Outils pour utilisateurs

Outils du site


Panneau latéral

Accueil

Menu Linux

Menu Windows

iPhone

Raspberry

I. Partie LINUX

  • Préliminaire

Introduction Linux

LiveCD Linux

  • Installation

LiveCD Ubuntu

Installation Ubuntu

Ubuntu Studio

Cubuntu

Ubuntu-Mate

Ubuntu sur Netbook

Installation sur support USB

Installation sur support USB

Installation sans CD-ROM

Installation Second Ubuntu

Réinstallation sur mono-partition

Installations, mises à jour

Réinstallation/Migration version Ubuntu

Conversion Desktop->Serveur

Applications Ubuntu

Documentation-Aides

  • Aller plus loin

Arborescence Ubuntu

Recherche Ubuntu

Edition Linux

Shell/Terminal/Super Utilisateur

Commandes Linux (1)

Commandes Linux (2)

Utilisateurs, groupes, droits

Imprimante/Scanner Linux

Compression-Archivage

Déplacer le /home

Fusion de deux /homes

Changement d'ordinateur

Bureau-Gnome

Environnement graphique

Imagemagick

Dokuwiki

Second Dokuwiki

  • Réseau

Connexion Linux

Réseau Linux

Partage connexion

Paramétrage routeur

Répéteur Wifi

Analyse Réseau - Gestion parc

Partages Linux

Partage anonyme Samba

Exemple Partage Samba

Fichier partage Samba

Exemple Réseau NFS

Webmin

Usermin

Transferts Linux

Contrôle à distance

Contrôle à distance Linux

Authentification SSH

Ajaxplorer

Analyse Réseau - Gestion parc

Thunderbird sur un réseau

Inventaire informatique

Disque-Réseau

Serveur NAS DNS320

Disque USB

Serveur Linux

Serveur Ubuntu

Changement de serveur

Diffusion Multmedia

Serveur Proxy

Serveur de Proxy

Management serveur HP Proliant G6

OpenVPN

Sécurité Linux

Wake-on-LAN

Migration Linux Petite entreprise

Ubuntu One

  • Courrier

Courrier en Terminal

Hébergement comptes

  • Utiliser des applications Windows ou d'autres OS

Virtualisation (1): VirtualBox

Virtualisation (2): Proxmox

Wine: Applications Windows sous Linux

  • Téléphonie VOIP

Asterisk, TrixBox

Elastix

Routeur double Wan

  • Maintenance, dépannage

Sauvegarde

Sauvegarde Linux(1): Backup-Manager

Sauvegarde Linux(2)

Sauvegarde Partitions

Sauvegarde Nuage

Synchronisation Linux

Automatisation tâches cron

Rsyncd

Dépannage Ubuntu

Antivirus Linux

Spam & Publicité

Grub

Grub2

Grub-rescue

Partitions Linux

Fichier fstab

LVM

RAID

Installation RAID1

Installation RAID sur installation Ubuntu

Récupération de fichiers, partitions

  • BDD

BDD Linux

Access/MySQL

Talend Open Studio

II. Partie commune

Présentation

  • Internet/Réseau

Navigation Internet

Thunderbird (1)

Thunderbird (2)

Thunderbird (3)

Courrier GMail

Jabber

Fonctions Freebox

  • Création de site/blog

Joomla

Blog: Dotclear

Dreamweaver

  • Bureautique

OpenOffice/LibreOffice

  • Graphisme

Picasa

  • Photo

Photo: Théorie

Photo: Pratique

Diaporama, site photos

Retouche: Gimp

  • Gravure

Gravure CD

  • Vidéo

YouTube

  • BDD

BDD Linux

Access/MySQL

Gestion Bibliothèque/Archives

Généalogie

Redmine

III. Partie WINDOWS

  • Préliminaire

Logiciels Windows

Utilitaires Windows

Commandes DOS

  • Internet

Connexion Internet

Export OutlookExpress

Changement d'ordinateur

Agenda

Exploration/Dépannage Internet

  • Réseau

Partage Connexion

Partage Fichiers

Partage Imprimante

Transfert Fichiers

Transfert Windows

Analyse Réseau Windows

  • Dépannage

Prévention-dépannage Windows

  • Divers

Anti-virus

Installation périphérique Windows

Partitions Windows

Organisation disque dur

Sauvegarde-Synchronisation Windows

Putty

Contrôle à distance

BDD Windows

IV. Divers

Liseuse Kindle

serveur-proxy

Serveur de Proxy

Un Serveur Proxy, ou en français Serveur mandataire, est un serveur servant à faire suivre les requêtes informatiques entre des ordinateurs-client et un serveur. Il peut avoir de nombreuses utilités, par exemple filtrer les requêtes, garantir l'anonymat, crypter les échanges ou encore contourner les restrictions imposées sur un réseau donné.

Les pages Internet sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet d'économiser la bande passante Internet, c'est la fonction cache du Proxy.

Remarque: Cette page est en complément de la page Sécurité Linux

Trois solutions sont présentées ci-après:

  • Squid, application qui s'installe en particulier sur Ubuntu,
  • pfSense, distribution Linux,
  • ClearOS, distribution Linux spécifique qui fournit directement toutes les fonctions (solution à privilégier a priori).

Squid

Squid est l'une des solutions très répandues comme Proxy (Squid est une application multi-plateforme). Il peut être complété par l'installation de SquidGuard, pour limiter l'accès à certains sites ou selon des plages horaires.

Côté Squid

Installation

L'installation se fait de façon classique:

sudo apt-get install squid apache2  # installer en même temps apache2

C'est en fait le paquet squid3 qui sera installé.

Configuration

  • Le fichier de configuration de Squid est /etc/squid3/squid.conf.

Penser à effectuer au préalable une sauvegarde de ce fichier avant toute modification :

sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.bak

Effectuer l'opération inverse pour restaurer le fichier

  • Editer le fichier /etc/squid3/squid.conf (Attention, il fait 7666 lignes)
sudo nano /etc/squid3/squid.conf
  • Vérifier le port HTTP en 3128 (Rechercher http_port)
  • Configurer l'accès au Proxy (http-access section)
    • Décommenter les 2 lignes
      #acl our_networks src 192.168.1.0/24 192.168.2.0/24 et adapter au réseau local
      #http_access allow our_networks
    • Adapter au réseau les catégories des adresses IP (192.168.1.0/24 ou 10.0.0.0/8)
  • Définir la taille du cache
    cache_dir ufs /var/spool/squid3 100 16 256  # 100 pour un cache de 100MB, mettre 1024 pour 1GB
  • Après toute modification du squid.conf, redémarrer Squid :
sudo service squid3 restart

La configuration des ports par défaut est la suivante:

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemakercommence par 
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

  • ACL pour Access Control List
  • http_access pour les restrictions qui définissent l'autorisation ou l'interdit, pour une acl donnée.

  • Pour reconfigurer squid
sudo squid3 -k reconfigure

Squidguard

On peut compléter Squid en installant Squidguard.

Côté client

Linux

Pour mettre en pratique Squid, il faut appliquer le Serveur mandataire à l'ensemble des utilisateurs et logiciels des stations clientes.

Pour cela, configurer les propriétés de Serveur mandataire d'Ubuntu sur chaque poste afin que toutes les connexions à Internet passent par le proxy :

  • Ouvrir l'outil de gestion des serveurs mandataires d'Ubuntu (Système → Préférences → Serveur mandataire ou Tableau de Bord/Réseau/) ;
  • Dans l'onglet Serveur mandataire,
    • cocher la case Méthode automatique.
    • dans le champ URL de configuration, indiquer l'adresse du Proxy ;
    • Appuyer sur le bouton Appliquer à tout le système… pour que cette configuration soit appliquée à tous les utilisateurs du poste Ubuntu.

Il est aussi possible d'effectuer une redirection de port via le pare-feu pour que toutes les demandes au port 80 passent par le port défini pour le serveur mandataire, ex: 3128.

Liste blanche

Windows

Pour utiliser le serveur Proxy, cliquer sur Panneau de Configuration/Outils Internet/Connexions/Paramètres Réseau/Serveur Proxy: cocher la case "Utiliser un serveur…"

pfSense

Pfsense est une distribution Linux qui transforme un ordinateur (ou une VM) en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise.

Pfsense nécessite deux cartes réseaux minimum (une pour le WAN et une pour le LAN).

Installation

Lors du premier démarrage de Pfsense, il faut configurer les différentes interfaces (WAN, LAN, etc.), il faut donc bien repérer les différentes cartes réseaux afin de ne pas se tromper dans la configuration.

Pfsense affiche les différentes cartes réseaux avec leur adresse MAC, ce qui permet de les différencier.

Il faut ensuite déterminer quel interface est sur le côté WAN, pour cela on peut saisir manuellement le nom de l’interface. Pour la configuration manuelle, entrer le nom de la bonne carte à savoir “em0“. Faire la même chose pour la carte réseau sur le LAN, entrer donc “em1

Configuration

Après l'installation, lancer l'interface pfSense par http://192.168.123.158/ dans mon cas (par défaut, admin/pfsense).

  • Entrer le nom du serveur, puis le domaine sur lequel se trouve le serveur. Ensuite, il faut indiquer les serveurs DNS

et laisser la dernière case Override DNS cochée.

  • Ajouter un serveur de temps (liste sur https://services.renater.fr/ntp/serveurs_francais)
  • Pour l'interface WAN, laisser DHCP
  • Pour l'interface LAN, rien à modifier (conserver l'option DHCP), cela a été fait précédemment dans la console
  • Maintenant il est demandé de changer le mot de passe, il serait idiot de se faire pirater le serveur à cause un mot de passe par défaut
  • Terminer en cliquant sur Reload pour la prise en compte de la configuration.

En finale, l'interface Web donne le statut de pfSense.

Vérifier les connexions avec la commande ifconfig. On trouve les réseaux filaires en em0 et em1.

Connexion SSH

Si besoin, pour configurer pfSense, on peut se connecter en SSH en admin, ce qui ouvre la fenêtre suivante:

~$ ssh admin@192.168.123.158
*** Welcome to pfSense 2.2.4-RELEASE-pfSense (amd64) on pfSense ***

 WAN (wan)       -> em0        -> v4/DHCP4: 192.168.123.158/24
 LAN (lan)       -> em1        -> v4: 192.168.42.42/24
 0) Logout (SSH only)                  9) pfTop
 1) Assign Interfaces                 10) Filter Logs
 2) Set interface(s) IP address       11) Restart webConfigurator
 3) Reset webConfigurator password    12) pfSense Developer Shell
 4) Reset to factory defaults         13) Upgrade from console
 5) Reboot system                     14) Disable Secure Shell (sshd)
 6) Halt system                       15) Restore recent configuration
 7) Ping host                         16) Restart PHP-FPM
 8) Shell
  
Enter an option: 

Onglets

  • Interfaces donne les paramètres des interfaces WAN et LAN.
  • Firewall/Rules donne les règles pour le WAN et pour le LAN
  • Services/DHCP server, définit les paramètres DHCP du LAN
  • Services/DNS resolver, cocher Enable pour l'activer, ainsi que DNSSEC
  • Services/Proxy Server,

Pour les blacklists, on peut consulter http://dsi.ut-capitole.fr/blacklists et/ou http://www.shallalist.de/

Shallalist définit ses catégories sur http://wwEnablew.shallalist.de/categories.html

ClearOS

Installation

Si Squid est un peu compliqué à paramétrer (5800 lignes au fichier de configuration /etc/squid/squid.conf), on peut lui préférer ClearOS. C'est une distribution à part entière, basée sur CentOS.

  • La version actuelle est 6.4 SP1.
  • Prendre la version ClearOS Community, graver le CD d'installation, installer sur le serveur destiné à la fonction Proxy.
  • Après installation, l'identification se fait par
    • Login = root
    • Mot de passe = celui entré pendant l'installation.

Configuration

A partir du serveur

La page disponible sur le serveur donne accès aux réglages suivants:

Settings

3 options possibles:

  • Standalone - No Firewall
  • Standalone
  • Gateway mode (pour connecter le réseau LAN à Internet)
DNS

Pour déterminer les serveurs DNS de son choix

Network interfaces

Concerne eth0 et eth1 en fonction du rôle assuré par la connexion:

  • Role:
    • LAN (local area network) assure la connectivité pour le réseau local. Les LANs sont à configurer avec une adresse IP en 192.168.x.x ou en 10.x.x.x. Par exemple,
      • IP: 192.168.1.1
      • Netmask: 255.255.255.0</code>
    • Hot LAN (ou “Hotspot Mode”) crée en aval un réseau LAN séparé. Un Hot LAN accède à l'Internet, mais est incapable d'accéder à des postes du réseau.
    • External fournit une connexion avec Internet. En configuration Standalone, la fonction external est pour se connecter à son LAN.
      • Quand ClearOS est configuré en passerelle (Gateway), la fonction external est pour la connexion Internet
      • En configuration Standalone, la fonction external est pour se connecter à son LAN.
  • Connection Type
  • Static. Il faut paramétrer les paramètres suivants:
    • IP,
    • Netmask (par ex. 255.255.255.0)
    • Gateway (se termine typiquement en 1 ou 254)</code>
  • DHCP. Dans les réseaux filaires, DHCP est utilisé pour se connecter à l'Internet sans configurer d'adresse IP.

Quand les câbles sont branchés sur les 2 ports, la colonne Link passe en Yes pour eth0 et eth1

Interface Web

Le plus simple est d'utiliser l'interface Web à partir d'un autre poste, interface beaucoup plus riche en fonctions. Pour ce, entrer dans un navigateur Web l'adresse suivante en https:

https://<IP_Proxy>:81

Sinon, il faut utiliser directement la ligne de commande sur le serveur lui-même.

On se trouve alors à la page du Wizard et on défile une à une les différents paramétrages:

  • Network
    • Getting started
    • Network modeDHCP

For most cable and Ethernet networks, DHCP is used to connect to the Internet. In addition, your system will have the DNS servers automatically configured by your ISP when the Automatic DNS Servers checkbox is set. If you would like to configure your own DNS servers (often required for Multi-WAN) then leave this setting unchecked.

  • Network interfaces
  • DNS Servers
  • Registration
  • Select edition
  • Software updates
  • System registration
  • Configuration
  • Internet domain
  • Hostname
  • Date end time
  • Marketplace
  • Getting started
  • Server apps
  • Gateway Apps
  • Network Apps
  • System apps
  • Finish
  • App Review
  • Download and Install

Connexion SSH

On peut aussi utiliser une connexion SSH pour contrôler ClearOS. L'utilisation de la ligne de commande sur une distribution CentOS introduit quelques différences par rapport à Debian, il est conseillé de consulter auparavant Particularités CentOS et/ou http://www.linuxelearning.com/ .

Utilisation

  • L'interface Web permet par la suite de gérer et contrôler entièrement le Proxy ClearOS à partir d'un autre poste.

  • Les onglets du bandeau supérieur (Network, Gateway, System Reports, Market Place) permettent de configurer le Proxy et de suivre son fonctionnement.
  • L'utilisation du Proxy est simplifiée si on active le serveur DHCP de ClearOS, il suffit alors d'indiquer l'adresse IP de ClearOS comme passerelle dans les paramétrages de tous les clients du réseau.
  • Une bonne solution est d'avoir deux cartes-réseau, par exemple:
    • eth0 pour le traffic entrant,
    • eth1 pour le trafic sortant

Documentation

serveur-proxy.txt · Dernière modification: 2015/08/23 19:48 par g.rnd@free.fr