Ubuntu-fr

ALPaPh

SQUID3 Impossible d'afficher des sites en http

Bonjour,

Depuis plusieurs jours, je rame sur la configuration de Squid3 sur mon Raspberry. Mon serveur est bien actif; l'affichage des sites https fonctionne parfaitement masi dès que je veux accéder à un site en http (lemonde.fr par exemple), la connexion est refusée.

J'ai fait beaucoup de recherches, tenté plein de choses : sans succès !

Mon dernier fichier de configuration que je mets en exemple ci-dessous est adapté de l'original pris ici. Toujours le même problème ...

Si l'un d'entre vous a des propositions Merci d'avance.

# Autoriser son réseau local dans les ALC avec la ligne ci-dessous :
acl localnet src 192.168.0.1/15 # (à adapter en fonction de votre adressage réseau)

acl SSL_ports port 443          # https
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT


http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

http_access allow localnet # Autorise les machines de votre réseau à accéder au Proxy
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 # Déclaration du port d'écoute de Squid (3128 par défaut mais peut être changé ici)

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

# Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


# Déclaration du répertoire de cache utilisé par Squid et de la taille utilisable (ici 80%)
cache_dir ufs /CacheSquid 358 16 256

# Les valeurs off et deny all servent à masquer les adresses IP locales dans les requêtes HTTP
# Un peu de confidentialité ne peut jamais faire de mal  
via off
forwarded_for off
follow_x_forwarded_for deny all
request_header_access X-Forwarded-For deny all
header_access X_Forwarded_For deny all

# Paramètres des connections persistantes
half_closed_clients off
server_persistent_connections off # on interdit les connexions persistantes des serveurs
client_persistent_connections on
client_lifetime 15 minutes
persistent_request_timeout 2 minutes

# Delais de connexions des serveurs
connect_timeout 30 seconds
request_timeout 2 minutes
read_timeout 2 minutes
cache_effective_user squid
cache_effective_group squid

---

alpaph@free.fr

J5012

Re : SQUID3 Impossible d'afficher des sites en http

http_access deny all

et

http_access deny !Safe_ports

sont contradictoires non ?

ALPaPh

Re : SQUID3 Impossible d'afficher des sites en http

Bonjour,

J'ai eu la même réflexion que toi au début. Mais après quelques recherches, j'ai cru comprendre que http_access deny all était complémentaire car ça interdit aux utilisateurs autres que ceux énumérés au dessus de cette ligne de se connecter.

---

alpaph@free.fr

J5012

Re : SQUID3 Impossible d'afficher des sites en http

et ca aussi c'est contradictoire :

# Deny CONNECT to other than secure SSL ports

→ trad signifiant : other than == autre que == uniquement
→ == refuse toute connection autre que ssl , donc logiquement les safe ports sont refusés puisque ils ne sont pas ssl !

edit : je viens de relire plus precisement la doc de configuration squid3 : je savais bien que j'avais deja lu cette subtilité similaire : https://wiki.squid-cache.org/SquidFaq/S … n_Mistakes

→ la configuration est lue comme un script interprété, ligne à ligne : en 1er tu refuses le manager, puis tu acceptes le localhost ... : dans la logique de squid3 ca revient à interdire en fait l'acces à localhost parce que le manager est hierarchiquement au dessus ...

Dernière modification par J5012 (Le 20/10/2017, à 20:51)