著者: JM Bonnefond 日付: To: Hervé de Dianous, guilde 題目: Re: Squid - Bind - Ipchains
Salut,
Ton message est un peu confus. mais on va essayer d'y faire le tri.
Le Jeudi 14 Mars 2002 17:54, Hervé de Dianous a écrit : > Bonjour !
> Je suis perplexe, (parcequ' ignorant)
> J'ai beau lire les différentes docs Howto et FAQs, sur Bind ipchains et
> squid,
Tu ferais bien de passer a un noyeau 2.4 et iptables... ;-)
> J'ai toujours la même difficulté à régler tout correctement.
> Il est dit que squid fais non seulement proxy et filtre de sites (acl)
Ca c'est bon.
> mais aussi filtrage IP
Oui, si on considere que dans les acl tu peux autoriser des clients a se
connecter ou pas suivant leur adresse ip.
>et relais DNS
Vrai et faux. Squid ne fait pas relais DNS au sene propre, ce qui se passe en
fait c'est qu'un poste client n'a pas besoin d'avoir de serveur DNS paramétré
pour faire du web a partir du moment ou il s'adresse ou proxy pour naviguer,
car c'est le proxy lui meme qui fait la résolution de nom. Le client lui n'a
donc pas besoin de résoudre des noms.
> Or j'ai les trois sur une GW, normal jusque là _mais_ lorsque je modifie
> les règles ipchains par exemple les services que j'ouvre, ne tournent
> toujours pas,
Je comprend pas bien ce que tu veux dire par la?
Quels services?
Est-ce que tes services ne démare pas et n'ecoutre pas sur leur ports?
Ou est-ce qu'ils démarrent bien mais tu ne peux pas y acceder depuis le
reseau?
> comme si squid était maître dans ce jeux, idem pour Bind!
> Comment régler les priorité des services squid (si c'est possible)
La 'priorité' est forcément donné a ipchains qui travaille au niveau des
couches basses, si tes trames sont acceptées par ipchains, elles sont alors
passé au niveau applicatif, c'est a ce moment que rentre en compte les acls
de squid qui doivent autoriser le client a se connecter pour pouvoir utiliser
le proxy.
en gros ipchains doit autoriser les connexion au port 3128 depuis ton lan
et ton gateway doit etre autorisé a se connecter au port 80 des machines de
l'internet (sans oublier les trames de réponse de l'internet vers ton proxy
et du proxy vers le lan)
Quand a squid, on fait souvent une acl qui declare tout le reseau lan et
autorise la navigation depuis ces adresses ip.
> Je prère laisser à ipchains les règles de filtrage IP et Ports,
> laisser à Bind le serveur de nom
> et à squid le proxy et filtre de contenu pas plus, rien que du simple
> quoi ;-)
> Debian.2.2.r5
> A+ Hervé