Campus numérique Francophone de Ngaoundéré

Accueil
ZAC
Informations

Parc
Plan
Configuration
Travaux

Archives
Achats
Rapports
Accueil

Sommaire

  1. Campus numérique Francophone de Ngaoundéré
      1. Proxy inverse
        1. Le plus simple
        2. Avec plusieurs serveurs web et vhost
      2. ACL
      3. Autres lignes importantes

Page de référence : Squid

Juste les lignes les plus importantes ...

Proxy inverse

L'utiliser signifie que le serveur web interrogé ne verra qu'une seule adresse IP (normal non :) ) => pas d'infos sur les IP d'origine dans les stats.

Le plus simple

Au CNF on l'utilise pour alléger la charge sur les serveurs web pour les utilisateurs en provenance de l'université.

/!\ Ses règles d'accès doivent être placées avant toutes les autres. 

http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org

###reglages pour le reverse
cache_peer miroir.ndere.cm.refer.org parent 80 0 no-query originserver name=Accel1
##access control
acl miroirCNF dstdomain miroir.ndere.cm.refer.org
http_access allow miroirCNF
cache_peer_access Accel1 allow miroirCNF
cache_peer_access Accel1 deny all

Avec plusieurs serveurs web et vhost

Dans notre cas, un site web dans un CT et différents miroirs répartis dans des vhost d'une autre machine. 

http_port 172.16.224.14:80 accel defaultsite=miroir.ndere.cm.refer.org vhost


### reglages pour le reverse
cache_peer 192.168.10.102 parent 80 0 no-query originserver no-digest name=Accel1
cache_peer 192.168.10.210 parent 80 0 no-query originserver no-digest name=Accel2
## access controm
acl miroirCNF  dstdom_regex miroir(mobile)?.ndere.cm.refer.org
acl miroirCNF0  dstdomain www.ndere.cm.refer.org
acl miroirCNF  dstdom_regex (natty|squeeze).ndere.cm.refer.org
acl cgqWeb  dstdomain cgq.ndere.cm.refer.org

http_access allow miroirCNF
http_access allow miroirCNF0
http_access allow cgqWeb

cache_peer_access Accel1 allow miroirCNF
cache_peer_access Accel1 allow miroirCNF0
cache_peer_access Accel2 allow cgqWeb

cache_peer_access Accel1 deny all
cache_peer_access Accel2 deny all

ACL

acl localnet src 192.168.18.0/24        # LAN du CNFN
acl localnet_posteAUF src 192.168.18.70-192.168.18.90
acl localnet_posteUsager src 192.168.18.100-192.168.18.200 # les usagers mobiles
acl recalcitrant src 192.168.18.200 #tout ceux qui ne veulent pas suivre les consignes et à qui je dois expliquer oralement les raisons des restrictions
acl dmz src 192.168.10.0/24     # dmz du CNFN

http_access allow dmz

# Prise en compte du domaine local
acl domainNdere dstdomain ndere.cm.auf.org

# banned adult content
acl adultContent url_regex -i "/etc/squid/file/banned"
acl adultContentDom dstdom_regex -i "/etc/squid/file/dom_drop"

#maxim de connexion par postes
acl peak_veryLow maxconn 12
acl peak_high maxconn 28
acl peak_low maxconn 23

#domaines autorises dans toutes les situations
acl domGrant dstdom_regex -i "/etc/squid/file/dom_grant"
#domaines banned (entertainment)
acl entertainment dstdom_regex -i "/etc/squid/file/dom_drop"
acl entertainmentDom url_regex -i "/etc/squid/file/entertainment"

#mes machines qui doivent passer partout
acl usagerGranted src 192.168.18.20
acl rpvmaster src 10.45.33.0/24

#surveillance de certains fichiers...
acl extfiles urlpath_regex -i "/etc/squid/file/extensions"
acl extfilesGrant urlpath_regex -i \.pdf$


# Mes access
http_access allow rpvmaster
http_access allow usagerGranted

#mode chasse
#quand je suis dur ....
#http_access deny localnet

http_access allow domGrant
http_access allow extfilesGrant
#http_access deny adultContentDom localnet
http_access deny adultContent localnet
http_access deny extfiles localnet
http_access deny entertainmentDom localnet
http_access deny entertainment localnet

http_access deny peak_veryLow recalcitrant
http_access deny peak_low localnet_posteUsager
http_access deny peak_high localnet_posteAUF
#http_access deny peak localnet

http_access allow localnet
http_access allow localhost

Autres lignes importantes

cache deny domainNdere
cache_dir ufs /var/spool/squid 1000 16 256