# activation de la transparence httpd_accel_with_proxy on httpd_accel_uses_host_header on httpd_accel_host virtual httpd_accel_port 80
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP REDIRECT fw 3128 tcp 80 -
Access control configuration prevents your request from being allowed at this time
[root@ordiyo lionel]# iptables -L -n -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
# Le fichier de configuration fourni par défaut sous Debian # est très long et contient énormément de commentaires. # -> Cette version est épurée de tous les commentaires # Pas d'infos sur ces lignes hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # Taille maximum de mémoire vive utilisée pour stocker du cache cache_mem 16 MB # Taille maximum des objets stockés dans le cache maximum_object_size 15 MB # Paramétrage du cache N°1 sur le premier disque # - Type de stockage # - Emplacement du cache # - Taille totale du cache en MB # - Nombre de répertoires de niveau 1 et de niveau 2 cache_dir ufs /var/spool/squid 2000 16 256 # Paramétrage du cache N°2 sur le deuxième disque cache_dir ufs /squid 3000 16 256 # Format des logs : # -> Avec off, squid utilise son propre format de logs, # mais la date et l'heure ne sont pas lisible. # -> Avec on, squid utilise le format standard CLF emulate_httpd_log off # Ces deux lignes permettent d'intégrer le plugin SquidGuard # redirect_program /usr/bin/squidGuard redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 4 # Pas d'infos sur ces lignes refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 # ********************************************************** # ** Définition des restrictions pour l'accès au cache ** # ********************************************************** # Liste des acl par défaut -> A conserver acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 # acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 10000 # https, snews # acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http # acl Safe_ports port 631 # cups acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT # ACL qui définit le réseau utilisant le cache acl MonReseau src 82.0.0.0-82.255.255.255 # Accès par défaut -> A conserver http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost # Donne accès au cache au réseau http_access allow MonReseau # Interdit tout le reste http_access deny all # Autorise les réponses pour tout le monde (par défaut) http_reply_access allow all # Autorise le protocole icp pour tout le monde (par défaut) icp_access allow all coredump_dir /var/spool/squid # navigation anonyme # activation de la transparence httpd_accel_with_proxy on httpd_accel_uses_host_header on httpd_accel_host virtual httpd_accel_port 80
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
#ZONE DISPLAY COMMENTS net Net Internet zone loc Local Local #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL # # PORT PORT(S) DEST # REDIRECT fw 3128 tcp 80 -
[root@ordiyo lionel]# iptables -L -n -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination loc_dnat all -- 0.0.0.0/0 0.0.0.0/0 Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain loc_dnat (1 references) target prot opt source destination REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
[root@ordiyo lionel]# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 [root@ordiyo lionel]# iptables -L -n -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Citation
auteur
Ton client local fait une requete sur le port 80, donc inite une session, iptables le convertit vers le 3128, la SQUID le prend et il re-initie une nouvelle session sur le port 80, et la (a mon avis) rebelotte l'iptables te refais une conversion vers le 3128 et la evidement tu recois une TCP_DENIED.
Citation
auteur
Pour mettre en place les règles, vous devez connaître deux
choses : l'interface par laquelle arrivent les requêtes des
clients devant être transmises au serveur mandataire (j'utiliserai
eth0 dans l'exemple) et le port sur lequel Squid attend (à titre
d'exemple, j'utiliserai la valeur par défaut 3128).
Maintenant, voici les mots magiques de la mise en place d'un
mandataire transparent :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
-j REDIRECT --to-port 3128
Citation
auteur
l'interface par laquelle arrivent les requêtes des
clients devant être transmises au serveur mandataire (j'utiliserai
eth0 dans l'exemple)