Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Squid Cachemgr et sqstat

    Français
    3
    6
    2373
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      ethermcman last edited by

      Bonjour à tous,
      Je ne poste pas souvent mais je traine souvent sur le forum.
      Je viens vers vous aujourd'hui car j'ai un soucis avec cachemgr.cgi et sqstat qui me renvoient tous deux : error 403 / forbidden.
      J'ai tenté de configurer mon fichier squid.inc mais sans résultats.
      Si quelqu'un pouvait éclairer mes lanternes.
      Voici le contenu de mon squid.inc:

      Setup some default acls

      acl all src 0.0.0.0/0.0.0.0

      acl localhost src 127.0.0.1/255.255.255.255

      acl localhost src 192.168.155.150/255.255.255.255
      cachemgr_passwd disable offline_toggle reconfigure shutdown
      cachemgr_passwd none all
      acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 $webgui_port $port 1025-65535 $addtl_ports
      acl sslports port 443 563 $webgui_port $addtl_sslports
      acl manager proto cache_object
      acl webserver src 192.168.155.150/255.255.255.255
      http_access allow manager webserver
      acl purge method PURGE
      acl connect method CONNECT
      acl dynamic urlpath_regex cgi-bin ?

      EOD;

      Et le résultat dans mon squid.conf

      Do not edit manually !

      http_port 192.168.155.150:3128
      http_port 127.0.0.1:3128 transparent
      icp_port 0

      pid_filename /var/run/squid.pid
      cache_effective_user proxy
      cache_effective_group proxy
      error_directory /usr/local/etc/squid/errors/French
      icon_directory /usr/local/etc/squid/icons
      visible_hostname localhost
      cache_mgr admin@localhost
      access_log /var/squid/logs/access.log
      cache_log /var/squid/logs/cache.log
      cache_store_log none
      logfile_rotate 1
      shutdown_lifetime 3 seconds

      Allow local network(s) on interface(s)

      acl localnet src  192.168.155.0/255.255.255.0
      uri_whitespace strip

      cache_mem 2048 MB
      maximum_object_size_in_memory 32 KB
      memory_replacement_policy heap GDSF
      cache_replacement_policy heap LFUDA
      cache_dir ufs /var/squid/cache 5000 128 256
      minimum_object_size 0 KB
      maximum_object_size 1024000 KB
      offline_mode off
      cache_swap_low 90
      cache_swap_high 95
      acl donotcache dstdomain '/var/squid/acl/donotcache.acl'
      cache deny donotcache

      No redirector configured

      Setup some default acls

      acl all src 0.0.0.0/0.0.0.0

      acl localhost src 127.0.0.1/255.255.255.255

      acl localhost src 192.168.155.150/255.255.255.255
      cachemgr_passwd disable offline_toggle reconfigure shutdown
      cachemgr_passwd none all
      acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
      acl sslports port 443 563 
      acl manager proto cache_object
      acl webserver src 192.168.155.150/255.255.255.255
      http_access allow manager webserver
      acl purge method PURGE
      acl connect method CONNECT
      acl dynamic urlpath_regex cgi-bin ?
      acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
      cache deny dynamic
      http_access allow manager localhost

      Allow external cache managers

      acl ext_manager_1 src 127.0.0.1
      http_access allow manager ext_manager_1
      acl ext_manager_2 src 192.168.155.150
      http_access allow manager ext_manager_2
      acl ext_manager_3 src 
      http_access allow manager ext_manager_3
       
      http_access deny manager
      http_access allow purge localhost
      http_access deny purge
      http_access deny !safeports
      http_access deny CONNECT !sslports

      Always allow localhost connections

      http_access allow localhost

      quick_abort_min 0 KB
      quick_abort_max 0 KB
      request_body_max_size 0 KB
      reply_body_max_size 0 deny all
      delay_pools 1
      delay_class 1 2
      delay_parameters 1 870400/870400 256000/256000
      delay_initial_bucket_level 100

      Throttle extensions matched in the url

      acl throttle_exts urlpath_regex -i '/var/squid/acl/throttle_exts.acl'
      delay_access 1 allow throttle_exts
      delay_access 1 deny all

      Custom options

      never_direct allow all
      cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default
      acl msn urlpath_regex -i gateway.dll
      acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com
      acl msn1 req_mime_type application/x-msn-messenger
      http_access deny msnd
      http_access deny msn
      http_access deny msn1

      refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims
      refresh_pattern ([^.]+.)?adobe.com/.      .(zip|exe|msi) 4320 100% 43200 reload-into-ims
      refresh_pattern ([^.]+.)?java.com/..(zip|exe) 4320 100% 43200 reload-into-ims
      refresh_pattern ([^.]+.)?sun.com/.      .(zip|exe) 4320 100% 43200 reload-into-ims
      range_offset_limit 0
      quick_abort_pct 70
      redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
      redirector_bypass on
      redirect_children 3

      Always allow access to whitelist domains

      http_access allow whitelist

      Setup allowed acls

      Allow local network(s) on interface(s)

      http_access allow localnet

      Default block all to be sure

      http_access deny all

      Merci à tous!

      1 Reply Last reply Reply Quote 0
      • C
        ccnet last edited by

        Ne pensez vous pas que ce message serait plus à sa place sur le forum Squid ?
        Même si vous avez installé Squid sur le firewall, ce qui est une mauvaise idée.

        1 Reply Last reply Reply Quote 0
        • E
          ethermcman last edited by

          Je ne vois pas pourquoi?
          J'utilise pfSense depuis 2 ans maintenant. J'ai en prod la version 2.0.1.
          Sqtat qui est intégré avec le package lightsquid ne fonctionne pas correctement et c'est pourquoi je poste ici.
          De plus, il m'est devenu nécessaire de monitorer le cache de squid, c'est pourquoi j'ai tenté la manip' du cachemgr.cgi.
          Je dois avoir un problème d'acl au niveau de squid mais je ne vois pas où.
          Si quelqu'un pouvait m'apporter son aide et ses lumières, ça serait sympa.

          Merci à tous.

          1 Reply Last reply Reply Quote 0
          • E
            ethermcman last edited by

            Si une âme charitable passe par ici, merci d'avance pour sa réponse.
            Je tourne en rond  ??? ??? ??? ???

            1 Reply Last reply Reply Quote 0
            • E
              ethermcman last edited by

              En me baladant sur d'autres posts, je précise à ccnet que pfSense ne me sert qu'à filtrer le web au niveau de notre société.
              La partie pare-feu est réduite à sa plus simple expression "pass all", le reste est géré par deux U250.
              Après pourquoi proposer d'installer des packages de type proxy et dire que cela n'est pas une bonne idée et pourquoi me proposer d'aller poster sur le forum de squid alors que pfSense a une fonction de génération du fichier squid.conf qui lui est propre avec le squid.inc?

              Bref. Si quelqu'un a l'âme charitable voulait bien éclairer ma lanterne, il aura ma reconnaissance éternelle

              1 Reply Last reply Reply Quote 0
              • J
                jdh last edited by

                Je vais écrire, pour la N+1 fois, pourquoi il faut éviter de mettre le proxy sur le firewall !

                • les packages sont des addons qui n'ont AUCUNE garantie de bon fonctionnement : à vos risques et périls !
                • ce n'est pas parce qu'un package existe qu'il faut l'utiliser !
                • le job de 'proxy' nécessite d'autres ressources que le job de 'firewall' !
                • un proxy exige beaucoup de mémoire, un disque rapide et ne présente pas d'obligation de réponse immédiate !
                • un firewall exige un temps de réponse stricte donc une dispo processeur immédiate !
                • un firewall exige de la mémoire pour suivre les sessions (conntrack) !
                • un firewall n'a pas besoin de disque pour traiter les sessions qui le traverse ! (et ne pourrait pas stocker quoi que ce soit).
                • les logs de firewall sont petits : refus/accord de session, …
                • les logs de proxy sont énaauurmes rapidement
                • un proxy (Squid) doit être complété de SquidGuard pour les blacklists (encore un besoin mémoire)
                • un proxy doit être complété d'un outil de visu des logs (encore un besoin mémoire)

                Je pense qu'utiliser pfSense uniquement pour le package proxy est un dénaturation totale !
                Autant installer directement sur la machine une Debian + Squid + autres outils !

                Si votre inexpérience est patente, utilisez les fichiers de conf du pfSense/package Squid pour initialiser ceux de votre proxy dédié.
                (Je constate que vous avez une certaine expertise, aussi, je ne pense pas très difficile pour vous de créer votre propre proxy dédié !)

                Au besoin, vous pouvez même virtualiser le proxy (ce qui est à DECONSEILLER fortement pour le firewall en dehors d'un test).

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post