<> <> Page de référence : [[Squid]] Juste les lignes les plus importantes ... == En mode proxy == === ACL === * restriction sur certains domaines, types de fichiers * distinction entre différents types d'utilisateurs * couper ceux qui font trop de requêtes simultanées (`maxconn`) {{{ acl localnet src 192.168.18.0/24 # LAN du CNFN acl localnet_posteAUF src 192.168.18.70-192.168.18.90 acl localnet_posteUsager src 192.168.18.100-192.168.18.200 # les usagers mobiles acl recalcitrant src 192.168.18.200 #tout ceux qui ne veulent pas suivre les consignes et à qui je dois expliquer oralement les raisons des restrictions acl dmz src 192.168.10.0/24 # dmz du CNFN http_access allow dmz # Prise en compte du domaine local acl domainNdere dstdomain ndere.cm.auf.org # banned adult content acl adultContent url_regex -i "/etc/squid/file/banned" acl adultContentDom dstdom_regex -i "/etc/squid/file/dom_drop" #maxim de connexion par postes acl peak_veryLow maxconn 12 acl peak_high maxconn 28 acl peak_low maxconn 23 #domaines autorises dans toutes les situations acl domGrant dstdom_regex -i "/etc/squid/file/dom_grant" #domaines banned (entertainment) acl entertainment dstdom_regex -i "/etc/squid/file/dom_drop" acl entertainmentDom url_regex -i "/etc/squid/file/entertainment" #mes machines qui doivent passer partout acl usagerGranted src 192.168.18.20 acl rpvmaster src 10.45.33.0/24 #surveillance de certains fichiers... acl extfiles urlpath_regex -i "/etc/squid/file/extensions" acl extfilesGrant urlpath_regex -i \.pdf$ # Mes access http_access allow rpvmaster http_access allow usagerGranted #mode chasse #quand je suis dur .... #http_access deny localnet http_access allow domGrant http_access allow extfilesGrant #http_access deny adultContentDom localnet http_access deny adultContent localnet http_access deny extfiles localnet http_access deny entertainmentDom localnet http_access deny entertainment localnet http_access deny peak_veryLow recalcitrant http_access deny peak_low localnet_posteUsager http_access deny peak_high localnet_posteAUF http_access allow localnet http_access allow localhost #Autres lignes importantes ==== cache deny domainNdere cache_dir ufs /var/spool/squid 1000 16 256 }}} == En mode proxy inverse avec squid3 == L'utiliser signifie que le serveur web interrogé ne verra qu'une seule adresse IP (normal non :) ) => pas d'infos sur les IP d'origine dans les stats. === Le plus simple === Au CNF on l'utilise pour alléger la charge sur les serveurs web pour les utilisateurs en provenance de l'université et aussi pour pallier au fait que nous n'avons qu'une seule adresse IP publique. Ainsi on peut servir plusieurs sites web réparties dans plusieurs serveurs de la DMZ. Au préalable bien sur , un DNAT au niveau du parefeu pour faire parvenir tout le trafic du port 80 vers notre mandataire. /!\ Ses règles d'accès doivent être placées '''avant''' toutes les autres. Extrait de certaines portions de `/etc/squid3/squid3.conf` {{{ http_port 80 accel defaultsite=miroir.ndere.cm.refer.org vhost acl miroirCNF0 dstdomain www.ndere.cm.refer.org acl gitCNF dstdomain git.ndere.cm.refer.org acl webCNF dstdomain web.ndere.cm.refer.org acl clubfrancophonie dstdomain clubfrancophonie.ndere.cm.refer.org cache_peer 192.168.10.120 parent 80 0 no-query originserver no-digest name=Accel0 cache_peer 192.168.10.211 parent 80 0 no-query originserver no-digest name=Accel3 cache_peer 192.168.10.122 parent 80 0 no-query originserver no-digest name=Accel4 cache_peer 192.168.10.220 parent 80 0 no-query originserver no-digest name=Accel6 http_access allow miroirCNF0 http_access allow gitCNF http_access allow webCNF http_access allow clubfrancophonie cache_peer_access Accel0 allow miroirCNF0 cache_peer_access Accel3 allow gitCNF cache_peer_access Accel4 allow webCNF cache_peer_access Accel6 allow clubfrancophonie cache_peer_access Accel0 deny all cache_peer_access Accel3 deny all cache_peer_access Accel4 deny all cache_peer_access Accel6 deny all http_access deny all }}}