Discussion :

[djibril]

Salut,
me revoilà déjà.
J'ai installé squid sur mon serveur et dans squid.conf, j'ai ajouté ceci :

http_port 127.0.0.1:3128
icp_port 3128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
acl LocalNet src 192.168.100.0/255.255.255.0
http_access allow LocalNet
maximum_object_size 8 MB
minimum_object_size 0 KB

ensuite squid -z

et /etc/init.d/squid restart

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 ll /var/log/squid
total 72k
drwxr-x---    2 proxy    proxy        4.0k Jul 12 16:24 .
drwxr-xr-x    6 root     root         4.0k Jul 12 16:24 ..
-rw-r-----    1 proxy    proxy           0 Jul 12 16:24 access.log
-rw-r-----    1 proxy    proxy         28k Jul 12 17:35 cache.log
-rw-r-----    1 proxy    proxy         32k Jul 12 17:35 store.log

je vais sur un PC windows => outils => option internet => connexion => parametre reseau => je mets dans la partie proxy ceci :
192.168.100.254 et port 3128

je sauve.
Quand j'essaye d'aller sur internet, ça fonctionne pas, et mon access.log reste vide

[ggnore]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port 127.0.0.1:3128

Pourquoi mets tu une IP ? c'est un numéro de port qu'on te demande, pas une IP.

Par ailleurs http_port est le port que le proxy écoute pour ses clients
icp_port est le port pour que différentes proxy communiquent entre eux.

ça me paraît mauvais qu'ils soient identiques.

[gorgonite]

127.0.0.1:3128 implique que seule cette machine pourra accéder à squid... donc que les autres clients passeront par un "plugin" de squid du genre dansguardian (si tu as suivi mon tuto )

[djibril]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port 127.0.0.1:3128

Pourquoi mets tu une IP ? c'est un numéro de port qu'on te demande, pas une IP.

Par ailleurs http_port est le port que le proxy écoute pour ses clients
icp_port est le port pour que différentes proxy communiquent entre eux.

ça me paraît mauvais qu'ils soient identiques.

bah c'est dans la doc.
Sinon

apt-get install dansguardian -s
Reading Package Lists... Done
Building Dependency Tree... Done
E: Couldn't find package dansguardian

voici mon source.list

#deb http://ftp.oleane.net/pub/debian/ woody main non-free contrib
#deb-src http://ftp.oleane.net/pub/debian/ woody main non-free contrib
deb http://non-us.debian.org/debian-non-US woody/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US woody/non-US main contrib non-free

deb http://security.debian.org/ woody/updates main contrib non-free

pouvez vous m'en proposer pour ajouter, car là, je ne peux pas installer dansgurdian.

Sinon, sans lui, avec ma configuration actuel, c'est impossible de tester squid? ne serait ce que voir access.log se remplir?

[gorgonite]

retires le 127.0.0.1: devant 3128

ensuite penses à ouvrir le port avec iptables si jamais il était bloqué

[djibril]

j'ai déjà retiré le 127.0.0.1:
et

iptables -L -v -n | grep 3128
0 0 LOG_DROP_TROJAN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128

je ne sais pas si c'est suffisant pour iptables.
En tout cas, ça ne fonctionne toujours pas depuis un PC windows et access.log est vide
Pour ajouter un package debian via base-config => impossible

───────────────────────────────────────────┤ Apt Configuration ├────────────────────────────────────────────┐
│ │
│ Failed to access the Debian archive │
│ │
│ When I tried to access the debian archive using the information you provided, apt gave the following │
│ error. I will run through the questions again, try to correct the error. │
│ │
│ E: Dynamic MMap ran out of room E: Error occured while processing wzdftpd-dev (NewPackage) E: Problem │
│ with MergeList /var/lib/apt/lists/ftp.oleane.net_pub_debian_dists_stable_main_binary-i386_Packages E: The │
│ package lists or status file could not be parsed or opened. │
│

[gorgonite]

pouvez vous m'en proposer pour ajouter, car là, je ne peux pas installer dansgurdian.

celui-ci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
clubinfo@gollum:~$ cat /etc/apt/sources.list
deb http://ftp2.fr.debian.org/debian/ stable main non-free contrib
deb-src http://ftp2.fr.debian.org/debian/ stable main non-free contrib
 
deb http://security.debian.org/ stable/updates main contrib non-free
 
deb http://packages.dotdeb.org stable all

testé et approuvé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
clubinfo@gollum:~$ aptitude search dansguardian
p   dansguardian                    - Web content filtering

[djibril]

il ne veux pas de

deb http://ftp2.fr.debian.org/debian/ stable main non-free contrib
deb-src http://ftp2.fr.debian.org/debian/ stable main non-free contrib

message d'erreur

Get:11 http://ftp2.fr.debian.org stable/contrib Sources [21.1kB]
Get:12 http://ftp2.fr.debian.org stable/contrib Release [100B]
Fetched 7520kB in 12s (616kB/s)
Reading Package Lists... Error!
E: Dynamic MMap ran out of room
E: Error occured while processing scim-gtk2-immodule (NewVersion1)
E: Problem with MergeList /var/lib/apt/lists/ftp2.fr.debian.org_debian_dists_stable_main_binary-i386_Packages
E: The package lists or status file could not be parsed or opened.

voici le source :

#deb http://ftp.oleane.net/pub/debian/ woody main non-free contrib
#deb-src http://ftp.oleane.net/pub/debian/ woody main non-free contrib
deb http://non-us.debian.org/debian-non-US woody/non-US main contrib non-free
deb-src http://non-us.debian.org/debian-non-US woody/non-US main contrib non-free

deb http://security.debian.org/ woody/updates main contrib non-free

deb http://security.debian.org/ stable/updates main contrib non-free

deb http://packages.dotdeb.org stable all

deb http://ftp2.fr.debian.org/debian/ stable main non-free contrib
deb-src http://ftp2.fr.debian.org/debian/ stable main non-free contrib

De plus squid ne fonctionne toujours pas. une idée?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
uname -a
Linux toto 2.4.18-686 #1 Sun Apr 14 11:32:47 EST 2002 i686 unknown

version :

cat /etc/debian_version
3.0

[gorgonite]

c'est super précis comme erreur pour squid

fais cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -antp

en plus, je crois bien que ton iptables filtre le port de squid vu le iptables -L avec DROP


pour debian 3.0 c'est une woody... une antiquité d'un autre temps
pourquoi n'es-tu pas en sarge ou en etch ?

[djibril]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 netstat -antp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN      544/inetd
tcp        0      0 0.0.0.0:9               0.0.0.0:*               LISTEN      544/inetd
tcp        0      0 0.0.0.0:13              0.0.0.0:*               LISTEN      544/inetd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      551/sshd
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      16630/(squid)
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      209/exim
tcp        0    148 192.168.100.254:22      192.168.100.55:4005     ESTABLISHED 26282/sshd

sinon en effet c'est le seul de mes serveurs qui est sous woody, tout le reste est en sarge.
Mais j'ose pas trop y toucher car sinon plus du tout de reseaux, internet au boulot

[gorgonite]

donc squid tourne... au passage, penses à autoriser localhost à utiliser squid, ça sert toujours

remarques les notions d'iptables dans mon tuto, et autorise squid à "entrer"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -m state --state NEW -p tcp --sport 1024: --dport 3128 -i eth_de_la_zone_interne -j ACCEPT

[djibril]

iptables -L -v -n | grep 3128
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp spts:1024:65535 dpt:3128
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp spts:1024:65535 dpt:3128
0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp spts:1024:65535 dpt:3128
0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp spts:1024:65535 dpt:3128

repertoire

/var/log/squid# ll
total 144k
drwxr-x--- 2 proxy proxy 4.0k Jul 12 16:24 .
drwxr-xr-x 6 root root 4.0k Jul 13 06:27 ..
-rw-r----- 1 proxy proxy 130 Jul 13 10:49 access.log
-rw-r----- 1 proxy proxy 51k Jul 13 10:53 cache.log
-rw-r----- 1 proxy proxy 69k Jul 13 10:53 store.log

cat access.log
1184316581.400 3765 192.168.100.55 TCP_MISS/200 568 POST http://shttp.msg.yahoo.com/notify/ - DIRECT/216.155.194.239 text/plain

squid.conf

http_port localhost:3128
icp_port 3128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
acl LocalNet src 192.168.100.0/255.255.255.0
http_access allow LocalNet
http_access allow localhost
maximum_object_size 8 MB
minimum_object_size 0 KB

mais toujours impossible de se connecter via IE avec proxy.
et la taille de access.log reste à 130

[gorgonite]

le proxy est bien configuré ?


et si tu essaies de faire un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telnet serveur_A 3128

depuis une machine windaube ?

[djibril]

le proxy est bien configuré ?


et si tu essaies de faire un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telnet serveur_A 3128

depuis une machine windaube ?

telnet 192.168.100.254 3128 (depuis une machine windaube)
impossible de se connecter à l'hote sur le port 3128.
echec connexion

[gorgonite]

donc le pare-feu filtre... tu n'as qu'à revérifier toute ta config iptables

[djibril]

alors je suis vraiment nul en iptable.
J'ai trente mille doc dessus et je me perd un peu.
Je pensais que l'ouverture du port 3128 etait suffisant?
Que faut il faire de plus.

[gorgonite]

si c'est bien fait toute la config est dans un seul fichier... trouves-le et modifies-le


nb: et le pare-feu de windaube il laisse sortir les connexions vers le port 3128 ?

[djibril]

si c'est bien fait toute la config est dans un seul fichier... trouves-le et modifies-le

je vois pas de quoi tu me parles.
après l'installation de squid, j'ai juste modifier squid.conf.
Dans ce fichier, je n'ai rajouté que ces lignes suivante :

http_port localhost:3128
icp_port 3128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
acl LocalNet src 192.168.100.0/255.255.255.0
http_access allow LocalNet
http_access allow localhost
maximum_object_size 8 MB
minimum_object_size 0 KB

donc je ne vois pas quoi modifié.

nb: et le pare-feu de windaube il laisse sortir les connexions vers le port 3128 ?

je n'ai pas de pare feu window

[djibril]

autre remarque, quand je rajoute le proxy sur Ie, sur la page d'erreur, il y a ecrit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Impossible de trouver le serveur ou 
erreur DNS dans Internet Explorer

poutant quand je l'enleve, il le detecte sans souci.

Merci

[gorgonite]

je vois pas de quoi tu me parles.
après l'installation de squid, j'ai juste modifier squid.conf.

je parle de ce qui permettait au serveur A de faire firewall et passerelle avant d'installer squid...

poutant quand je l'enleve, il le detecte sans souci.

donc ça marche ?