filtrage accés internet par proxy et Iptables
filtrage accés internet par proxy et Iptables - réseaux et sécurité - Linux et OS Alternatifs
Sujets relatifs:
Leave a Replay
Make sure you enter the(*)required information where indicate.HTML code is not allowed
Marsh Posté le 29-03-2007 à 14:44:42
Bonjour
Pour commencer et ne pas me planter et passer des nuits blanche j'aimerais savoir si il est possible de faire cohabité squid et iptable sur une meme machine qui servirant de relais entre l'internet et mon LAN?
j'ai deja defini un serveur proxy que je desir rendre un peu meilleur et deployer sur toute les machines de mon parck sans pour autant que tous aient accés a l'internet (filtrage par IP)
Voici celui que j'ai mis en place actuellement:il est surment pas terrible ni tres clair mais il fonctionne mais si vous avez des truc a me conseiller et a me faire amélioré je suis interessé!!
#port d'ecoute du proxy
http_port 8181
#type de page a ne pas garder dans le cache
acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3 \.asp
#espace en Mo allouer à squid
cache_mem 50 MB
#pourcentage de cache utilisé avant de vidé
cache_swap_low 75
cache_swap_high 90
#taille maximum des objects a prendre en mémoire
maximum_object_size 4096 KB
#espace disque en Mo allouer a squid 200Mb de cache
#16 et 256 represente les sous-repertoire dans le 1er niveau et suivant
cache_dir ufs /var/spool/squid 200 16 256
#repertoire des fichiers log de controle d'acces à internet
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
#temps de sauvegarde des logs
#reference_age 60 days
# ACL : les acl permettent de spécifier les autorisations
# d'accès sur certains ports, et pour les ip des stations
# Attention l'ordre donné ici est important !
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl serveur src 132.147.102.55
acl raid_1 src 132.147.102.31
#acl paie src 132.147.102.252
acl paie src 132.147.0.22-132.147.0.25 132.147.100.75
acl kalirisk src 132.147.0.54
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # ssl https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#autorisation du fichier url_autorised et nom des sites
acl url_autorised url_regex net-entreprises urssaf pagesjaunes pagesblanches assedic dsij.ext.cnamts entreprise.april-solutions
acl url_kalirisk url_regex kalirisk
#affichage des erreur en francais dans l'explorateur
error_directory /usr/share/squid/errors/French
#url Autorisé
#service RH
acl url_autorise url_regex "/etc/squid/url_autorised"
http_access allow paie url_autorised
#service déclaration evenements indésirable et panne
acl url_kalirisk url_regex "/etc/squid/url_kalirisk"
http_access allow kalirisk url_kalirisk
#regles d'acces
http_access allow serveur
http_access allow raid_1
#http_access allow localhost
#http_access allow localnet
#http_access allow PURGE localhost
http_access deny PURGE
#acces refusé sur les port non definit
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#proxy transparent pour les utilisateurs
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#httpd_accel_single_host off
#on refuse tous ce qui n'est pas definit
http_access deny all
donc voila mon squid.conf
a cela j'aimerais mettre un iptables me permettant ainsi de faire une protéction un peu meilleur, mais j'admet ne pas savoir comment
auryez vous de l'aide a me fournir ??
merci
Message édité par mickael1er le 29-03-2007 à 14:45:03