Squid

De The Linux Craftsman
Aller à la navigation Aller à la recherche
Mode basic Mode transparent
Protocole tcp tcp
Port 3128 80
Configuration Iptables iptables -I INPUT 2 -p tcp --dport 3128 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128


Préparation

Dans un premier temps, il faudra avoir une connexion à Internet, utiliser un serveur DNS et désactiver SELinux.

Pour ceux qui auraient manqué des étapes les voici:

Une fois ces étapes effectuées, entrons dans le vif du sujet !

Installation

# yum -y install squid

Configuration

Réseaux source

Commençons par spécifier le réseaux duquel parviennent les requêtes HTTP.

Pour cela, remplacer les lignes suivantes dans le fichier /etc/squid/squid.conf 

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

un peu trop permissive par 

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

Pour autoriser le réseau 192.168.1.0/24

Mode proxy basique

Dans ce mode, il est obligatoire de configurer les navigateurs des clients pour qu'il passent par le proxy. Il n'y a rien d'autre a faire qu'ouvrir le port 3128 du pare-feu et configurer le navigateur en conséquence. 

# iptables -I INPUT 2 -p tcp --dport 3128 -j ACCEPT
# service squid start

On vérifie que Squid écoute sur le bon port 

# netstat -atnp | grep squid
tcp        0      0 0.0.0.0:3128                0.0.0.0:*                   LISTEN      8432/(squid)

Mode proxy transparent

Ce mode est beaucoup plu intéressant car il ne nécessite aucune configuration au niveau des navigateurs clients.

L'astuce consiste à rediriger le trafic passant sur le port TCP/80 vers le port TCP/3128 

# iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to 3128

Il faut ensuite modifier la ligne suivante dans le fichier /etc/squid/squid.conf 

http_port 3128 intercept transparent

Pour plus d'informations sur les avantages / inconvénients de la transparence vous pouvez consulter ces liens:

Les options intéressantes

Activation du cache

Pour que le proxy puisse mémoriser le contenu statique des requêtes et ainsi accélérer le trafic, il faut activer le cache.

Pour cela, repérez la ligne 

# cache_dir ufs /var/spool/squid 100 16 256

et remplacer la par 

cache_dir ufs /var/spool/squid 100 16 256
cache_mem 100 MB
cache_effective_user squid
cache_effective_group squid

Avant de lancer Squid, il faut qu'il génère les fichiers du cache 

# squid -z
2014/01/23 08:17:23| Creating Swap Directories
2014/01/23 08:17:23| /var/spool/squid exists
2014/01/23 08:17:23| Making directories in /var/spool/squid/00
2014/01/23 08:17:23| Making directories in /var/spool/squid/01
2014/01/23 08:17:23| Making directories in /var/spool/squid/02
2014/01/23 08:17:23| Making directories in /var/spool/squid/03
2014/01/23 08:17:23| Making directories in /var/spool/squid/04
2014/01/23 08:17:23| Making directories in /var/spool/squid/05
2014/01/23 08:17:23| Making directories in /var/spool/squid/06
2014/01/23 08:17:23| Making directories in /var/spool/squid/07
2014/01/23 08:17:23| Making directories in /var/spool/squid/08
2014/01/23 08:17:23| Making directories in /var/spool/squid/09
2014/01/23 08:17:23| Making directories in /var/spool/squid/0A
2014/01/23 08:17:23| Making directories in /var/spool/squid/0B
2014/01/23 08:17:23| Making directories in /var/spool/squid/0C
2014/01/23 08:17:23| Making directories in /var/spool/squid/0D
2014/01/23 08:17:23| Making directories in /var/spool/squid/0E
2014/01/23 08:17:23| Making directories in /var/spool/squid/0F

Cela créera un cache de 100Mo, vous pouvez le modifiez en fonction de votre trafic.

Il ne reste plus qu'a tester le cache pour un fichier statique (ici photo.jpg) 

# cat /var/log/squid/access.log | grep photo.jpg
1390462989.170    859 192.168.50.101 TCP_MISS/200 35435 GET http://www.squid.org/wp-content/uploads/2009/03/photo.jpg - DIRECT/204.10.35.1 image/jpeg
1390463000.043      1 192.168.50.101 TCP_MEM_HIT/200 35442 GET http://www.squid.org/wp-content/uploads/2009/03/photo.jpg - NONE/- image/jpeg

La première fois que le fichier est demandé on a un TCP_MISS et, en revanche, la deuxième fois on a bien un TCP_MEM_HIT !

Préciser le nom de la machine

Quand le proxy possède plusieurs nom dans le DNS (CNAME) il peut être utile de préciser celui qui est utilisé dans les fichiers de logs ou s'il existe plusieurs caches dans un cluster. 

visible_hostname squid

Réduire le downtime

Si vous avez déjà redémarrer Squid, le temps d'arrêt n'a pas du vous échapper ! 30 secondes... il est possible de réduire ce temps en utilisant la directive shutdown_lifetime 

shutdown_lifetime 2 seconds

Enregistrement dans le chargeur de démarrage

# chkconfig squid on

Génération de rapports

Comme vous avez pu le constater, le fichier /var/log/squid/access.log contient beaucoup d'informations mais n'est pas très lisible. Pour extraire et formater les données de ce fichier nous allons utiliser Calamaris.

Pré-requis

Avant d'aller plus loin, il sera nécessaire d'installer le dépôt EPEL et d'avoir un serveur Web pour afficher le rapport

Installation

# yum -y install calamaris

Génération de rapport

# calamaris -a -F html -l '<img src="http://wiki/skins/common/images/labo-logo.jpg"/>' /var/log/squid/access.log > /var/www/html/index.html

Cela donne un rapport qui contient toutes les informations nécessaires:

  • -a → pour extraire toutes les informations ;
  • -F → pour préciser le format de sortie (ici HTML);
  • -l → pour spécifier un logo

Calamaris simple.png

Automatisation

Maintenant il ne reste plus qu'à automatiser cette génération avec un cron

On va commencer par créer le fichier bash /root/calamaris.sh 

#!/bin/bash

calamaris -a -F html -l '<img src="http://wiki/skins/common/images/labo-logo.jpg"/>' /var/log/squid/access.log > /var/www/html/index.html
chown apache.apache /var/www/html/index.html

A le rendre exécutable 

chmod +x /root/calamaris.sh

Et le mettre dans le crontab avec la commande crontab -e (plus d'information sur cron) 

*/10 * * * * /root/calamaris.sh

Le script sera exécuter toutes les 10 minutes !

Blocage des pubs

La blackliste

C'est le même système que pour les mails et qui consiste en une liste, pas toujours exhaustive, de tous les noms de domaines qui servent aux publicistes. Cette liste est disponible à cette adresse : http://pgl.yoyo.org

On va créer un script dans le répertoire '/opt/squid' qui va:

  • télécharger ce fichier dans le répertoire de Squid
  • recharger la configuration de Squid
#!/bin/bash

wget -O /etc/squid/ad_block.db 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=squid-dstdom-regex&showintro=0'

squid -k reconfigure

On va ajouter les lignes suivantes dans le fichier de configuration de Squid 

acl ads dstdom_regex "/etc/squid/ad_block.db"
http_access deny ads

Enfin on ajoute une entrée dans le crontab avec la commande crontab -e (plus d'information sur cron): 

* 0 * * * /opt/squid/ad-updater.sh

Tous les jours à minuit le script sera exécuté !

Le redirecteur

Récupérée de « https://www.tala-informatique.fr/wiki/index.php?title=Squid&oldid=394 »