Pages : 1
#1 Le 31/10/2014, à 10:36
- c.guerin
HTTP très lent (IPTABLES-SQUID)
Bonjour tout le monde !
Pour mon entreprise je dois mettre en place un pare-feu (iptables) avec un proxy (squid3) pour la mise en cache.
Le problème viens du fais que les pages HTTP (port 80) sont très lente à arriver, ce qui empêche la mise en place du proxy.
J'ai essayer plusieurs chose, et il n'y a qu'en supprimant la redirection que la connexion internet devient fluide.
Mon IPTABLES :
1 #!/bin/bash
2
3 #Initialisation des variables
4 IF_LAN=eth0
5 IP_LAN=172.16.1.1
6 IP_LAN_NET=172.16.0.0/16
7 IP_LAN_SRVVM=172.16.1.10
8
9 IF_WAN=eth1
10 IP_WAN=192.168.1.9
11 IP_WAN_NET=192.168.1.0/24
12 IP_WAN_BOX=192.168.1.1
13
14 IF_DMZ=eth0
15 IP_DMZ=10.0.0.1
16 IP_DMZ_NET=10.0.0.0/8
17 IP_DMZ_NOVAXEL=172.16.1.2
18
19 #Politique par défaut
20 iptables -P INPUT DROP
21 iptables -P OUTPUT DROP
22 iptables -P FORWARD DROP
23
24 #Redirection vers proxy
25 iptables -t nat -F PREROUTING
26 iptables -t nat -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
27
28 #Translation d'adresse
29 iptables -t nat -A PREROUTING -i $IF_WAN -p tcp --dport 80 -j DNAT --to-destination $IP_DMZ_NOVAXEL
30
31 #NAT pour le LAN
32 iptables -t nat -A POSTROUTING -s $IP_LAN_NET -o $IF_WAN -j MASQUERADE
33
34 #NAT pour la DMZ
35 iptables -t nat -A POSTROUTING -s $IP_DMZ_NET -o $IF_WAN -j MASQUERADE
36
37 #Autorisation connexion déjà établies
38 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
39 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
40 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
41
42 #AUTORISATION DES COMMUNICATIONS
43
44 #Pare-feu => Pare-feu
45 iptables -A INPUT -i lo -j ACCEPT
46 iptables -A OUTPUT -o lo -j ACCEPT
47
48 #Pare-feu => WAN
49 iptables -A OUTPUT -o $IF_WAN -p tcp -j ACCEPT
50
51 #LAN => Pare-feu
52 iptables -A INPUT -i $IF_LAN -s $IP_LAN_NET -p tcp -j ACCEPT
53
54 #LAN => WAN
55 iptables -A FORWARD -i $IF_LAN -p tcp -j ACCEPT
56
57 #DMZ => WAN
58 iptables -A FORWARD -i $IF_DMZ -o $IF_WAN -j ACCEPT
59
60 #WAN => DMZMon squid.conf :
1 #Nom du proxy :
2 visible_hostname SRVPASSERELLE
3
4 #Port du proxy :
5 http_port 172.16.1.1:3128 transparent
6
7 #Règle de filtrage :
8 acl Safe_ports port 21 #FTP
9 acl Safe_ports port 70 #GOPHER
10 acl Safe_ports port 80 #HTTP
11 acl Safe_ports port 210 #WAIS
12 acl Safe_ports port 280 #HTTP-MGMT
13 acl Safe_ports port 443 #HTTPS
14 acl Safe_ports port 488 #GSS-HTTP
15 acl Safe_ports port 563 #SNEWS
16 acl Safe_ports port 591 #FILEMAKER
17 acl Safe_ports port 631 #CUPS
18 acl Safe_ports port 777 #MULTILING HTTP
19 acl Safe_ports port 873 #RSYNC
20 acl Safe_ports port 901 #SWAT
21 acl Safe_ports port 1025-65535 #Autre port
22
23 acl localhost src 127.0.0.1/32 #Autorisation adresse localhost
24 acl LAN src 172.16.0.0/16 #Autorisation adresse LAN
25
26 #Application des Règles (Accord=allow / Refus=deny)
27 http_access allow Safe_ports
28 http_access allow localhost
29 http_access allow LAN
30
31 #Cache
32 cache_dir ufs /var/cache/squid 2048 16 256
33 cache_mem 128 MB
34 maximum_object_size 4000 KBToute réponse est là bien venue, merci d'avance !
Hors ligne
#2 Le 02/11/2014, à 22:35
- tiramiseb
Re : HTTP très lent (IPTABLES-SQUID)
Salut,
Pour le pare-feu, je te conseille d'utiliser Shorewall : pour ce genre d'usages, les scripts iptables, c'est du bricolage du XXe siècle...
Pour ton problème en lui-même, c'est peut-être un souci de DNS...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1