Squid Cachemgr et sqstat

ethermcman

Bonjour à tous,
Je ne poste pas souvent mais je traine souvent sur le forum.
Je viens vers vous aujourd'hui car j'ai un soucis avec cachemgr.cgi et sqstat qui me renvoient tous deux : error 403 / forbidden.
J'ai tenté de configurer mon fichier squid.inc mais sans résultats.
Si quelqu'un pouvait éclairer mes lanternes.
Voici le contenu de mon squid.inc:

Setup some default acls

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255

acl localhost src 192.168.155.150/255.255.255.255
cachemgr_passwd disable offline_toggle reconfigure shutdown
cachemgr_passwd none all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 $webgui_port $port 1025-65535 $addtl_ports
acl sslports port 443 563 $webgui_port $addtl_sslports
acl manager proto cache_object
acl webserver src 192.168.155.150/255.255.255.255
http_access allow manager webserver
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?

EOD;

Et le résultat dans mon squid.conf

Do not edit manually !

http_port 192.168.155.150:3128
http_port 127.0.0.1:3128 transparent
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/French
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 1
shutdown_lifetime 3 seconds

Allow local network(s) on interface(s)

acl localnet src  192.168.155.0/255.255.255.0
uri_whitespace strip

cache_mem 2048 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 5000 128 256
minimum_object_size 0 KB
maximum_object_size 1024000 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95
acl donotcache dstdomain '/var/squid/acl/donotcache.acl'
cache deny donotcache

No redirector configured

Setup some default acls

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255

acl localhost src 192.168.155.150/255.255.255.255
cachemgr_passwd disable offline_toggle reconfigure shutdown
cachemgr_passwd none all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
acl sslports port 443 563 
acl manager proto cache_object
acl webserver src 192.168.155.150/255.255.255.255
http_access allow manager webserver
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
cache deny dynamic
http_access allow manager localhost

Allow external cache managers

acl ext_manager_1 src 127.0.0.1
http_access allow manager ext_manager_1
acl ext_manager_2 src 192.168.155.150
http_access allow manager ext_manager_2
acl ext_manager_3 src 
http_access allow manager ext_manager_3
 
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

Always allow localhost connections

http_access allow localhost

quick_abort_min 0 KB
quick_abort_max 0 KB
request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 870400/870400 256000/256000
delay_initial_bucket_level 100

Throttle extensions matched in the url

acl throttle_exts urlpath_regex -i '/var/squid/acl/throttle_exts.acl'
delay_access 1 allow throttle_exts
delay_access 1 deny all

Custom options

never_direct allow all
cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default
acl msn urlpath_regex -i gateway.dll
acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com
acl msn1 req_mime_type application/x-msn-messenger
http_access deny msnd
http_access deny msn
http_access deny msn1

refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims
refresh_pattern ([^.]+.)?adobe.com/..(zip|exe|msi) 4320 100% 43200 reload-into-ims
refresh_pattern ([^.]+.)?java.com/..(zip|exe) 4320 100% 43200 reload-into-ims
refresh_pattern ([^.]+.)?sun.com/..(zip|exe) 4320 100% 43200 reload-into-ims
range_offset_limit 0
quick_abort_pct 70
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3

Always allow access to whitelist domains

http_access allow whitelist

Setup allowed acls

Allow local network(s) on interface(s)

http_access allow localnet

Default block all to be sure

http_access deny all

Merci à tous!

ccnet

Ne pensez vous pas que ce message serait plus à sa place sur le forum Squid ?
Même si vous avez installé Squid sur le firewall, ce qui est une mauvaise idée.

ethermcman

Je ne vois pas pourquoi?
J'utilise pfSense depuis 2 ans maintenant. J'ai en prod la version 2.0.1.
Sqtat qui est intégré avec le package lightsquid ne fonctionne pas correctement et c'est pourquoi je poste ici.
De plus, il m'est devenu nécessaire de monitorer le cache de squid, c'est pourquoi j'ai tenté la manip' du cachemgr.cgi.
Je dois avoir un problème d'acl au niveau de squid mais je ne vois pas où.
Si quelqu'un pouvait m'apporter son aide et ses lumières, ça serait sympa.

Merci à tous.

ethermcman

Si une âme charitable passe par ici, merci d'avance pour sa réponse.
Je tourne en rond  ??? ??? ??? ???

ethermcman

En me baladant sur d'autres posts, je précise à ccnet que pfSense ne me sert qu'à filtrer le web au niveau de notre société.
La partie pare-feu est réduite à sa plus simple expression "pass all", le reste est géré par deux U250.
Après pourquoi proposer d'installer des packages de type proxy et dire que cela n'est pas une bonne idée et pourquoi me proposer d'aller poster sur le forum de squid alors que pfSense a une fonction de génération du fichier squid.conf qui lui est propre avec le squid.inc?

Bref. Si quelqu'un a l'âme charitable voulait bien éclairer ma lanterne, il aura ma reconnaissance éternelle

jdh

Je vais écrire, pour la N+1 fois, pourquoi il faut éviter de mettre le proxy sur le firewall !

• les packages sont des addons qui n'ont AUCUNE garantie de bon fonctionnement : à vos risques et périls !
• ce n'est pas parce qu'un package existe qu'il faut l'utiliser !
• le job de 'proxy' nécessite d'autres ressources que le job de 'firewall' !
• un proxy exige beaucoup de mémoire, un disque rapide et ne présente pas d'obligation de réponse immédiate !
• un firewall exige un temps de réponse stricte donc une dispo processeur immédiate !
• un firewall exige de la mémoire pour suivre les sessions (conntrack) !
• un firewall n'a pas besoin de disque pour traiter les sessions qui le traverse ! (et ne pourrait pas stocker quoi que ce soit).
• les logs de firewall sont petits : refus/accord de session, …
• les logs de proxy sont énaauurmes rapidement
• un proxy (Squid) doit être complété de SquidGuard pour les blacklists (encore un besoin mémoire)
• un proxy doit être complété d'un outil de visu des logs (encore un besoin mémoire)

Je pense qu'utiliser pfSense uniquement pour le package proxy est un dénaturation totale !
Autant installer directement sur la machine une Debian + Squid + autres outils !

Si votre inexpérience est patente, utilisez les fichiers de conf du pfSense/package Squid pour initialiser ceux de votre proxy dédié.
(Je constate que vous avez une certaine expertise, aussi, je ne pense pas très difficile pour vous de créer votre propre proxy dédié !)

Au besoin, vous pouvez même virtualiser le proxy (ce qui est à DECONSEILLER fortement pour le firewall en dehors d'un test).