mise en place du proxy squid Le sujet est résolu

Demande d'aide : c'est ici.
Répondre
tony
Membre
Membre
Messages : 406
Inscription : 10 juil. 2023, 00:54
Status : Hors-ligne

salut ,

voulant améliorer vitesse et sécurité j'ai choisi la solution d'installer un serveur proxy Apache + Squid , je laisse le VPN pour plus tard ; éventuellement . La partie serveur web , apache2 , est installée et opérationnelle [inutile dans mon cas en fait]. Restent le proxy et l'articulation entre ces deux programmes . Commençons par le proxy , installé et en service , mais dont la configuration ne me parle pas beaucoup .

Ce que j'ai fait :
  • installé le paquet adéquat + mise en service automatique à chaque redémarrage
  • ajouté une règle à nfttables :

    Code : Tout sélectionner

    nft add rule ip filter input position 8 tcp dport 3128  accept  --> finalement inutile
  • créé un fichier de configuration /etc/squid.d/squid.conf sur le modèle de ce que j'avais fait pour lightdm.conf
Ce qu'il me reste à entrer dans ce fichier , a minima , ce sont les ACL autorisées . Mais comment établir la liste minimale pour que ça fonctionne efficacement ? J'ai pensé à autoriser toutes les adresses répertoriées dans ma Livebox pour que le comportement actuel ne soit pas modifié . En fait je n'ai pas vraiment d'idées sur la question , donc une piste de réflexion serait la bienvenue pendant que je continue à rechercher une bonne source d'information .

Autre question : je dois pouvoir utiliser le protocole ssh entre mes différents appareils , un proxy change-t-il les régles ?

ps : je réalise cette installation sur un ssd autonome comportant Debian 12 , histoire de ne pas mettre en vrac mon portable habituel .
Debian 12/ Xfce
Haut
tony
Membre
Membre
Messages : 406
Inscription : 10 juil. 2023, 00:54
Status : Hors-ligne

finalement ça fonctionne : contrôlé avec tail -f /var/log/squid/access.log qui défile en permanence . Mais pourquoi faut-il entrer 127.0.0.1, IP de l'hôte local , comme adresse ou domaine , je ne sais , dans les paramètres de Firefox pour que ça marche ? Mystère . Savoir si mon paramétrage est correct est une autre question . Ça ressemble encore un peu , beaucoup serait plus exact , à une boîte noire toutes ces couches logicielles qui ont l'air de fonctionner sans que je sache vraiment pourquoi .

ps1 : par contre squid provoque un arrêt d'environ 20s dans le processus d'arrêt du pc : "job squid.service stopped running"

ps2 :
The safest way to shut down Squid is with the squid -k shutdown command:
.....
This command sends the TERM signal to the running Squid process. Upon receipt of the TERM signal, Squid closes its incoming sockets so that new requests aren't accepted. It then waits some amount of time for outstanding requests to complete. The default is 30 seconds, which you can change with the shutdown_lifetime directive.
voilà la raison probable et ce serait donc normal . Archwiki abonde et propose de passer à 10 s . Ça me va
If you are running squid on your desktop PC, you may want to set this to something short.

shutdown_lifetime 10 seconds
ps3 : j'ai lu que l'accès à localhost était autorisé par défaut , mais si je ne le précise pas dans le fichier /etc/sqiud/conf.d/squid.conf internet devient inaccessible .
ps4 : en transposant le tout sur mon pc je viens de réaliser que j'ai déjà un fichier /etc/squid/squid.d/debian.conf qui est là exprès et que finalement il n'y a pas grand chose à faire pour une installation très basique de ce proxy .
ps5 : si le port 3128 est bien actif par défaut ( http_port 3128 dans le fichier à double casquette (=?) documentation/configuration ) en revanche , dans le même fichier http_access allow localhost perdu dans la masse de 8573 lignes complètement indigestes , est sans effet --> il semblerait que http_access deny all en dernière ligne dans le fichier /etc/squid/conf.d/debian.conf bloquait ; une fois enlevé localhost est bien autorisé par défaut .
Le nom du fichier est explicite , l'intitulé de la prose This is the documentation for the Squid configuration file l'est beaucoup moins , il est même trompeur pour un béotien .
ps6=quand le mythe du cache accélérateur s'effrite : malgré la mise en œuvre d'un cache-répertoire aucun TCP_HIT à l'horizon , rien que du TCP_TUNNEL ..443... HIER_DIRECT ,autant dire que le cache ne sert à rien dans ma configuration:
Squid does not cache anything if TCP_TUNNEL is used for 443. It just relays packets back and forth from client <-> server without knowing what is in them as they are SSL encrypted.

To have squid cache https sites, one has to have squid able to be a "MITM" in the SSL connection. That is, it has to issue certificates on the fly to "pretend" to be the destination.

Read here if you really want this (it involves setting up your own certificate authority and all clients have to trust it).
je n'ai pas perdu mon temps car j'ai appris un tas de petits trucs intéressants , mais le résultat est décevant . Donc on oublie l'accélération , reste la sécurité .
Debian 12/ Xfce
Haut
Répondre

Revenir à « Support Debian »