Page de référence : Squid

Juste les lignes les plus importantes ...

En mode proxy

ACL

• restriction sur certains domaines, types de fichiers
• distinction entre différents types d'utilisateurs

• couper ceux qui font trop de requêtes simultanées (maxconn)

acl localnet src 192.168.18.0/24        # LAN du CNFN
acl localnet_posteAUF src 192.168.18.70-192.168.18.90
acl localnet_posteUsager src 192.168.18.100-192.168.18.200 # les usagers mobiles
acl recalcitrant src 192.168.18.200 #tout ceux qui ne veulent pas suivre les consignes et à qui je dois expliquer oralement les raisons des restrictions
acl dmz src 192.168.10.0/24     # dmz du CNFN

http_access allow dmz

# Prise en compte du domaine local
acl domainNdere dstdomain ndere.cm.auf.org

# banned adult content
acl adultContent url_regex -i "/etc/squid/file/banned"
acl adultContentDom dstdom_regex -i "/etc/squid/file/dom_drop"

#maxim de connexion par postes
acl peak_veryLow maxconn 12
acl peak_high maxconn 28
acl peak_low maxconn 23

#domaines autorises dans toutes les situations
acl domGrant dstdom_regex -i "/etc/squid/file/dom_grant"
#domaines banned (entertainment)
acl entertainment dstdom_regex -i "/etc/squid/file/dom_drop"
acl entertainmentDom url_regex -i "/etc/squid/file/entertainment"

#mes machines qui doivent passer partout
acl usagerGranted src 192.168.18.20
acl rpvmaster src 10.45.33.0/24

#surveillance de certains fichiers...
acl extfiles urlpath_regex -i "/etc/squid/file/extensions"
acl extfilesGrant urlpath_regex -i \.pdf$


# Mes access
http_access allow rpvmaster
http_access allow usagerGranted

#mode chasse
#quand je suis dur ....
#http_access deny localnet

http_access allow domGrant
http_access allow extfilesGrant
#http_access deny adultContentDom localnet
http_access deny adultContent localnet
http_access deny extfiles localnet
http_access deny entertainmentDom localnet
http_access deny entertainment localnet

http_access deny peak_veryLow recalcitrant
http_access deny peak_low localnet_posteUsager
http_access deny peak_high localnet_posteAUF


http_access allow localnet
http_access allow localhost

#Autres lignes importantes ====
cache deny domainNdere
cache_dir ufs /var/spool/squid 1000 16 256

En mode proxy inverse avec squid3

L'utiliser signifie que le serveur web interrogé ne verra qu'une seule adresse IP (normal non ) => pas d'infos sur les IP d'origine dans les stats.

Le plus simple

Au CNF on l'utilise pour alléger la charge sur les serveurs web pour les utilisateurs en provenance de l'université et aussi pour pallier au fait que nous n'avons qu'une seule adresse IP publique.

Ainsi on peut servir plusieurs sites web réparties dans plusieurs serveurs de la DMZ. Au préalable bien sur , un DNAT au niveau du parefeu pour faire parvenir tout le trafic du port 80 vers notre mandataire.

Ses règles d'accès doivent être placées avant toutes les autres.

Extrait de certaines portions de /etc/squid3/squid3.conf

http_port 80 accel defaultsite=miroir.ndere.cm.refer.org vhost

acl miroirCNF0  dstdomain www.ndere.cm.refer.org
acl gitCNF  dstdomain git.ndere.cm.refer.org
acl webCNF  dstdomain web.ndere.cm.refer.org
acl clubfrancophonie  dstdomain clubfrancophonie.ndere.cm.refer.org

cache_peer 192.168.10.120 parent 80 0 no-query originserver no-digest  name=Accel0
cache_peer 192.168.10.211 parent 80 0 no-query originserver no-digest name=Accel3
cache_peer 192.168.10.122 parent 80 0 no-query originserver no-digest name=Accel4
cache_peer 192.168.10.220 parent 80 0 no-query originserver no-digest name=Accel6

http_access allow miroirCNF0
http_access allow gitCNF
http_access allow webCNF
http_access allow clubfrancophonie

cache_peer_access Accel0 allow miroirCNF0
cache_peer_access Accel3 allow gitCNF
cache_peer_access Accel4 allow webCNF
cache_peer_access Accel6 allow clubfrancophonie

cache_peer_access Accel0 deny all
cache_peer_access Accel3 deny all
cache_peer_access Accel4 deny all
cache_peer_access Accel6 deny all

http_access deny all