptables -t nat -A PREROUTING -i enp3s4 -p tcp --dport 80 -j REDIRECT --to-port 3128

--> dans l'iptables on redirige le port 80 vers le 3128 ...cela veut dire par exemple que le port 21 ne passera pas par le proxy ?
Dans ce cas aucun intéret de le spécifier en "acl Safe_ports port 21" dans le squid.conf ??

Dernière modification par greg18500 (Le 11/07/2016, à 20:31)

alexandre958

Re : Configuration serveur DHCP et SQUID (2 cartes réseau)

Je suis content que tu ais réussi à faire ta réduction mais à mon goût tu as transformer ton ordinateur/serveur en route en autorisant dans qsystctl.conf le forward.
Donc tu n'utilise pas squid. Car il me semble que tu dois préciser squid dans ta liste de Proxy du navigateur ou alors dans le système. Et ta réglé dans iptables te permet de laisser passer les requêtes. Ce sera donc dans iptables. Que tu définit quelles sont les ports autorités à passer. Ce qui est tout aussi bien.

---

May the 4th be with you

greg18500

Re : Configuration serveur DHCP et SQUID (2 cartes réseau)

Effectivement comme tu dis ce que j'ai fait ne me convient pas ..
au final j'ai juste créé une passerelle sans utiliser le squid ...
Et ce que je veux c'est utiliser la fonction de cache du proxy pour les pages web, et limiter la bande passante par poste à 50Ko/s
Question subsidiaire : si on lance un jeux (qui utilise un autre port que le 80 donc), comment faire pour qu'il esquive le squid et sorte sur internet quand même ?

Je vais reprendre mes tests depuis le début à savoir :
-désactiver les iptables
-désactiver le ip_forward
-pour l'instant ne pas mettre en transparent le proxy et vérifier déjà que ça fonctionne en l'indiquant dans le navigateur utilisateur..
Comme tu citais --> pour t'aider je te conseil de ne pas activer ton DHCP, te brancher une machine sur ton réseau 192.168.0.0 et de mettre simplement une adresse ip sur la machine et un masque sous-réseau, pas de passerelle, pas de DNS et tu configure ton proxy dans le navigateur web pour qu'il utilise ton proxy: 192.168.0.100:3128. et test voir si ca fonctionne.

Dernière modification par greg18500 (Le 12/07/2016, à 09:48)