Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
929 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ SQUID ] Reverse proxy et https

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[ SQUID ] Reverse proxy et https

n°740671
jeoff
Posté le 14-10-2005 à 11:22:11  profilanswer
 

Bonjour,
 
Venons en au fait. Nous avons d'un côté sur le réseau un serveur IIS qui gère OWA (outlook via un serveur web). Ce serveur tourne correctement en local.(cad si je connecte sur http://192.168.0.1/exchange/ je me log et j'ai accès à ma messagerie sous IE ou Firefox)
 
Nous avons sur notre réseau local une debian avec apache et squid.
 
Si je rentre notre nom de domaine dans un navigateur, j'arrive sur le serveur apache qui charge bien la page d'index.
 
Sur cette page se trouve un lien hypertexte vers l'accès aux BAL de type https://smtp.xxx.com. Ce lien doit me rediriger vers mon serveur IIS qui gère OWA.  
 
Si je clique sur ce lien j'obtiens sous IE "impossible d'afficher la page" et sous FF "connexion refusée lors de la tentative de contact de smtp.xxx.com".
 
Je soupçonne donc une non redirection de squid vers le serveur IIS.
Squid est configuré en reverse proxy.
 
Le schéma recherché :  
 
client : connexion via https au moyen du lien fourni sur index.htm
|
HTTPS
|
Squid
|
HTTP
|
IIS OWA
 
Comment s'assurer que squid tourne bien ?
si je fais squid start
ps -A me liste un process squid
ps -A (à nouveau) m'en liste 2
ps -A (troisième fois) plus rien ... 0 process squid
 
dans cache.log
 
2005/10/13 14:25:46| Squid is already running!  Process ID 181
2005/10/13 14:30:25| Initializing https proxy context
2005/10/13 14:30:26| Initializing https_port 0.0.0.0:443 SSL context
2005/10/13 14:30:26| Using certificate in /var/cert/squid.pem
2005/10/13 14:30:26| Using private key in /var/cert/squid.pem
2005/10/13 14:30:26| Error setting CA certificate locations: error:00000000:lib(
0):func(0):reason(0)
2005/10/13 14:30:26| continuing anyway...
 
access.log reste désespérèment vide
 
voici mon squid.conf
 

Code :
  1. http_port 3128
  2. https_port 443 cert=/var/cert/squid.pem defaultsite=smtp.xxx.com
  3. cache_peer smtp.xxx.com parent 80 0 login=PASS front-end-https=auto proxy
  4. -only
  5. ssl_unclean_shutdown on
  6. hierarchy_stoplist cgi-bin ?
  7. acl QUERY urlpath_regex cgi-bin \?
  8. no_cache deny QUERY
  9. dns_nameservers 127.0.0.1
  10. auth_param basic children 5
  11. auth_param basic realm Squid proxy-caching web server
  12. auth_param basic credentialsttl 2 hours
  13. refresh_pattern ^ftp:           1440    20%     10080
  14. refresh_pattern ^gopher:        1440    0%      1440
  15. refresh_pattern .               0       20%     4320
  16. acl all src 0.0.0.0/0.0.0.0
  17. acl manager proto cache_object
  18. acl localhost src 127.0.0.1/255.255.255.255
  19. acl to_localhost dst 127.0.0.0/8
  20. acl owa-exchange urlpath_regex \/exchange(V|$)
  21. acl owa-public urlpath_regex \/public(V|$)
  22. acl owa-exchweb urlpath_regex \/exchweb(V|$)
  23. acl owa-host dst 192.168.0.1
  24. acl localnet src 192.168.0.0/255.255.255.0
  25. acl SSL_ports port 443 563
  26. acl Safe_ports port 80          # http
  27. acl Safe_ports port 21          # ftp
  28. acl Safe_ports port 443 563     # https, snews
  29. acl Safe_ports port 70          # gopher
  30. acl Safe_ports port 210         # wais
  31. acl Safe_ports port 1025-65535  # unregistered ports
  32. acl Safe_ports port 280         # http-mgmt
  33. acl Safe_ports port 488         # gss-http
  34. acl Safe_ports port 591         # filemaker
  35. acl Safe_ports port 777         # multiling http
  36. acl CONNECT method CONNECT
  37. http_access allow manager localhost
  38. http_access deny manager
  39. http_access deny !Safe_ports
  40. http_access deny CONNECT !SSL_ports
  41. http_access allow owa-host
  42. http_access allow owa-host owa-exchange
  43. http_access allow owa-host owa-public
  44. http_access allow owa-host owa-exchweb
  45. http_access allow localnet
  46. http_access deny all
  47. http_reply_access allow all
  48. icp_access allow all
  49. visible_hostname proxy
  50. coredump_dir /usr/local/squid/var/cache


 
 
Voilà j'ai essayé de donner le max d'info mais n'hésiter pas si il vous faut autre chose.
 
Je voudrai déjà m'assurer que squid tourne mais je sais pas comment le vérifier :/


Message édité par jeoff le 14-10-2005 à 11:28:41
mood
Publicité
Posté le 14-10-2005 à 11:22:11  profilanswer
 

n°740697
jeoff
Posté le 14-10-2005 à 13:13:46  profilanswer
 

ps ax |grep squid  
me renvoie  
334 pts/0     S     0:00 grep squid
 
donc j'en déduis que le service est actif nan ?
 
P.S. je suis pas calé en administration donc toute aide serait appréciable :jap: aussi infime soit-elle

Message cité 1 fois
Message édité par jeoff le 14-10-2005 à 13:14:53
n°740739
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 14-10-2005 à 15:25:34  profilanswer
 

nmap localhost
 
squid meurt certainement après quelques secondes. lances-le manuellement avec l'option -N pour avoir le logging sur l'écran.
 
man squid pour davantage d'options...


Message édité par roscocoltran le 14-10-2005 à 15:26:23
n°740758
jeoff
Posté le 14-10-2005 à 16:33:18  profilanswer
 

nmap ne semble pas installé.
 
par contre le logging de squid révèle des infos intéressantes.
 
 
2005/10/14 16:42:07| Memory pools are 'off'; limit: 2.00 MB
WARNING: Cannot write log file: /var/logs/cache.log
/var/logs/cache.log: Permission denied
         messages will be sent to 'stderr'.
2005/10/14 16:42:07| WARNING: Closing open FD    2
2005/10/14 16:42:07| Starting Squid Cache version 3.0-PRE3-20050208 for i586-pc-linux-gnu...
2005/10/14 16:42:07| Process ID 748
2005/10/14 16:42:07| With 1024 file descriptors available
2005/10/14 16:42:07| Performing DNS Tests...
2005/10/14 16:42:07| Successful DNS name lookup tests...
2005/10/14 16:42:07| ipcacheAddEntryFromHosts: Bad IP address 'n192.168.0.1'
2005/10/14 16:42:07| DNS Socket created at 0.0.0.0, port 1031, FD 3
2005/10/14 16:42:07| Adding nameserver 127.0.0.1 from squid.conf
FATAL: Cannot open '/var/logs/access.log' for writing.
        The parent directory must be writeable by the
        user 'nobody', which is the cache_effective_user
        set in squid.conf.
Squid Cache (Version 3.0-PRE3-20050208): Terminated abnormally.
CPU Usage: 0.190 seconds = 0.120 user + 0.070 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 494
Aborted
 
 
J'ai un emploi du temps chargé donc je pourrai pas me pencher dessus avant lundi matin (je vais qd même regarder depuis le web ce WE histoire de m'avancer un peu). Merci pour le coup de pouce, je te/vous tiens au courant de l'avancement.


Message édité par jeoff le 14-10-2005 à 16:34:27
n°740769
m3z
il faut toujours faire simple
Posté le 14-10-2005 à 17:05:58  profilanswer
 

jeoff a écrit :

ps ax |grep squid  
me renvoie  
334 pts/0     S     0:00 grep squid
 
donc j'en déduis que le service est actif nan ?
 
P.S. je suis pas calé en administration donc toute aide serait appréciable :jap: aussi infime soit-elle


 
Le ps liste les tâches et le grep te filtre toutes les lignes qui contiennent "squid".
Mais la commande grep elle même contient un squid (comme argument).
Ce que tu vois c'est le rpcoessus grep (que tu viens de lancer). Le squid s'est arrété.
Ton problème est comme tu l'a vu décrit dans le log squid
Tu n'a pas les droits d'écritures sur /var/logs/cache.log.
Lance squid en tant que root (pour le test) cela devrait fonctionner.  
Après il te faut créer groupe et un compte squid et donner les droits d'accès et lancé squid avec ce compte.
La suite c'est dans la doc (man)   ;)  
A+
 
 


Message édité par m3z le 14-10-2005 à 17:12:09
n°740797
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 14-10-2005 à 18:22:36  profilanswer
 

verifie les directives cache_effective_user et cache_effective_group dans le man de squid

n°741607
jeoff
Posté le 17-10-2005 à 08:37:28  profilanswer
 

ok donc je viens d'affecter des droits à un nouvel utilisateur (squid) et de configurer squid.conf avec cet utilisateur, ca refonctionne comme avant donc :
1) je vous remercie pour votre aide.
2) je veux m'assurer que j'ai fait ça bien :). Je ne voudrais pas donner plus de pouvoirs que nécessaire donc corrigez moi si j'ai fait une boulette.
 
adduser (squid dans le groupe squid)
 
chown squid /var/logs
chmod 770 /var/logs
 
chown squid /var/logs/cache.log
chown squid /var/logs/access.log
chown squid /var/logs/store.log
chmod 770 /var/logs/cache.log
chmod 770 /var/logs/access.log
chmod 770 /var/logs/store.log


Message édité par jeoff le 17-10-2005 à 08:38:37
n°741815
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 17-10-2005 à 18:37:23  profilanswer
 

Ne modifie pas tout, vérifie avant si un user "proxy" n'a pas été crée lors de l'installation de squid. Sinon, vérifie aussi le groupe d'appartenance de ces fichiers, sinon: "chown untel:untel xxx"

n°741954
jeoff
Posté le 18-10-2005 à 10:29:16  profilanswer
 

Ok merci :)

n°741988
Burps
Posté le 18-10-2005 à 11:58:19  profilanswer
 

je dis ca comme ca, mais c pas un peu violent de faire appartenir TOUT le repertoire /var/logs à squid ?
Et comment ils ont les autres demons pour ecrire les logs s'il ont pas les droits ?
 
Et puis aussi, quand tu chown les fichiers/rep, on devrait pas egalement fire un chgrp ?
 
A moins que j'aie mal compris...

mood
Publicité
Posté le 18-10-2005 à 11:58:19  profilanswer
 

n°742003
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 18-10-2005 à 12:46:53  profilanswer
 

chown untel:untel, ca change le groupe, aussi. Mais c'est vrai qu'il ne faut pas modifier la racine de /var/log

n°742037
jeoff
Posté le 18-10-2005 à 14:33:09  profilanswer
 

bah squid me demande un accès en écriture sur tout le répertoire, je dois faire comment ?
 
Sur cette machine il n'y a que squid et apache qui tournent.
Les logs apache sont dans /var/log/apache.
 
ceux de squid sont dans /var/logs (repertoire crée par mes soins) et pas /var/log où le système pose ses logs ;)
 
C'est vrai que pour faire propre, autant les mettre dans /var/log/squid quand j'y réfléchis :whistle:


Message édité par jeoff le 18-10-2005 à 14:33:24
n°742038
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 18-10-2005 à 14:39:26  profilanswer
 

Lors de l'installation, tu n'as pas un dossier squid qui a été créé ? En général on ne se pose même plus la question, car le package crée le dossier log en général. Dans mon cas, tout se trouve dans /var/log/squid
 
edit: et un user proxy du groupe proxy a été créé. Tu as installé squid avec apt-get, ou tout autre gestionnaire de paquets ?


Message édité par roscocoltran le 18-10-2005 à 14:41:41
n°742043
jeoff
Posté le 18-10-2005 à 14:57:21  profilanswer
 

Oui proxy est crée, j'ai tout reconfiguré avec et supprimé le compte/groupe squid.
 
Ce n'est pas moi qui ai installé squid. Je cherchais juste à le relancer correctement. Donc j'ai tenté plusieurs bidouilles plus ou moins catholiques (ca faisait longtemps que j'avais pas ouvert de console nux). C'est grâce à l'option -N que j'ai commencé à chercher au bon endroit le problème :D.
 
D'après la doc de mon prédecesseur, il a été installé avec make & co.
 
Une fois le service relancé, je voulais rendre le serveur aussi propre que possible. Quitte à passer pour un boulet avec mes questions sur les permissions d'accès :o.
 
EDIT :  par défaut quand je suis arrivé, l'utilisateur était nobody dans squid.conf


Message édité par jeoff le 18-10-2005 à 15:03:33
n°767652
jeoff
Posté le 03-01-2006 à 15:55:16  profilanswer
 

Je me permet d'upper le topic car mes utilisateurs rencontrent un soucis.
 
Parfois il arrive qu'une pièce jointe soit illisible (ex : fichier word endommagé) sous OWA alors qu'elle est clean sous outlook.
 
Une idée ?
 
Merci :jap:
 
access.log

Code :
  1. 1136300243.697     14 82.127.52.130 TCP_MISS/200 497 GET https://smtp.url.com/exchweb/im
  2. g/tool-reply.gif - FIRST_UP_PARENT/smtp.url.com image/gif
  3. 1136300243.705     17 82.127.52.130 TCP_MISS/200 496 GET https://smtp.url.com/exchweb/im
  4. g/tool-forward.gif - FIRST_UP_PARENT/smtp.url.com image/gif
  5. 1136300243.722     14 82.127.52.130 TCP_MISS/200 470 GET https://smtp.url.com/exchweb/im
  6. g/tool-up.gif - FIRST_UP_PARENT/smtp.delbardpro.com image/gif
  7. 1136300243.731     17 82.127.52.130 TCP_MISS/200 472 GET https://smtp.url.com/exchweb/im
  8. g/tool-down.gif - FIRST_UP_PARENT/smtp.url.com image/gif
  9. 1136300243.748     14 82.127.52.130 TCP_MISS/200 476 GET https://smtp.url.com/exchweb/IM
  10. G/tool-delete.gif - FIRST_UP_PARENT/smtp.delbardpro.com image/gif
  11. 1136300243.756     17 82.127.52.130 TCP_MISS/200 505 GET https://smtp.url.com/exchweb/im
  12. g/form-attn.gif - FIRST_UP_PARENT/smtp.url.com image/gif
  13. 1136300243.770     10 82.127.52.130 TCP_MISS/200 497 GET https://smtp.url.com/exchweb/im
  14. g/form-freedoc.gif - FIRST_UP_PARENT/smtp.url.com image/gif
  15. 1136300246.524    709 82.127.52.130 TCP_MISS/200 232756 GET https://smtp.url.com/exchang
  16. e/jeoff/Bo%C3%AEte%20de%20r%C3%A9ception/pr%C3%A9sentation%20powerpoint.EML/Pr%C3%A9senta
  17. tion%20Stage.ppt? - FIRST_UP_PARENT/smtp.url.com application/vnd.ms-powerpoint
  18. 1136300265.911    579 82.127.52.130 TCP_MISS/200 232757 GET https://smtp.url.com/exchang
  19. e/jeoff/Bo%C3%AEte%20de%20r%C3%A9ception/pr%C3%A9sentation%20powerpoint.EML/Pr%C3%A9senta
  20. tion%20Stage.ppt? - FIRST_UP_PARENT/smtp.url.com application/vnd.ms-powerpoint
  21. 1136300282.362    452 82.127.52.130 TCP_MISS/200 232756 GET https://smtp.url.com/exchang
  22. e/jeoff/Bo%C3%AEte%20de%20r%C3%A9ception/pr%C3%A9sentation%20powerpoint.EML/Pr%C3%A9senta
  23. tion%20Stage.ppt? - FIRST_UP_PARENT/smtp.url.com application/vnd.ms-powerpoint


 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ SQUID ] Reverse proxy et https

 

Sujets relatifs
[Squid] Ne démarre pas, "Failed to open swap log" [résolu]squid ne me laisse pas naviguer
Interpretation des logs de Squidforcer squid ds shorewall
quel distri choisir avec squid et squid integrésquid et squiguard
Connection RedHat 9.0 avec Proxy ISAProblème de transparence du proxy avec iptables
[squid] Problème en Mode transparent[ Squid ] Always_direct - Plus avoir besoin d'exclure les hosts locals
Plus de sujets relatifs à : [ SQUID ] Reverse proxy et https


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR