Discussion :

[parisien99]

Bonjour.

Je sais que ma question est ptet ridicule parce qu'il y a des centaines de sites qui parlent de ca... mais malfrés 1 semaine de recherche intensive (j'y ai passé des nuits) j'ai toujours pas compris....

donc, je voudrais installer squid (2.7.5) sur mon serveur. (c'est la version proposé en emerge sur gentoo)

le seul usage que je veux en faire, c'est de permettre à un ami qui habite dans un pays du tiers monde où internet est très filtré de pouvoir aller sur tous les sites qu'il désire. (youtube, facebook et plein d'autres sites banal pour nous sont interdits la bas)

alors, je sais qu'un proxy est super risqué... et que si il y a le moindre trou, tous les escroc de la planetes utiliseront tres vite mon proxy et je veux prendre aucun risque.

ke cherche comment configurer mon proxy pour qu'il permette UNIQUEMENT l'utilisation du http et https, uniquement par des personnes qui se loguent avec un login et un mot de passe et bien sur ave un champ x-forwarded (pour que le site sur lequel va mon ami sache d'ou il vient et que mon proxy ne devienne pas un proxy anonyme) et eventuellement qu'il garde quelques pages en cache... (l'adsl de mon ami ayant un débit nominal de 256k mais un débit reel plus proche du 128k je doute que ca change grand chose, mais bon)

ET RIEN D'autre.

je parle de connexion par login et mot de passe parce que je vois pas d'autre solution vu que mon ami a une ip non fixe...mais si il existe une solution plus simple pour qu'il ai pas à taper à chaque fois un login et un mot de passe, je suis preneur...

Alors pendant ma semaine de recherche, j'ai rien compris aux http_safe, acl et tout ca.... (désolé si ca me donne l'air idiot... mais d'habitude, je suis pas trop bete...)

savez vous où je peux trouver un tuto simple m'expliquant comment configurer le squid.conf de mon squid pour qu'il fasse ca, rien que ca, et sans risque que je me le fasse pirater ?

ca me rendrait vraiment service.

merci

[mess-mate]

Bonjour,
je sais pas pour gentoo, mais il y a le TAG pour l'en-tête HTTP X-Forwarded-For dans le /etc/squid.conf que tu peut activer avec plusieurs options.

voici un lien pour l'authentification de squid ici
L'authentification avec pam par exemple est assez simple.

[parisien99]

Bonjour,
je sais pas pour gentoo, mais il y a le TAG pour l'en-tête HTTP X-Forwarded-For dans le /etc/squid.conf que tu peut activer avec plusieurs options.

voici un lien pour l'authentification de squid ici
L'authentification avec pam par exemple est assez simple.

merci de la réponse.

Mais au risque de paraitre ridicule...

j'ai deja lu cette page des centaines de fois... avant de faire plusieurs jours de recherche sur google

et j'avoue que j'ai pas compris grand chose...

mon cas est vraiment desesperé ?

[mess-mate]

Tu est un nouveau complet ? Dans ce cas il faudra que tu te documente un peu plus.
Je vais te mettre sur la voie :
Tu as donc déjà installé squid; vu la version il a été compilé avec le x-forward je suppose (vérifie dans ta squid.conf).
Dans ta squid.conf modifie ou ajoute avant la portion 'deny all', vu comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
http_access allow password
http_access deny all

Maintenant on va configuré l'authentification:

ls /usr/lib/squid/*auth

et tu vois apparaître le module 'pam_auth'.

On va donc utiliser ce module.Ceci va permettre à tous ceux qui ont un compte shell d'utiliser squid.
Va dans la section 'auth_param' de squid.conf et ajoute ces lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

ensuite cherche cette ligne et décommente la:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

acl password proxy_auth REQUIRED

Maintenant crée un module pam /etc/pam.d/squid et mets ceci dedans:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
auth required /lib/security/pam_unix.so
account required /lib/security/pam_unix.so

et donne les permissions 4755 à ce fichier.
Restart squid.
Pour activer le tunnel fait un:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ssh -L 3128:ton_host_squid:3128 ton nomdecompte@ton_host_squid

Si la connection est établie squid te demandera ton mot de passe.
Maintenant que tu est logged dans squid type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telnet localhost 3128

et puis quitte telnet.Tu verras que tu parle maintenant à squid sur ton serveur distant.

Pour terminer il faut maintenant configurer ton navigateur pour qu'il utilise le tunnel SSH avec le proxy.
Pour chaque navigateur c'est différent, mais pour firefox ça se trouve dans edit->preferences->advanced (pour moi en anglais).

Et maintenant quand tu ira sur une page web, ton mot de passe sera demandé.
Ton navigateur pourrais rouspéter que l'authentification se fait en 'plaintext', tu peux l'ignorer.
Tu voyageras à travers un SSH tunnel et tout sera crypté.

Tu peux si tu préfére changer le port de squid qui est le 3128 en 8080 si tu préfère (partout ci-dessus bien-sûr)

Pour le x-forward, comme j'ai déjà dit voir dans ta squid.conf, c'est assez simple.

[parisien99]

meri de votre aide.

je teste demain et je vous dit....

[parisien99]

bonjour.

Apres pas mal de tests.... j'ai reussi a lancer squid...

mais quand j'essaye de me connecter a un site en passant par le proxy, quel que soit le compte utilisateur du systeme que je tape, j'obtiens l'erreur :

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://fr.news.yahoo.com/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is root.



je voulais savoir ce que j'ai fait de mal (pour l'instant j'essaye de faire marcher et aprés j'essayerais de comprendre) et si il était possible pour simplifier de mettre les login mot de passe simplement dans un fichier en dur ? (il n'y aura pas plus de 3 utilisateurs autorisé du proxy).

et ca me rendrait aussi service si quelqu'un pouvait m'indiquer si au niveau securité ce fichier était correct.

Je joins le squid.conf aprés l'avoir raré (comme on peut pas mettre de fichier texte de plus de 64k)

merci de votre aide.


Et voila le fichier sans les commentaires (celui en piece joint est complet) :
si j'ai mis /usr/libexec dans la 1ere ligne c'est parce que c'est dans ce repertoire que se trouve squid/pam_auth sur mon system

auth_param basic program /usr/libexec/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src all
acl manager proto cache_object
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl password proxy_auth
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
http_access allow password
http_access deny all
icp_access deny all
http_port 9898
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/cache/squid 100 16 256
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mgr root
cache_effective_user squid
forwarded_for on
coredump_dir /var/cache/squid

et le fichier /etc/pam.d/squid :
#%PAM-1.0
# $Header: /var/cvsroot/gentoo-x86/net-proxy/squid/files/squid.pam,v 1.3 2007/09/23 09:23:41 mrness Exp $
auth required pam_nologin.so
auth include system-auth
account include system-auth
password include system-auth
session optional pam_limits.so
session include system-auth
auth required /lib/security/pam_unix.so
account required /lib/security/pam_unix.so

[mess-mate]

Ton post a disparu subitement ... ?
Cette configuration est pour démontrer comment protéger ton traffic sur le net.
Dans ce cas il te faut donc:
- squid qui tourne dans un autre réseau. ( le mien est dans un autre réseau, par exemple 192.168.20.1 au lieu de 192.168.10.2)
- un laptop avec le support ssh et port-forwarding.

D'après le mail que j'ai reçu:
Cette configuration est pour un serveur en dehors de ton réseau. Squid accepte seulement des connections du serveur lui-même, pas en dehors.
Avec l'authentification pam il faut que chaque client ait un compte shell sur le serveur! Ce qui est très facile à faire si le nombre n'est pas trop important, tu crée par exemple un utilisateur parisien99, etc..
Ainsi tu te connecte en tant que parisien99 à ton serveur-proxy.

Bizarre, ton post est là de retour. voyons donc...

Dans ton /etc/pam.d/squid il te faut seulement ces 2 lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
auth required /lib/security/pam_unix.so
account required /lib/security/pam_unix.so

Mais comme j'ai déjà dit, moi je suis sous debian !!!
En plus il faut voir si le chemin des ces 2 lignes est bien exact chez toi.

[parisien99]

ben en fait au debut j'avais mis un post avec des erreurs...

mais j'avais trouvé comment les corriger.

donc pour pas faire perdre de temps aux personnes qui sont suffisement sympa pour m'aider, j'ai supprimé le premier pour mettre le nouveau post

sinon comme je l'avais dit, je veux mettre squid juste pour des amis (3 amis pour etre précis) qui sont dans un pays ou enormement de sites sont bannis... afin qu'ils puissent aller sur tous les sites non conforme à la réglementation religieuse locale... ( par ex, youtube et facebook font parti des sites bannis) sans pour autant qu'ils puissent se loguer sur mon serveur en telnet

j'ai encore fait une modif parce qu'il m'a semblé que la ligne que je viens de commenter m'empecher d'aller sur des sites autres que mon propre réseau mais visiblement j'ai tout faux

auth_param basic program /usr/libexec/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src all
acl manager proto cache_object
#acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl password proxy_auth
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
http_access allow password
http_access deny all
icp_access deny all
http_port 9898
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/cache/squid 100 16 256
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mgr root
cache_effective_user squid
forwarded_for on
coredump_dir /var/cache/squid

[mess-mate]

Eh bien comme j'ai déjà dans mes posts précédent, crée un compte pour tes 3 amis sur le serveur.
Et relis mon post précédent !

[parisien99]

merci de ta réponse.

les comptes sont bien crées...

et rien a faire...

j'ai tout essayé avec le fichier squid.conf que j'ai mis dans le post ci dessus qui correspond exactement a tes instructions....

je relance squid

et j'obtiens toujours :

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://fr.news.yahoo.com/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is root.

edit : j'vai pas vu que ton post de 10h23 avait changé. lol
je verifie et je reviens

[parisien99]

merci pour toute ton aide.

donc, les comptes existes.

j'ai fait ce que tu as dit (voir ci dessous)

et aprés un /etc/init.d/squid stop et un /etc/init.d/squid start, toujours la meme erreur.....

le chemin est bien exact :
ls /lib/security/
pam_access.so pam_ftp.so pam_mkhomedir.so pam_succeed_if.so
pam_cracklib.so pam_group.so pam_motd.so pam_tally.so
pam_debug.so pam_issue.so pam_namespace.so pam_time.so
pam_deny.so pam_keyinit.so pam_nologin.so pam_umask.so
pam_echo.so pam_lastlog.so pam_permit.so pam_unix.so
pam_env.so pam_limits.so pam_rhosts.so pam_warn.so
pam_exec.so pam_listfile.so pam_rootok.so pam_wheel.so
pam_faildelay.so pam_localuser.so pam_securetty.so pam_xauth.so
pam_filter pam_loginuid.so pam_shells.so
pam_filter.so pam_mail.so pam_stress.so


cat /etc/pam.d/squid
#%PAM-1.0
# $Header: /var/cvsroot/gentoo-x86/net-proxy/squid/files/squid.pam,v 1.3 2007/09/23 09:23:41 mrness Exp $
#auth required pam_nologin.so
#auth include system-auth
#account include system-auth
#password include system-auth
#session optional pam_limits.so
#session include system-auth
auth required /lib/security/pam_unix.so
account required /lib/security/pam_unix.so

[mess-mate]

Tu as changé le port en 9898 ??
Tu as apporté les modifications nécessaires dans ton navigateur, quel navigateur ?

[parisien99]

oui c'est expres que j'ai mis le port 9898. il se trouve que dans ce fameux pays, les ports standarts proxys sont particulierement surveillés pour des raisons evidentes lol

la connexion au proxy se passe bien. mon navigateur (internet explorer) me demande bien un login mot de passe.

l'authentification fonctionne... et je t'en remercie.

Tant que je tape un mauvais login/mot de passe, il me le redemande.

C'est juste que quand je tape un bon login mot de passe, qu'il m'affiche l'erreur ci dessous, comme si il n'arrivait pas à aller sur le site demandé.

C'est pour ca que j'avais tenté de mettre acl to_localhost dst 127.0.0.0/8 en commentaire en me disant que ca empechait ptet sdquid de se connecter sur d'autres sites que ceux de mon reseau.

pourtant un wget depuis mon serveur dédié marche parfaitement et je n'ai pas de firewall.

Donc le probleme est pourquoi il arrive pas a aller se connecter sur les sites une fois authentifié...



ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://fr.news.yahoo.com/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

[mess-mate]

Je peux rien te conseiller au niveau de ton 'internet explorer' c'est du win* dont je m'occupe pas.
Je vais vérifier ton squid.conf dans quelques minutes.

[mess-mate]

Voici à quoi ta squid.conf devrait ressembler à part le forward.

[parisien99]

Merci beaucoup.

J'ai fait quelques modifs au fichier pour enlever les erreurs que me faisait squid au demarrage et l'empechaient de demarrer (les lignes qui commencent par #sms ) et c'est bon, ca marche.

par contre j'ai encore un petit probleme (et j'arrete d'embeter tout le monde et je me met à comprendre tout ca )

j'ai mis dans le fichier config cela :

# TAG: via on|off
#Default:
via on
# TAG: forwarded_for on|off
#Default:
forwarded_for on

et j'ai relancé squid

Et malgrés ca, les sites sur lequel je vais tester le proxy me disent tout que le proxy est anonyme et n'ont ni champs via ni champs forwarded.

Et comme je ne veux pas etre responsable d'eventuelles conneries d'autres personnes je ne veux surtout pas que le proxy soit anonyme.

tu sais quoi faire pour que ces champs fonctionnent ?

merci.

Je met mon squid.config aprés modifications en esperant que les modification que j'ai fait ne poserons pas de probleme de sécurité.

[mess-mate]

Ah ça coince au niveau anonymat.. ?
Commente ces lignes et essai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
#		header_access From deny all
#		header_access WWW-Authenticate deny all
#		header_access Link deny all
#		header_access Warning deny all
#		header_access Proxy-Connection deny all

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
#  TAG: follow_x_forwarded_for
# Note: This option is only available if Squid is rebuilt with the
#       -DFOLLOW_X_FORWARDED_FOR option
#
#	Allowing or Denying the X-Forwarded-For header to be followed to
#	find the original source of a request.
follow_x_forwarded_for all

[parisien99]

bon ca marche parfaitement....

mais maintenant j'ai un autre probleme.

J'ai fais un test avec mon pote.

Il habite dans un pays qu'on va appeller A.

Quand il va depuis A vers yotube, il a une belle page qui s'affiche lui disant que le site est interdit.

Quand il passe par mon proxy, il se connecte de A à mon serveur dédié en France. Et de mon serveur dedié en France vers youtube.

Donc son FAI de A ne sait pas où il est connecté puisque pour le FAI il est connecté sur mon serveur dédié en France.

Eh ben je vous le donne en 1000....

En passant par mon proxy, youtube est AUSSI INTERDIT.

Et le sites autorisés sont toujours autorisé.

On en est sur puisque il est allé sur youtube il avait toujours la page indiquant que le site était interdit. Et juste aprés il est allé sur des sites de test de proxy qui donnaient bien l'adresse IP du proxy.


Alors deja je comprend pas comment ils font pour filtrer la page quand elle passe par le proxy.... ca pourrait etre un filtrage sur le contenu mais comme en plus j'utilise le port 9898 pour le proxy.... ca m'etonne qu'ils filtrent le contenu sur tous les ports.

Et quelle serait la solution ?

[mess-mate]

C'est pourtant clair, tu veux du forward. Alors la source est communiquée !
Voir le texte de mon post précédent.
Donc ton ami qui habite dans le pays A avec son FAI dans ce pays est connu par youtube même si il passe par ton proxy.
Le seul moyen c'est peut-être de faire de l'anonymous complet à part que certains sites te t'autoriseront pas d'accéder à leur pages.

Personnellement j'ai aucun problème à accéder à youtube à travers mon proxy.

[parisien99]

non je crois que tu m'a mal compris.

Ce n'est pas youtube, facebook et de nombreux autres sites qui bloquent l'accés.

Comme tous ces sites ne sont pas conforme à la legislation locale, c'est le FAI local qui bloque ces sites.

D'ailleurs pour tous ces sites, c'est une même page dans la langue locale qui s'affiche disant que le site a été bloqué comme il n'est pas conforme à la legislation et il y a un bouton qu'on peut cliquer pour les avertir si on estime que le site a été bloqué par erreur.

Donc a parti du moment où on passe par le proxy, qu'il soit anonyme ou pas je comprend pas comment le FAI local peut deviner sur quel site on va.... et faire le blocage.

Et je vois pas en quoi le forward permettra plus aux autorités locales de bloquer la pages ou pas... (on vient d'ailleurs de tester en metant le proxy en anonyme complet et le site est toujours bloqué depuis ce pays)

alors j'essaye de comprendre comment faire pour que le FAI locale ne sache pas vers quel site se connecte mon ami