Petit guide de mise en place d`un mandataire transparent avec
Contents
1. Petit guide de mise en place d un mandataire transparent avec Linux et Squid Version fran aise du Transparent Proxy with Linux and Squid mini HOWTO Daniel Kiracofe Traduction fran aise Genevi ve Gracian lt ggracian CHEZ free POINT fr gt Relecture de la version fran aise Jean Philippe Gu rard lt jean TIRET philippe POINT guerard CHEZ corbeaunoir POINT org gt Version 1 15 fr 1 0 14 juillet 2003 Historique des versions Version 1 15 fr 1 0 14 juillet 2003 Mise jour de la version fran aise Version 1 15 ao t 2002 Version 1 13 fr 1 0 19 janvier 2003 Premi re version fran aise Version 1 13 janvier 2002 Ce document d taille pas pas la mise en place d un serveur mandataire transpa rent en n utilisant que Linux et Squid Il traite aussi bien de la configuration du noyau de la configuration des r gles iptables de la configuration r seau que de la configuration du serveur mandataire lui m me Table des mati res 1 Introduction 5 sise E entree Mi bine ef ssn th ete een ent nnte es sets 2 151 Commentaires rihanna el eE EE EEE EEE ETENEE E ES 2 1 2 Droits d auteur et marques d pos es ssseeesssneeetreerrsesresesrerereresesreresese 2 1 3 include lt d n gation h gt ss 2 2 Vue d ensemble de l utilisation d un mandataire transparent e seseeseesereseererereresee 2 2 LMOUVAHON 22 N EE E E SEE SES 2 2 2 tendue du docti ANS NRA Re en tn 3 23 HITES ee RER ER AR P2. www traduc org docs HOWTO lecture Kernel HOWTO html Les options que vous devez s lectionner lors de la configuration du noyau sont les suivantes remarque si vous pr f rez des modules certaines mais pas toutes peuvent tre compil es comme modules Heureusement tout ce qui n est pas modularisable peut tre int gr votre noyau Dans General setup Networking support T amp Syce SuJooTE Dans Networking Options Network packet filtering TCP IP networking Dans Networking options gt IP Netfilter configuration Connection tracking IP tables support Full NAT RMRHDITRRC 1 TErdeT EALIOPOET Dans File system proc filesystem support Petit guide de mise en place d un mandataire transparent avec Linux et Squid Vous devez r pondre non Fast switching dans Networking options Une fois que vous aurez un nouveau noyau en tat de fonctionner vous pourrez avoir besoin d activer le routage IP Celui ci permet votre ordinateur de faire office de routeur Dans la mesure o ce n est pas ce que l utilisateur moyen veut faire cette option n est pas activ par d faut et doit tre activ de mani re explicite au d marrage N anmoins il est possible que votre distribution le fasse d j pour vous Pour le savoir faites cat proc sys net ipv4 ip forward Si vous voyez 1 c est
3. iptables est probablement d j install Dans le cas contraire vous devrez le t l charger et probablement le compiler Il est disponible sur http netfilter samba org Il est sans doute possible de trouver des paquets RPM binaires quelque part ailleurs mais je n ai pas cher ch Pour les curieux le site de netfilter contient beaucoup de documentation Pour mettre en place les r gles vous devez conna tre deux choses l interface par laquelle arrivent les requ tes des clients devant tre transmises au serveur mandataire j utiliserai eth0 dans l exemple et le port sur lequel Squid attend titre d exemple j utiliserai la valeur par d faut 3128 Maintenant voici les mots magiques de la mise en place d un mandataire transparent Hbreloilles Sie note A PINMAOUINIING 1 Een 2j iecj cisoite 80 REDIRECI ro portr 3128 Vous devrez ajouter les commandes ci dessus au script de d marrage appropri sous etc rc d Les lecteurs proc dant une mise jour depuis un noyau 2 2 noteront que c est la seule commande n cessaire Les noyaux 2 2 exigeaient deux commandes suppl mentaires pour emp cher les boucles de routage L infrastructure de netfilter est plus perfectionn e et n a besoin que de cette commande 6 Mandataire transparent pour une machine distante Maintenant une question se pose naturellement si l on peut r aliser toutes ces astucieuses ma n uvres pour rediriger les connexions HTTP v
4. auteur et demandez Ces restrictions sont ici pour nous prot ger en tant qu auteurs pas pour vous limiter en tant qu apprentis et formateurs Tout code source except le sgml dans lequel cette docu mentation a t crite inclus dans ce document est plac sous la licence publique g n rale GNU GPL r cup rable par ftp anonyme depuis l archive GNU 1 3 include lt d n gation h gt Aucune garantie explicite ou implicite et c tera et c tera et c tera 2 Vue d ensemble de l utilisation d un man dataire transparent 2 1 Motivation Petit guide de mise en place d un mandataire transparent avec Linux et Squid Lors de l utilisation d un mandataire proxy ordinaire le client indique son navigateur le nom d h te et le num ro de port du serveur mandataire Le navigateur dirige alors ses requ tes vers le serveur mandataire qui les redirige vers les serveurs cibles Cependant de temps en temps on se trouve dans l une des situations suivantes Soit e vous voulez obliger les clients de votre r seau utiliser le serveur mandataire qu ils le veuillent ou non e vous voulez que les clients utilisent le mandataire mais vous ne voulez pas qu ils le sachent e vous voulez que les clients passent par le serveur mandataire mais vous ne voulez pas faire tout le travail n cessaire la mise jour des r glages de centaines ou de milliers de navigateurs C est ici que le mandataire transparent entre en
5. besoin de permettre explicite ment les connexions la machine sur le port 3128 ou tout autre port sur lequel Squid est l coute En effet si vous ne le faites pas la machine fera suivre ces connexions directement via l autre interface comme le ferait tout bon petit pont Voici les mots magiques iptable A INPUT i interfac d adresse IP du pont 6 r seau local p tcp coort 3128 Petit guide de mise en place d un mandataire transparent avec Linux et Squid m state state NEW ESTABLISHED ACCEPT Remplacez interface par l interface correspondant adresse _IP_du pont en g n ral il s agit de eth0 ou eth1 Les personnes utilisant un pont pour la premi re fois devraient galement prendre note du fait qu il leur est possible de r p ter la m me commande en rempla ant 3128 par ssh afin de pouvoir administrer leur pont distance 8 Assembler le tout Si jusqu pr sent tout s est bien d roul installez vous sur une autre machine r glez son adresse de passerelle sur l adresse IP de la machine qui ex cute iptables et naviguez Pour vous assurer que les requ tes sont bien redirig es au travers du mandataire plut t que d tre envoy es directement au ser veur d origine il vous suffit de consulter le fichier journal usr local squid logs access log 9 En cas de probl me Un probl me sp cifique est suffisamment fr quent pour m riter d tre mentionn ici Si vous obte
6. bon Sinon faites echo 1 gt proc sys net ipv4 ip forward Vous aurez certainement int r t ajou ter cette commande dans le script de d marrage appropri en fonction de votre distribution il peut se trouver dans etc rc d etc init d ou carr ment ailleurs 4 Installer Squid Il faut maintenant faire fonctionner Squid T l chargez l archive la plus r cente du code source de puis http www squid cache org Assurez vous que vous avez bien une version stable et non une version de d veloppement La version la plus r cente l heure o j cris ces lignes est squid 2 4 STABLEA tar gz Remarquez qu ma connaissance vous devez utiliser squid 2 4 pour les noyaux Linux 2 4 La raison en est que le m canisme par lequel le processus d termine l adresse ori ginale de destination a chang depuis Linux 2 2 et que le code n cessaire n est pr sent qu partir de squid 2 4 pour ceux que cela int resse auparavant l appel get sockname tait bidouill pour obtenir l adresse originale de destination alors que l on utilise maintenant l appel get sockopt avec le niveau SOL_ TP et l option SO_ ORIGINAL DST D compactez et extrayez l archive utilisez tar xzf nom du fichier Ex cutez le script d auto configuration et dites lui d inclure le code destin Netfilter configure enable linux netfilter compilez make puis installez make install Modifiez le fichier squid conf il devrait tre sous usr local
7. d tail dans ce document e Une solution plus propre est d utiliser un serveur mandataire directement capable d agir en tant que mandataire transparent Celui sur lequel nous allons nous pencher est Squid Squid est un serveur mandataire pour Unix dont les sources sont publiques et qui est capable de m moriser les pages web On peut le trouver sur http www squid cache org Il est galement possible au lieu de rediriger les connexions vers des ports locaux de les rediriger vers des ports distants Ceci sera trait dans Section 6 Mandataire transparent pour une machine distante Les lecteurs int ress s par ce sujet devraient aller directement cette section Les lecteurs qui souhaitent mettre en place sur une m me machine la redirection et le mandataire peuvent faire l impasse sur cette section 2 2 tendue du document Ce document se concentre sur la version 2 4 de Squid ainsi que sur la version 2 4 du noyau Ces ver sions sont les plus r centes versions stables au moment de son criture ao t 2002 Il devrait gale ment s appliquer la plupart des noyaux 2 3 les plus r cents Si vous souhaitez utiliser des versions ant rieures de Squid ou de Linux vous pouvez vous r f rer http users gurulink com drk transproxy Notez que ce site a d m nag Si vous utilisez une version de d veloppement du noyau ou de Squid vous serez livr vous m me Ce document peut vous aider mais c est vous qui voyez Notez q
8. sc ne Une requ te web peut tre intercept e de fa on transparente par le mandataire Pour autant que le sache le client il est en train de parler au serveur d origine alors qu il communique en r alit avec le mandataire Notez que la transparence ne s applique qu au client le serveur sait qu un serveur mandataire est mis en uvre et voit son adresse IP et non celle de l utilisateur De plus Squid a la possibilit de transmettre un en t te X Forwarder For au serveur afin que celui ci puisse d terminer l adresse IP r elle du client Les routeurs Cisco peuvent tre utilis s comme mandataires transparents ainsi que de multiples commutateurs D une mani re assez patante Linux peut tre configur comme routeur et servir de mandataire transparent en redirigeant les connexions TCP vers des ports locaux Cependant il est n cessaire de s assurer que le serveur mandataire soit au courant de cette redirection afin qu il puisse se connecter aux v ritables serveurs de destination Il existe deux moyens g n raux pour ce la e Tout d abord lorsque le serveur mandataire n est pas capable d agir en tant que mandataire trans parent vous pouvez utiliser un petit d mon astucieux appel Transproxy qui si ge devant le mandataire et s occupe de tous les d tails triviaux votre place Transproxy a t crit par John Saunders et peut tre trouv sur http www transproxy nlc net au Transproxy ne sera pas pr sent plus en
9. T EN ETES 4 2 4 Authentification aupr s du mandataire ss eneeeeseeseseesesesrereseresrsrereseerereee 4 3 Contiourer l NOYAU 55 tien a Ne ne in taf ie nil 4 4 Installer Sguid eeraa MR ne se nn etre M Renan se Bee LT SA 5 3 Install r iptables Netfilter dreman ada ae e E EE O TARE ROEA init 6 6 Mandataire transparent pour une machine distante 6 6 1 Premi re m thode plus simple mais non exhaustive 6 6 2 Seconde m thode plus compliqu e mais plus g n rale 7 6 3 Premi re m thode Et dans le cas o la machine iptables a une adresse IP dyna TIQUE Past AE LS de re en et te a de nette des st 8 7 Mandataire transparent configur sur un pont r seau 8 8 Assembler l tout sebenere serpin re a ss Pense bise dan oE EE oei 9 9En cas de probl me srna e es E E ste nee E 9 10 Informations compl mentaires seeeesseeseeeessreersrerrerrrerrsrrerrsresrreresereeesreresrees 9 Petit guide de mise en place d un mandataire transparent avec Linux et Squid 11 Adaptation fran aise 11 1 Traduction aeneae eea ea i EA SEAE E a E E EEEE ES E NE 1 Introduction 1 1 Commentaires Les commentaires et r actions g n rales propos de ce petit guide sont les bienvenus et peuvent tre adress s en anglais son auteur Daniel Kiracofe lt
10. drk CHEZ unxsoft POINT com gt Les commentaires corrections et suggestions relatifs la version fran aise de ce document et aux liens qu elle contient sont les bienvenus et peuvent tre adress s lt commentaires CHEZ tra duc POINT org gt 1 2 Droits d auteur et marques d pos es Version originale Daniel Kiracofe 2000 2003 Version fran aise Genevi ve Gracian amp Jean Philippe Gu rard 2002 2003 Ce manuel peut tre reproduit pour tout ou partie sans redevance moyennant les restrictions sui vantes e La note de copyright ci dessus et cette liste de restrictions doivent tre int gralement conserv es sur toute copie compl te ou partielle e La traduction en un autre langage est autoris e condition que l auteur en soit averti avant la traduction e Tout travail d riv doit tre approuv par crit par l auteur avant publication e Si vous distribuez ce travail en partie seulement les indications concernant la mani re de se pro curer l int gralit de celui ci doivent tre incluses et un moyen d obtenir cette version compl te doit tre fourni e De courtes citations peuvent tre reproduites dans d autres travaux titre d exemple ou d illustration sans inclure cette note d autorisation condition qu il soit fait r f rence ce docu ment d une mani re appropri e Des exceptions ces r gles peuvent tre conc d es dans le cadre de projets universitaires crivez l
11. e Ne le demandez m me pas Pour comprendre pourquoi effectuez une recherche avec les mots clefs attaque de l interm diaire cach man in the middle attack Remarquez que de toutes mani res vous n avez probablement pas r ellement besoin de rediriger les requ tes HTTPS vers Squid dans la mesure o celui ci ne m morise pas les pages s curis s 2 4 Authentification aupr s du mandataire Il n est pas possible de s authentifier aupr s d un mandataire transparent Voyez la FAQ Squid http www squid cache org Doc FAQ FAQ html pour un peu plus de d tails 3 Configurer le noyau D abord il est n cessaire de s assurer que notre noyau comporte les bonnes options de configuration Si vous utilisez un noyau pr t porter fourni par votre distribution la gestion de mandataires transparents peut ou non tre activ e Si vous n en tes pas s r le mieux faire est de sauter cette section et si les commandes de la prochaine section vous renvoient des erreurs bizarres c est probablement parce que votre noyau n est pas correctement configur Si votre noyau n a pas t compil avec les options de configuration permettant la gestion des man dataires transparents vous devrez le recompiler Recompiler un noyau est un processus complexe du moins la premi re fois et sort du sujet de ce document Si vous avez besoin d aide pour la com pilation du noyau reportez vous au Guide pratique du noyau Linux http
12. ers des ports locaux ne pourrait on pas faire la m me chose mais vers une machine distante par exemple dans le cas o la machine qui ex cute Squid n est pas la m me que celle qui fait tourner iptables La r ponse est oui mais cela demandes des mots magiques un peu diff rents Si vous souhaitez uniquement une redirection vers la machine lo cale ce qui est la cas habituel vous pouvez ignorer ce chapitre Pour les besoins de l exemple supposons que nous ayons deux machines nomm es machine squidet machine iptables et qu elles soient sur le r seau r seau 1ocal Dans les com mandes ci dessous remplacez ces cha nes par les adresses ou les noms r els de vos r seau et ma chines Je pr senterai ici deux approches diff rentes 6 1 Premi re m thode plus simple mais non exhaus tive e Sur laquelle tournera Squid machine squid vous n avez ni besoin d iptables ni d indiquer au noyau une option sp cifique La seule chose n cessaire est Squid Vous aurez en revanche be soin d indiquer Squid l option http_accel telle qu elle est d crite ci dessus eLes ph PR REUEN ARTE EH ER seie Eh pas ds ca E IHTV NS ST LEE FER Te confusion 6 Petit guide de mise en place d un mandataire transparent avec Linux et Squid noyau comme d crit dans Section 3 Configurer le noyau ci dessus une exception pr s vous n avez pas besoin de l option REDIRECT target support Pour ce qui est des com mandes iptab
13. g n ral cela ne pose pas de probl me car la majorit des navigateurs modernes envoient l en t te Host Cela pose probl me dans le cas de cer tains petits programmes ou appareils embarqu s car ceux ci n mettent que des requ tes HTTP 1 0 tr s simples Pour tre capable de g rer correctement ce cas de figure il faut en faire un peu plus e Surmachine iptables il est n cessaire d activer les options suivantes du noyau LPS acvencec retirer WSs Policy route Ibn IP use netfilter MARK value as routing key IP Netfilter Configuration gt Packet mangling IP Netfilter Configuration gt MARK target support Vous aurez galement besoin des utilitaires iproute2 Votre distribution les a probablement d j install s mais dans le cas contraire jetez un coup d il ftp ftp inr ac ru ip routing La configuration de la machine n cessitera les commandes suivantes iptables t mangle A PREROUTING j ACCEPT p tcp dport 80 s machine squic iptables t mangle A PREROUTING j MARK set mark 3 p tcp dport 80 ip rule add fwmark 3 table 2 ip route add default via squid box dev ethl table 2 Notez que les num ros choisis pour la marque de pare feu 3 et pour la table de routage 2 sont compl tement arbitraires Si vous utilisez d j un routage dirig policy routing ou un mar quage de pare feu pour d autres besoins assurez vous que vous choisissez ici des num ros non Petit guide de mise en
14. istes de contr le d acc s ACL et de configurer le mandataire de mani re ce que seules les personnes de votre r seau local par exemple puisse y acc der Ceci peut para tre idiot mais il est important de mettre en place de telles restrictions sur l acc s votre cache Les personnes bloqu es par des pare feu filtrants tels que des filtres anti pornographie ou les filtres de pays totalitaires font souvent de l auto stop sur les mandataires ouverts tous vents et consomment votre bande passante Initialisez le r pertoire utilis pour la m morisation des pages via la commande squid z vous devriez passer cette tape si Squid tait d j install sur votre machine Petit guide de mise en place d un mandataire transparent avec Linux et Squid Maintenant ex cutez Squid en utilisant le script RunCache du r pertoire usr local squid bin Si cela fonctionne vous devriez tre en mesure de r gler les para m tres proxy de votre navigateur sur l adresse IP de la machine o tourne Squid et sur le port 3128 moins que vous n ayez chang le num ro de port par d faut et d acc der Squid comme un mandataire normal Pour obtenir une aide compl mentaire sur la configuration de Squid reportez vous la FAQ de Squid sur http www squid cache org 5 Installer iptables Netfilter Iptables est une nouveaut des noyaux Linux 2 4 et remplace ipchains Si votre distribution est fournie avec un noyau 2 4
15. les vous aurez besoin de trois d entre elles iptables t nat AT PREROUTING i eth0 s machine squid Log Core A0 DIN to machine souionsi28 iptables t nat A POSTROUTING o eth0 s r seau local d machine squid j SNAT to machine iptables iptables A FORWARD i eth0 o eth0 s r seau local Cl meTag Eco eoon 3128 ACCEPI La premi re envoie les paquets de machine iptables vers machine squid La seconde s assure que la r ponse soit renvoy e via machine iptables plut t que directement au client c est tr s important La derni re s assure que machine iptables redirigera les pa quets appropri s vers machine squid Il est possible qu elle ne soit pas n cessaire vous de voir Remarquez que nous avons sp cifi i eth0 puis o eth0 ce qui veut dire que nous utilisons eth0 comme interface d entr e i et de sortie o Si vos paquets entrent et sortent par des interfaces diff rentes vous devrez ajuster ces commandes en cons quence Ajoutez ces commandes aux scripts de d marrage appropri s sous etc rc d Merci Giles Coochey d avoir aid l criture de cette section 6 2 Seconde m thode plus compliqu e mais plus g n rale Notre premi re tentative marche bien mais a un petit inconv nient elle ne permet pas de g rer cor rectement les connexions HTTP 1 0 sans en t te Host Les connexions partiellement ou compl te ment compatibles HTTP 1 1 elles marchent bien En
16. n sur http www squid cache org Vous pouvez galement me contacter en anglais lt rk CHEZ unxsoft POINT com gt et j essaierai de r pondre vos questions si le temps me le per met des fois oui des fois non SVP SVP SVP envoyez moi le r sultat de la commande ip tables t nat L etles portions significatives des fichiers de configuration dans votre cour rier Sinon je ne serai probablement pas en mesure de vous tre tr s utile S il vous pla t assurez vous d avoir lu l int gralit de ce petit guide avant de poser une question Bien que ce document aie t traduit dans de nombreuses langues je ne pourrai r pondre qu aux questions pos es en anglais et j en suis d sol 11 Adaptation fran aise 11 1 Traduction La traduction fran aise de ce document a t r alis e par Genevi ve Gracian lt ggracian CHEZ free POINT fr gt Petit guide de mise en place d un mandataire transparent avec Linux et Squid 11 2 Relecture La relecture de ce document a t r alis e par Jean Philippe Gu rard lt jean TIRET philippe POINT guerard CHEZ corbeaunoir POINT org gt 10
17. nez l erreur suivante 1ib modules 2 4 2 2 kernel net ipv4 netfilter ip tables o init modules Device or resource busy Hints insmod errors can be caused by incorrect module parameters including invalid IO or IRQ parameters perhaps iptables or your kernel needs to be upgraded C est sans doute que vous utilisez la distribution Red Hat 7 x Les responsables de Red Hat dans leur grande sagesse on d cid de charger le module ipcha ins par d faut au d marrage Il devait s agir de pr server la compatibilit descendante pour ceux qui ne se sont pas encore mis iptables Cependant le probl me est que ipchains et iptables sont mutuellement incompatibles Comme ip chains a t secr tement charg par Red Hat vous ne pouvez pas utiliser les commandes iptables Pour v rifier si tel est bien votre probl me utilisez la commande lsmod et v rifiez si le module nomm ipchains est pr sent Si vous le trouvez c est que c est bien l que se situe votre pro bl me Une solution court terme est d ex cuter la commande rmmod ipcha ins avant d ex cuter les commandes iptables Pour d sactiver le chargement automatique du module ipchains au d marrage essayez la commande suivante sbin chkconfig level 2345 ipchains off merci Rasmus Glud de m avoir indiqu cette commande 10 Informations compl mentaires Si vous avez besoin d assistance je vous recommande de consulter la FAQ de Squid ou sa liste de diffusio
18. place d un mandataire transparent avec Linux et Squid utilis s e Passons machine squid Utilisez la commande suivante qui devrait vous sembler remar quablement similaire une commande vue pr c demment OO SSSR PRODMINERS NC SN CROSS OR CORECDONERCURSSIRREDI RECT Lo port Comme pr c demment ajoutez toutes ces commandes aux scripts de d marrage appropri s Voici une explication succincte de la fa on dont cette seconde m thode fonctionne dans la pre mi re m thode nous avons utilis la traduction d adresse pour diriger les paquets vers l autre ma chine Ce qui implique une modification des paquets Cette alt ration est la cause des d faillances mentionn s plus haut pour certains types de clients Dans la m thode deux nous utilisons un truc magique appel routage dirig policy routing Il faut tout d abord s lectionner les paquets que l on veut Pour ce faire nous marquons via la cible MARK tous les paquets destin s au port 80 except ceux provenant de machine squid elle m me Habituellement lorsque le noyau doit d cider du routage des paquets il utilise la table de routage consultable via la commande route Pour le routage des paquets marqu s il utilisera une table sp ciale ne comportant qu une seule entr e une passerelle par d faut pointant vers machine squid Les paquets vis s seront donc joyeusement envoy s vers leur destin sans subir aucune modification Ce qui permettra de g rer correc
19. squid etc squid conf moins que vous n ayez chang son chemin par d faut Le fichier squid conf est abondamment comment Il constitue pour certains sujets l une des meilleures sources d information sur Squid Une fois que tout fonctionnera je vous recommande de revenir en arri re et de le relire compl tement Mais pour l instant contentons nous du minimum requis Trouvez les directives suivantes d commentez les et donnez leur les valeurs appropri es httpd_accel_ host virtual httpd_accel_ port 80 httpd_ accel with proxy on httpd accel uses host header on Ensuite jetez un il aux directives cache _ effective _useretcache effective _ group Si le couple utilisateur groupe nobody nogroup n existe pas sur votre syst me autant que je sache ce n est pas le cas dans de nombreuse distributions y compris dans la RedHat 7 1 vous de vrez le mettre en place ou en cr er un autre pour ex cuter Squid Je vous recommande chaudement de cr er un couple utilisateur groupe squid squid pour faire tourner Squid mais vous pouvez utiliser n importe quel compte existant si vous le souhaitez Enfin jetez un il la directive http_access Sa valeur par d faut est habituellement http_access deny all Ce qui emp che quiconque d acc der Squid Provisoirement vous pouvez changer cette valeur en http_access allow all mais une fois le syst me op ration nel il est fortement recommand de lire la documentation consacr e aux l
20. tement toutes les connexions y compris les connexions HTTP 1 0 Merci Michal Svoboda d avoir sugg r cette section et aid sa r daction 6 3 Premi re m thode Et dans le cas o la machine iptables a une adresse IP dynamique Simachine iptables a une adresse IP dynamique par exemple dans le cas d une connexion ppp t l phonique ou d une adresse assign e par DHCP sur un modem c ble vous devrez alors ap porter une l g re modification aux commandes ci dessus Remplacez la seconde commande par celle ci iptable t nat A POSTROUTING o eth0 s r seau local d machine squid j MASQUERADE Cette modification vite d avoir sp cifier l adresse IP de machine iptables dans la com mande Dans la mesure o celle ci change souvent vous devriez modifier la commande chaque fois Cette modification vous pargnera donc beaucoup de travail 7 Mandataire transparent configur sur un pont r seau Attention nous entrons ici dans un domaine vraiment sot rique Si vous en avez besoin vous sau rez de quoi il s agit Merci Lewis Shobbrook lt 1shobbrook CHEZ fasttrack POINT net POINT au gt pour sa contribution cette section Si vous essayez de configurer en mandataire transparent une machine Linux utilis e comme pont r seau vous aurez besoin d ajouter une commande suppl mentaire ce que nous avons dans Sec tion 5 Installer iptables Netfilter Plus pr cis ment vous aurez
21. ue ce document ne traitera que des mandataires HTTP Je re ois une foule de messages au sujet de la mise en place de mandataires FTP transparents Squid ne poss de pas cette capacit Il semblerait qu un programme nomm Frox le puisse Je ne l ai pas essay donc j ignore s il fonc tionne bien Vous pourrez le trouver sur http frox sourceforge net 3 Petit guide de mise en place d un mandataire transparent avec Linux et Squid Ce document se consacre essentiellement Squid Cependant Apache peut aussi tre utilis comme mandataire avec m moire des pages Si vous h sitez sur le serveur mandataire adopter je vous re commande Squid En effet Squid a t pens d s le d part comme serveur mandataire Apache de son c t ne s est vu rajouter les fonctionnalit s de mandataire qu apr s coup Si vous d sirez utili ser Apache au lieu de Squid suivez toutes les instructions de ce document relatives au noyau et aux r gles iptables Ne tenez pas comptes des sections sp cifiques Squid et allez voir les sources et le mode d emploi du module mandataire transparent pour Apache sur http lupo campus uniroma2 it progetti mod_tproxy Merci Cristiano Paris lt c POINT paris CHEZ libero POINT it gt pour sa contribution sur ce point 2 3 HTTPS Enfin en ce qui concerne la mise en place d un mandataire transparent pour HTTPS par exemple pour les pages web utilisant SSL TSL et c tera vous ne pouvez pas le fair
Download Pdf Manuals
Related Search