pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » logiciels » squid
Trace:
informatique:logiciels:squid

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:logiciels:squid [2020/09/18 14:30] – Tips pteuinformatique:logiciels:squid [2021/09/24 08:10] (current) – [Désactiver le cache] pteu
Line 1: Line 1:
  
-======Squid======+======Squid / Squidguard======
  
-Squid est un proxy libre. Il permet de relayer des requêtes de différents protocoles dont HTTP ou HTTPS après filtrage, QoS ou autre. Par défaut Squid utilise sur le port 3128, il faut donc le spécifier dans les propriétés de connexion de votre navigateur.+{{ :informatique:logiciels:squid_logo.jpg|}}
  
-Il faut maintenant permettre à votre IP d'accéder au serviceet ça se règle toujours dans le fichier de configuration ''/etc/squid/squid.conf'' vers la ligne 2578En suivant la syntaxe proposée on permet l'accès à tout notre LAN :+[[http://www.squid-cache.org/|Squid]] est un proxy libre. Il permet de relayer des requêtes de différents protocoles dont HTTP ou HTTPS après filtrageQoS ou autre. Par défaut Squid utilise sur le port 3128. 
 + 
 +[[http://www.squidguard.org/|Squidguard]] est un redirecteur d'URL qui se greffe sur Squid ; il permet notamment de gérer facilement et rapidement des bases de blacklistes. 
 + 
 +=====Installation du couple Squid + Squidguard===== 
 + 
 +Installation :
 <code bash> <code bash>
-# création d'une acl = définition des clients +aptitude install squidguard
-# syntaxe = 192.168.0.0/24 ou 192.168.0.0/255.255.255.0 +
-#    ou par URL cible : dstdomain .hotmail.com +
-acl my_lan src 192.168.0.0/24 +
-# attribution des droits à mon acl +
-http_access allow my_lan +
-[..] +
-# vérifier que les accès non autorisés explicitement sont interdits +
-http_access deny all+
 </code> </code>
 +
 +====Config de Squid====
 +
 +Réduction du fichier de conf de Squid, un peu trop verbeux :
 +<code bash>
 +cd /etc/squid/
 +mv squid.conf squid.conf.orig
 +grep -Ev '^$|^[[:blank:]]*#' squid.conf.orig > squid.conf
 +</code>
 +
 +Personnalisation du squid.conf :
 +<code bash>
 +# timestamp des logs avec la date "human-readable"
 +logformat squid %tl.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt
 +# permettre aux IPs e notre LAN de sortir !
 +acl localnet src 192.168.0.0/16
 +http_access allow localnet
 +</code>
 +
 +Les connexions HTTPS utilisent la méthode connect et sont permises par les directives:
 +<code bash>
 +acl SSLPort 443 4443 8443
 +acl CONNECT method CONNECT
 +http_access allow CONNECT SSLPort
 +</code>
 +
 +Ajout gestion du FTP (à ajuster selon la conf en place):
 +<code bash>
 +acl SSL_ports port 21
 +acl ftp proto FTP
 +http_access allow ftp
 +</code>
 +
 +Tester la conf de Squid et relancer le service si OK :
 +<code bash>
 +squid -k parse
 +systemctl reload squid
 +</code>
 +
 +====Ajout de Squidguard====
 +
 +Editer le fichier dsuid.conf :
 +<code bash>
 +# conf squidguard
 +url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
 +url_rewrite_children 4
 +</code>
 +
 +Copier le template de page d'erreur sur Squidguard :
 +<code bash>
 +gunzip /usr/share/doc/squidguard/examples/squidGuard-simple.cgi.gz
 +mv /usr/share/doc/squidguard/examples/squidGuard-simple.cgi /usr/lib/cgi-bin/
 +chown www-data:www-data /usr/lib/cgi-bin/squidGuard-simple.cgi
 +chmod +x /usr/lib/cgi-bin/squidGuard-simple.cgi
 +</code>
 +
 +Télécharger et installer des blacklistes :
 +<code bash>
 +cd /var/lib/squidguard/db/
 +wget ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
 +tar xzf blacklists.tar.gz
 +chown -R proxy:proxy blacklists
 +cd blacklists
 +
 +# vérifier le contenu de ce qu'on vient de télécharger :
 +ls -l
 +</code>
 +
 +Configurer les blacklistes "porn" dans squidguard.conf :
 +<code bash>
 +dbhome /var/lib/squidguard/db
 +logdir /var/log/squidguard
 +src localnet {
 +        ip 192.168.0.0/16
 +}
 +dest porn {
 +        urllist         blacklists/porn/urls
 +        domainlist      blacklists/porn/domains
 +        expressionlist  blacklists/porn/very_restrictive_expression
 +}
 +acl {
 + localnet {
 + pass !porn any
 + }
 + default {
 + pass     local none
 + redirect http://127.0.0.1/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u
 + }
 +}
 +</code>
 +
 +Compiler les blacklistes
 +<code bash>
 +su proxy
 +squidGuard -C all
 +
 +# Vérification :
 +tail -f /var/log/squid/squidGuard.log
 +</code>
 +
 +
 +=====En vrac=====
  
 On peut aussi tuner les paramètres suivants (toujours dans le même fichier) : On peut aussi tuner les paramètres suivants (toujours dans le même fichier) :
Line 29: Line 129:
 cache_dir ufs /var/spool/squid 100 16 256 cache_dir ufs /var/spool/squid 100 16 256
 </code> </code>
 +
 +====Proxy transparent====
  
 Pour créer un proxy transparent, on peut utiliser la règle de redirection **iptables** suivante sur un routeur : Pour créer un proxy transparent, on peut utiliser la règle de redirection **iptables** suivante sur un routeur :
Line 37: Line 139:
 Cela redirige toutes les requêtes HTTP et HTTPS vers le proxy Squid de manière transparente. Cela redirige toutes les requêtes HTTP et HTTPS vers le proxy Squid de manière transparente.
  
-Pour faire du filtrage avancé (avec des blacklistes notamment), il est conseiller de regarder du coté de [[http://www.squidguard.org/|squidguard]] qui fait cela très bien. 
  
 =====Tips===== =====Tips=====
  
-Tester la configuration sans redémarrer le process : ''squid -k parse''+  * Tester la configuration sans redémarrer le process : ''squid -k parse'
 +  * afficher les timestamp des logs au format //human readable// : 
 +<code bash> 
 +cat access.log | perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e'
  
 +# ou avec le très bon viewer de logs ccze :
 +cat access.log | ccze -CA
  
 +# ou modifiant le logformat dans le fichier de conf de squid (/etc/squid/squid.conf)
 +logformat squid %tl.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt
 +</code>
 +
 +====Lenteur au redémarrage====
 +
 +Squid est long à redémarrer car il attend que les sockets se ferment d'elles-même jusqu'à 30s par défaut, avant de les forcer à se fermer en [[http://www.squid-cache.org/Doc/config/shutdown_lifetime/|envoyant un timeout aux clients]]. Pour baisser ce temps d'attente :
 +<code bash squid.conf>
 +shutdown_lifetime 10 seconds
 +</code>
 +====Debug====
 +
 +Pour [[https://wiki.squid-cache.org/KnowledgeBase/DebugSections|débugger Squid]], on utilise la directive ''debug_options section,level'' dans le fichier de conf. **section** vaut ALL ou de 0 à 93 ; **level** vaut de 0 à 9, avec 9 le plus verbeux. Les logs de debug seront redirigés vers le cache.log.
 +
 +Pour débugguer les ACLs (section 28) :
 +<code bash squid.conf>
 +debug_options 28,9
 +</code>
 +Redémarrer le service pour activer l'option. Comme toujours, penser à désactiver le debug une fois le soucis réglé, pour ne pas exploser le ''/var/log''.
 +
 +====Désactiver le cache====
 +
 +Pour désactiver le cache il suffit, soit de bloquer le cache avec l'ACL :
 +<code bash>
 +cache deny all
 +</code>
 +... soit de commenter les directives ''cache_dir''.
 =====Erreurs===== =====Erreurs=====
-Il se peut qu'il ne se lance pas avec l'erreur suivante : 
  
-  FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'+Il se peut qu'il ne se lance pas avec l'erreur suivante : 
 +<code bash> 
 +FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname' 
 +</code>
  
 A ce moment-là il faut compléter le fichier de configuration ''/etc/squid/squid.conf'' par : A ce moment-là il faut compléter le fichier de configuration ''/etc/squid/squid.conf'' par :
Line 53: Line 188:
 visible_hostname <n'importe quoi sauf rien> visible_hostname <n'importe quoi sauf rien>
 </code> </code>
 +
 +
 +=====Ressources=====
 +
 +  * http://irp.nain-t.net/doku.php/220squid:060_squidguard
informatique/logiciels/squid.1600439407.txt.gz · Last modified: 2020/09/18 14:30 by pteu