Administration Linux - Proxy

Dimension: px
Commencer à balayer dès la page:

Download "Administration Linux - Proxy"

Transcription

1 Administration Linux - Proxy 2014 tv - v produit le 12 mai 2014 Sommaire Mise en situation 2 Serveur mandataire (proxy) 2 Proxy inverse (reverse proxy) Conclusion Squid 4 Introduction Installation Configuration par défaut Fonctionnement Tests Manipulations 15 Séquence 1 : mise en tampon (cache web) Séquence 2 : la journalisation Séquence 3 : contrôle d accès et authentification Séquence 4 : mise en tampon (cache dns) Séquence 5 : filtrage avec squidguard Un compte-rendu au format texte (UTF-8) devra être rédigé et envoyé à l adresse La convention de nommage pour les compte-rendus est la suivante : admin-linux-parefeu-nom.txt 1

2 SERVEUR MANDATAIRE (PROXY) Mise en situation Vous devez disposer d un PC possédant un système d exploitation Linux ou Windows et du logiciel de virtualisation VirtualBox. Le système invité sera une installation du serveur Ubuntu Serveur mandataire (proxy) Un serveur mandataire (proxy) est une fonction informatique client-serveur qui a pour rôle de relayer des requêtes entre un client et un serveur. Un proxy est alors un programme servant d intermédiaire pour faciliter ou surveiller leurs échanges. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : accélération de la navigation : mémoire cache, compression de données, filtrage des publicités ou des contenus lourds (java, flash) ; la journalisation des requêtes (log) ; la sécurité du réseau local ; le filtrage et l anonymat. Le proxy est généralement placé dans une DMZ. Une DMZ (zone démilitarisée) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'internet par un pare-feu. Administration Linux - Proxy 2 / tv

3 SERVEUR MANDATAIRE (PROXY) Proxy inverse (reverse proxy) Un proxy inverse (reverse proxy) est un type de serveur, habituellement placé en frontal de serveurs web. Contrairement au serveur proxy qui permet à un utilisateur d accéder au réseau Internet, le proxy inverse permet à un utilisateur d Internet d accéder à des serveurs internes. Cette technique permet notamment : Mémoire cache : le proxy inverse peut décharger les serveurs Web de la charge de pages/objets statiques (pages HTML, images) par la gestion d un cache web local. La charge des serveurs Web est ainsi généralement diminuée. Intermédiaire de sécurité : le proxy inverse protège un serveur Web des attaques provenant de l extérieur. Mais cette architecture permet surtout le filtrage en un point unique des accès aux ressources Web. Répartition de charge : le proxy inverse peut distribuer la charge d un site unique sur plusieurs serveurs Web applicatifs. Selon sa configuration, un travail de ré-écriture d URL sera donc nécessaire, Compression : le proxy inverse peut optimiser la compression du contenu des sites. Le reverse proxy est généralement placé dans une DMZ. Une DMZ (zone démilitarisée) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'internet par un pare-feu. Administration Linux - Proxy 3 / tv

4 SQUID Conclusion Il faut bien distinguer les différents types de cache qui existent et qui peuvent être sollicités lors d un accès à une ressource. En effet, lorsque l utilisateur tente de se connecter à un serveur distant pour récupérer une page, il peut, sans le savoir, passer par plusieurs machines intermédiaires et interroger différents serveurs de cache. Le tout premier niveau de cache est géré par le navigateur Internet. Il s agit d un cache local et non partagé. Le comportement lié à ce cache local est propre à chaque navigateur. Il ne sera pas détaillé dans ce document. Le second niveau de cache est géré par le proxy web. Il est généralement partagé par les utilisateurs du réseau local qui se connectent à Internet à travers lui. Ce cache est administré par le responsable du réseau local. Le troisième niveau de cache est celui maintenu par les différents reverse proxy auxquels peuvent s adresser un poste client. Ces serveurs de cache sont mis en place par les administrateurs des sites distants pour répondre au mieux à leurs utilisateurs et exploiter leurs serveurs le plus efficacement possible. Squid Introduction Un serveur Squid est un serveur mandataire (proxy) et un mandataire inverse (reverse proxy) capable d utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. C est un logiciel libre distribué sous licence GNU GPL. Squid garde les meta-données et plus particulièrement les données les plus fréquemment utilisées en mémoire (cache) pour utiliser moins de bande passante. Il conserve aussi en mémoire les requêtes DNS, ainsi que les requêtes ayant échoué. Il est généralement utilisé dans certaines entreprises et universités pour des fonctions de ltrage d'url ou en tant que tampon (cache). Site officiel : http ://www.squid-cache.org/ En résumé, Squid est un proxy cache : proxy (mandataire) : un agent intermédiaire qui agit pour un autre cache : un espace où l on stocke les informations les plus demandées Installation Il suffit d installer le paquet squid : // En fait, installe squid3 : # apt-get install squid... // Affiche le numéro de version : # squid3 -v Squid Cache: Version Administration Linux - Proxy 4 / tv

5 SQUID // Démarre le service : # service squid3 start // Arrête le service : # service squid3 stop Pour les tests, on installera aussi les programmes squidclient et curl : # apt-get install squidclient curl Configuration par défaut Par défaut Squid est configuré et fonctionnel. Le fichier de configuration de Squid est /etc/squid3/squid.conf. // Tester le fichier de configuration # squid3 -k parse // En cas de modification, il faut recharger le fichier de configuration # squid3 -k reconfigure Voici la définition de quelques options de configuration de base : http_port : permet de définir le port sur lequel se lance Squid. Par défaut, Squid se lance sur le port Il est également possible de définir plusieurs ports : par exemple cache_effective_user : permet de définir sous quel utilisateur (user) fonctionne Squid (par défaut proxy) cache_effective_group : permet de définir sous quel groupe (group) fonctionne Squid (par défaut proxy) cache_mgr : permet d indiquer l adresse courriel de l administrateur de Squid. visible_hostname : permet d indiquer le nom du serveur proxy. // Les valeurs par défaut de quelques options de base : # cat /etc/squid3/squid.conf grep http_port http_port 3128 # cat /etc/squid3/squid.conf grep cache_effective cache_effective_user proxy # ls -ld /var/spool/squid3/ drwxr-xr-x 2 proxy proxy 4096 janv /var/spool/squid3/ # cat /etc/squid3/squid.conf grep cache_mgr cache_mgr webmaster # cat /etc/squid3/squid.conf grep visible_hostname visible_hostname localhost Pour la suite des manipulations, il est préférable de sauvegarder le fichier de configuration de base et de repartir sur un fichier de configuration propre : // On conserve le fichier de configuration d origine # mv /etc/squid3/squid.conf /etc/squid3/squid.conf.bak // On crée un nouveau fichier de configuration en ne conservant que les directives de base # cat /etc/squid3/squid.conf.bak grep -v "^#" grep -v ^$ > /etc/squid3/squid.conf Administration Linux - Proxy 5 / tv

6 SQUID // Le fichier de configuration sans les commentaires : # cat /etc/squid3/squid.conf acl manager proto cache_object acl localhost src /32 ::1 acl to_localhost dst / /32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid3 refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern -i (/cgi-bin/ \?) 0 0% 0 refresh_pattern (Release Packages(.gz)*)$ 0 20% 2880 refresh_pattern. 0 20% 4320 La plupart de ces directives seront étudiées plus loin dans ce document. Fonctionnement La première activité de Squid est de relayer les requêtes clientes et de mettre en cache la réponse si celle-ci est éligible au cache. Pour savoir si la réponse peut être mise en cache, Squid analyse les données présentes dans l en-tête HTTP. Voici les règles qui sont suivies pour décider de la mise en cache : Si des instructions interdisant la mise en cache sont rencontrées (Cache-Control: private) alors la ressource n est pas mise en cache. Si la connexion est sécurisée ou authentifiée alors la ressource n est pas mise en cache. Si aucune directive de validation n est présente (Last-Modified ou Etag) alors la ressource n est pas mise en cache. Sinon la ressource est considérée comme éligible au cache et Squid décide de la stocker. Si Squid reçoit une requête qui a déjà donné lieu à la mise en cache de la ressource, celui-ci va valider la donnée afin de savoir si elle est assez récente et si elle peut être renvoyée à l utilisateur en l état ou bien si au contraire, elle est considérée comme trop ancienne et nécessite d être redemandée au serveur d origine. Administration Linux - Proxy 6 / tv

7 SQUID Cette étape de validation s appuie sur les directives d expiration et de validation contenues dans l en-tête HTTP (Expires, max-age, Last-Modified et Etag). Le serveur procède de la sorte : Vérification de la validité de la ressource en cache à l aide des directives d expiration (Expires et max-age). Cette étape consiste en un calcul de date aboutissant à la péremption ou non d un objet du cache. Si ces directives ne sont pas présentes, la réponse est considérée comme étant valide à tout moment. Si la ressource est considérée comme encore valide, elle est renvoyée au poste client sans contacter le serveur source. Si la réponse est périmée, une requête conditionnelle (If-Modified-Since ou If-None-Match) basée sur les directives Last-Modified ou Etag est envoyée au serveur source qui répond soit en envoyant la nouvelle ressource soit en envoyant un code HTTP 304-Not Modified. Le protocole HTTP fournit de nombreuses commandes permettant au poste client de communiquer avec le serveur. Certaines d'entre elles (OPTIONS, TRACE, POST, PUT et DELETE) ne nécessitent pas de mettre en cache la réponse du serveur. Squid distingue les diérents types de requêtes qui transitent pour ne traiter que les commandes HTTP qui peuvent aboutir à la mise en cache de la réponse serveur (GET, HEAD et CONNECT). La directive principale de cache dans la version 1.1 du protocole HTTP est la directive Cache-Control. Elle peut prendre plusieurs options qui influent directement sur le comportement du serveur cache. La directive de cache HTTP peut aussi bien être présente dans la requête que dans la réponse. Utilisée dans la requête, elle permet au poste client de piloter certains aspects du serveur cache en signifiant par exemple de ne retourner une réponse que si celle-ci est dans le cache. Dans la réponse, c est le serveur source qui pilote le comportement du serveur cache. Dans une requête adressée par un utilisateur, la directive Cache-Control peut prendre les valeurs suivantes : no-cache : cette option va forcer le serveur à recharger la page auprès du serveur d origine. max-age : utilisée dans la requête du poste client, cette option permet de fournir une valeur (en secondes) correspondant à l âge maximum accepté pour la ressource retournée par le proxy cache. Sauf si l option max-stale est également fournie, cela signifie que le poste client ne désire pas recevoir de réponse périmée. max-stale : permet d indiquer au serveur de cache que le poste client est prêt à accepter une réponse éventuellement périmée mais dont le délai d expiration n excède toutefois pas la valeur passée en paramètre. Si aucune valeur n est passée, toute réponse périmée est acceptée par le poste client. min-fresh : permet d indiquer au serveur de cache que le poste client est prêt à accepter toute réponse qui sera encore considérée comme valide dans la période passée en paramètre. A la réception de ce type de requête, si la ressource est présente dans le cache, le serveur additionne la valeur de l option min-fresh à l âge de la ressource et regarde si le total est inférieur à la valeur de l option max-age. Si c est le cas, la ressource est renvoyée au poste client, sinon, le serveur source est contacté. only-if-cached : cette option permet de récupérer dans le cache une ressource uniquement si celle-ci est déjà présente dans le cache. Si ce n est pas le cas, une réponse HTTP 504-Gateway timeout est renvoyée au poste client. Au sein d une réponse serveur, les valeurs possibles sont les suivantes : public : permet d indiquer aux serveurs de cache que la réponse est éligible à la mise en cache (valable aussi bien pour les caches partagés que les caches privés). private : cette option permet d indiquer au serveur de cache que tout ou partie de la réponse est destiné à un unique utilisateur et que par conséquent la réponse ne doit pas être mise en cache. no-cache : indique que la ressource doit être revalidée chaque fois qu elle est redemandée. Administration Linux - Proxy 7 / tv

8 SQUID no-store : cette option permet de ne pas stocker la réponse sur le disque. La réponse peut être mise en cache mais ne doit pas être enregistrée sur des volumes de stockage non volatiles. no-transform : cette option permet d empêcher le serveur cache de modifier le paquet HTTP, que ce soit l en-tête HTTP ou le contenu lui-même. Certains serveurs de cache convertissent ou compressent les données pour économiser de l espace mémoire. must-revalidate : cette option peut être utilisée par les serveurs source pour forcer la validation des données mises en cache. proxy-revalidate : cette option permet de réaliser la même chose que l option must-revalidate à ceci prêt qu elle n est utilisée que par les serveurs de cache. max-age : cette option sert de validateur et implique que la ressource est éligible au cache. Lorsque cette option a pour valeur «-1», elle équivaut à l option no-cache et indique au serveur qu elle ne doit pas être stockée. Si la directive Expires (HTTP/1.0) est également présente dans l en-tête HTTP, l option max-age (HTTP/1.1) est utilisée en priorité. s-maxage : cette option permet de combiner les propriétés des options max-age et must-revalidate. Le paramètre fourni permet de contrôler la date d expiration de la ressource envoyée par le serveur et de forcer la revalidation par le serveur cache. Cette option surcharge les options Expires et max-age. Pour plus de détails sur le sujet, il est possible de consulter la RFC 2616 d'où sont issues la plupart de ces informations. Les Etags (Entity Tag) sont arrivés avec la version 1.1 du protocole HTTP. Ils ont été pensés afin d améliorer le processus de validation qui était auparavant basé sur l option Last-Modified pour envoyer une requête IMS (If-Modified-Since) au serveur source. Un Etag est en fait une empreinte (ou hash) qui est associée à une ressource et qui permet de l identifier de manière plus ou moins unique. Celui-ci est généré par le serveur source et apporte un autre mécanisme de détection des modifications basé sur l utilisation des directives HTTP If-Match et If-None-Match. Dans la version 3 de Squid, le support des Etags n'est pas encore complet. Squid est capable de traiter les requêtes clientes contenant les directives If-Match et If-Non-Match de l'en-tête HTTP et de détecter si l'etag de la version en cache est diérent de celui passé dans la requête an de décider si la ressource doit être récupérée auprès du serveur d'origine. Toutefois, les requêtes générées par Squid pour la validation des données en cache auprès du serveur d'origine ne se basent pas sur les Etags mais toujours sur la directive Last-Modified. Pour vérifier la validité d une ressource en cache, Squid utilise trois types de variables : des variables correspondant à l objet enregistré, une variable fournie par le client et des variables du fichier de configuration. Les variables associées à l objet enregistré sont calculées d après les données relatives à l enregistrement de l objet dans le cache : AGE correspond au temps écoulé depuis son entrée dans le cache. LM_AGE correspond au temps écoulé entre la dernière modification de l objet sur le serveur d origine et son entrée dans le cache. LM_FACTOR est le rapport entre AGE et LM_AGE. Plus ce facteur est grand, plus l objet a de chances d être périmé. EXPIRES est la valeur éventuellement fournie par le serveur au moment de l entrée de l objet dans le cache. Comme son nom l indique, cette variable contient la date d expiration de l objet. Squid tient également compte de la variable de contrôle de cache CLIENT_MAX_AGE éventuellement fournie par le client, s il utilise la version 1.1 d HTTP. Cette variable indique l âge maximal de l objet accepté par le client. Administration Linux - Proxy 8 / tv

9 SQUID Les variables du fichier de configuration sont fixées par la directive refresh_pattern qui permet gérer le rafraichissement du cache. Sa syntaxe est la suivante : refresh_pattern [-i] <url_regexp> MIN_AGE PERCENT MAX_AGE <options> Le drapeau optionnel -i permet de ne pas tenir compte de la casse des caractères dans l'expression régulière de description de l'url. Il peut y avoir plusieurs directives refresh_pattern dans le chier de conguration. Les variables qui permettent de régler le comportement du rafraichissement du cache sont : MIN_AGE indique la durée en minutes pour laquelle un objet sans expiration explicite doit être conservé PERCENT représente le pourcentage de l objet (temps depuis sa dernière modification) MAX_AGE indique la durée maximale en minutes d un objet sans expiration explicite... refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern -i (/cgi-bin/ \?) 0 0% 0 refresh_pattern (Release Packages(.gz)*)$ 0 20% 2880 refresh_pattern. 0 20% 4320 Ici, les valeurs de MAX_AGE, PERCENT et MIN_AGE pour les requêtes HTTP sont donc respectivement 0, 20% et 4320 (unité de temps en minutes). La variable MAX_AGE éventuellement fournie par le client prévaut sur celle du chier de conguration. Par contre, MIN_AGE du chier de conguration est prioritaire devant la variable EXPIRES éventuellement fourni par le serveur. Une fois les variables nécessaires déterminées, Squid observe les règles suivantes pour déterminer la fraîcheur de l objet dans le cache : Si MAX_AGE est défini et que AGE > MAX_AGE, l objet est déclaré «périmé» Si EXPIRES est défini et dépassé, l objet est déclaré «périmé» Si AGE <= à MIN_AGE, l objet est déclaré «frais» Si EXPIRES est défini mais pas encore dépassé, l objet est déclaré «frais» Si LM_FACTOR est inférieur à PERCENT, l objet est déclaré «frais» Sinon celui-ci est déclaré «périmé». // Exemple pour les pages web : une fois par jour pendant 7 jours refresh_pattern ^http % // ou pour les pages web (html) : refresh_pattern -i \.html$ % Tests Pour définir la taille de la mémoire cache allouée en RAM, il faut utiliser la directive cache_mem. Par défaut, celle-ci est fixée à 256 Mo. On va lui attribuer une taille de 100 Mo : # vim /etc/squid3/squid.conf cache_mem 100 MB Afin que le serveur cache possède une zone de stockage sur disque, il est nécessaire d activer la directive cache_dir : Administration Linux - Proxy 9 / tv

10 SQUID # vim /etc/squid3/squid.conf cache_dir ufs /var/spool/squid Ici le cache a une taille de 100MO répartis sur 16 répertoires de premier niveau contenant chacun 256 répertoires de second niveau. Cette arborescence permet de constituer un index rapide d'accès. Il faut maintenant initialiser les répertoires de cache : # squid3 -z 2014/04/28 09:54:06 Creating Swap Directories 2014/04/28 09:54:06 /var/spool/squid3 exists 2014/04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/ /04/28 09:54:06 Making directories in /var/spool/squid3/0a 2014/04/28 09:54:06 Making directories in /var/spool/squid3/0b 2014/04/28 09:54:06 Making directories in /var/spool/squid3/0c 2014/04/28 09:54:06 Making directories in /var/spool/squid3/0d 2014/04/28 09:54:06 Making directories in /var/spool/squid3/0e 2014/04/28 09:54:06 Making directories in /var/spool/squid3/0f On vérifie les options de configuration, puis on relance le service Squid : // Vérifie les options de configuration : # squid3 -k parse 2014/04/28 10:23:11 Processing Configuration File: /etc/squid3/squid.conf (depth 0) 2014/04/28 10:23:11 Processing: acl manager proto cache_object 2014/04/28 10:23:11 Processing: acl localhost src /32 ::1 2014/04/28 10:23:11 Processing: acl to_localhost dst / /32 ::1 2014/04/28 10:23:11 Processing: acl SSL_ports port /04/28 10:23:11 Processing: acl Safe_ports port 80 # http 2014/04/28 10:23:11 Processing: acl Safe_ports port 21 # ftp 2014/04/28 10:23:11 Processing: acl Safe_ports port 443 # https 2014/04/28 10:23:11 Processing: acl Safe_ports port 70 # gopher 2014/04/28 10:23:11 Processing: acl Safe_ports port 210 # wais 2014/04/28 10:23:11 Processing: acl Safe_ports port # unregistered ports 2014/04/28 10:23:11 Processing: acl Safe_ports port 280 # http-mgmt 2014/04/28 10:23:11 Processing: acl Safe_ports port 488 # gss-http 2014/04/28 10:23:11 Processing: acl Safe_ports port 591 # filemaker 2014/04/28 10:23:11 Processing: acl Safe_ports port 777 # multiling http 2014/04/28 10:23:11 Processing: acl CONNECT method CONNECT 2014/04/28 10:23:11 Processing: http_access allow manager localhost 2014/04/28 10:23:11 Processing: http_access deny manager 2014/04/28 10:23:11 Processing: http_access deny!safe_ports 2014/04/28 10:23:11 Processing: http_access deny CONNECT!SSL_ports 2014/04/28 10:23:11 Processing: http_access allow localhost 2014/04/28 10:23:11 Processing: http_access deny all 2014/04/28 10:23:11 Processing: http_port /04/28 10:23:11 Processing: coredump_dir /var/spool/squid3 2014/04/28 10:23:11 Processing: refresh_pattern ^ftp: % /04/28 10:23:11 Processing: refresh_pattern ^gopher: % 1440 Administration Linux - Proxy 10 / tv

11 SQUID 2014/04/28 10:23:11 Processing: refresh_pattern -i (/cgi-bin/ \?) 0 0% /04/28 10:23:11 Processing: refresh_pattern (Release Packages(.gz)*)$ 0 20% /04/28 10:23:11 Processing: refresh_pattern. 0 20% /04/28 10:23:11 Processing: cache_mem 100 MB 2014/04/28 10:23:11 Processing: cache_dir ufs /var/spool/squid // Arrête le service : # service squid3 stop squid3 stop/waiting // Démarre le service : # service squid3 start squid3 start/running, process 2262 // Vérifie que le port du serveur cache est en écoute : # netstat -tlunp grep squid tcp6 0 0 :::3128 :::* LISTEN 2262/squid3 udp : :* 2262/squid3 udp6 0 0 :::58720 :::* 2262/squid3 On peut maintenant effectuer quelques tests avec le programme squidclient (et curl) : // On demande l accès à une ressource : # squidclient HTTP/ OK Date: Mon, 28 Apr :04:05 GMT Server: Apache/ProXad [Apr :06:05] Last-Modified: Wed, 19 Mar :12:32 GMT ETag: "23cb6d8-b f80" Accept-Ranges: bytes Content-Length: Content-Type: text/html X-Cache: MISS from gw.intra.esimed.fr X-Cache-Lookup: MISS from gw.intra.esimed.fr:8756 X-Cache: MISS from localhost X-Cache-Lookup: MISS from localhost:3128 Via: 1.0 localhost (squid/3.1.20) Connection: close... // On consulte le fichier de log des requêtes relayées par le serveur cache : // TCP_MISS : l objet n est pas dans le cache et squid va le chercher sur le serveur d origine # cat /var/log/squid3/access.log TCP_MISS/ GET - DIRECT/ text/html // On redemande la même ressource (en mode silencieux) : # squidclient -s // On consulte le fichier de log : // TCP_HIT : l objet est présent dans le cache disque et squid le renvoie au client // ou // TCP_MEM_HIT : l objet est présent dans le cache RAM et squid le renvoie au client # cat /var/log/squid3/access.log TCP_HIT/ GET - NONE/- text/html // On force le serveur cache à recharger un objet (en mode silencieux) : # squidclient -s -r // On consulte le fichier de log : // TCP_CLIENT_REFRESH_MISS : le client sollicite une mise à jour de la ressource Administration Linux - Proxy 11 / tv

12 SQUID # cat /var/log/squid3/access.log TCP_CLIENT_REFRESH_MISS/ GET - DIRECT / text/html // On force le serveur cache à recharger un objet (avec curl) : # curl -I -x -H Cache-Control: max-age=0 HTTP/ OK Last-Modified: Tue, 29 Apr :12:07 GMT Accept-Ranges: bytes Content-Length: Content-Type: text/html Date: Mon, 05 May :49:31 GMT Server: Apache/ProXad [Apr :06:05] ETag: "23cb6d8-bb85-535f7af7" X-Cache: HIT from localhost X-Cache-Lookup: HIT from localhost:3128 Via: 1.0 localhost (squid/3.1.20) Connection: keep-alive // On consulte le fichier de log : // TCP_REFRESH_UNMODIFIED : le client sollicite une mise à jour de la ressource et squid est forcé de revalider son entrée qui n est pourtant pas périmée. Le serveur a retourné un code 304-Not Modified et la version en cache est renvoyée au poste client. # cat /var/log/squid3/access.log TCP_REFRESH_UNMODIFIED/ HEAD - DIRECT / text/html // On force le serveur cache à recharger un objet (avec curl) : # curl -I -x -H Cache-Control:no-cache HTTP/ OK Date: Mon, 05 May :55:48 GMT Server: Apache/ProXad [Apr :06:05] Last-Modified: Tue, 29 Apr :12:07 GMT ETag: "23cb6d8-bb85-535f7af7" Accept-Ranges: bytes Content-Length: Content-Type: text/html X-Cache: MISS from localhost X-Cache-Lookup: HIT from localhost:3128 Via: 1.0 localhost (squid/3.1.20) Connection: keep-alive // On consulte le fichier de log : // TCP_CLIENT_REFRESH_MISS : indique ici que le serveur cache a dû recontacter le serveur d origine sur demande du client # cat /var/log/squid3/access.log TCP_CLIENT_REFRESH_MISS/ HEAD - DIRECT / text/html Le premier appel montre que la ressource n était pas présente dans le cache (TCP_MISS/200) et que la requête a été envoyée au serveur d origine (DIRECT/ ). Lors de la seconde tentative, le cache est sollicité et cette fois l objet est trouvé, Squid renvoie un code TCP_HIT/200 (ou TCP_MEM_HIT/200) signifiant que l objet a été trouvé et qu il est encore valide. Aucune connexion n est alors faite avec le serveur d origine (NONE/). L'option no-cache utilisée dans la requête va forcer le serveur à recharger la page auprès du serveur d'origine. Quand cette option est présente dans la réponse, cela indique que la ressource doit être revalidée chaque fois qu'elle est redemandée. Administration Linux - Proxy 12 / tv

13 SQUID On commence par récupérer une ressource éligible au cache : # curl -I -x HTTP/ OK Last-Modified: Tue, 29 Apr :12:07 GMT Accept-Ranges: bytes Content-Length: Content-Type: text/html Date: Mon, 05 May :04:29 GMT Server: Apache/ProXad [Apr :06:05] ETag: "23cb6d8-bb85-535f7af7" Age: 116 X-Cache: HIT from localhost X-Cache-Lookup: HIT from localhost:3128 Via: 1.0 localhost (squid/3.1.20) Connection: keep-alive Il y a une information importante ici, l âge de la ressource dans le cache (Age: 116), ce qui signifie aussi que la ressource était déjà présente dans le cache avant la requête. On envoie maintenant les requêtes suivantes au serveur : // Pas encore périmé : 400 > 116 # curl -I -x -H Cache-Control: max-age=400 # cat /var/log/squid3/access.log TCP_MEM_HIT/ HEAD - NONE/- text/html // Périmé : 40 < 116 # curl -I -x -H Cache-Control: max-age=40 # cat /var/log/squid3/access.log TCP_REFRESH_UNMODIFIED/ HEAD - DIRECT / text/htm L'option max-age utilisée dans la requête du poste client permet de fournir une valeur (en secondes) correspondant à l'âge maximum accepté pour la ressource retournée par le proxy cache. Pour mettre en pratique Squid sur un réseau local, il suffit simplement de configurer les navigateurs web client afin d utiliser un proxy, ayant pour adresse celle de la machine Squid. Squid écoute par défaut sur le port Exemple de paramétrage du navigateur Firefox sur un réseau local /24 : Administration Linux - Proxy 13 / tv

14 SQUID Il sera possible d'outrepasser la conguration du navigateur car Squid dispose d'une option de conguration lui permettant de fonctionner en proxy transparent (cf. manipulations). Vous risquez d obtenir ceci : On peut vérifier dans le journal des accès : # cat /var/log/squid3/access.log TCP_DENIED/ GET - NONE/- text/html TCP_DENIED/ GET - NONE/- text/html TCP_DENIED/ GET - NONE/- text/html TCP_DENIED/ GET - NONE/- text/html TCP_DENIED/ CONNECT accounts.google.com:443 - NONE/- text/ html Ceci est dû à la conguration actuelle des acl et de la directive http_access allow... Administration Linux - Proxy 14 / tv

15 MANIPULATIONS Manipulations Séquence 1 : mise en tampon (cache web) Question 1. Installer squid puis réaliser les tests de base. La mise en cache des objets est une des fonctionnalités principales d un serveur mandataire sur un réseau local. Squid utilise deux zones de cache pour stocker les données issues des pages web : la mémoire RAM : plus rapide mais limité le disque dur : plus lent mais plus d espace possible Afin d obtenir de bonnes performances, il faut dimensionner correctement ces deux espaces. On distingue trois types d objets : les objets en transit (in-tansit objects) : des requêtes que le serveur traite à un instant précis. Ils ont une priorité élevée et doivent être conservés dans la zone cache de la RAM les objets chauds (hot objects) : les plus régulièrement demandés. Ils ont une priorité inférieure aux objets en transit. Si l espace de stockage dans la RAM devient insuffisant, ils sont déplacés dans la zone cache du disque dur. les objets cachés négativement (negative-cache objects) : des requêtes qui n ont pas abouti (message d erreurs...). Ils ont la même priorité que les objets chauds. Pour définir la taille de la mémoire cache allouée en RAM, il faut utiliser la directive cache_mem. Par défaut, celle-ci est fixée à 256 Mo : # cat /etc/squid3/squid.conf.bak grep cache_mem cache_mem 256 MB Les objets ont en moyenne un poids de 13 Ko. Chaque objet est référencé par une métadonnée de 72 octets dans la base. Il est ensuite possible de limiter la taille des objets mis en cache avec la directive maximum_object_size_in_memory (par défaut à 512 Ko) : # cat /etc/squid3/squid.conf.bak grep maximum_object_size_in_memory maximum_object_size_in_memory 512 KB Il est aussi possible de limiter la taille des objets stockés sur le cache disque dur avec la directive maximum_object_size (combiné avec la directive minimum_object_size). On peut aussi contrôler le mode utilisé pour la mise en cache dans la RAM avec la directive memory_cache_mode : always : permet de mettre en cache tous les objets les plus récemment récupérés disk : objet d abord stocké dans le cache disque dur puis s il est appelé une seconde fois, il sera stocké dans la RAM network : seuls les objets récupérés à partir du réseau (serveurs d origine et caches voisins) sont stockés en RAM La directive memory_cache_mode n'est disponible qu'à partir de la version 3.2 de Squid. Administration Linux - Proxy 15 / tv

16 MANIPULATIONS Lorsque le cache est (presque) plein, Squid met en place une politique de remplacement (avec la directive memory_replacement_policy) pour qu il puisse se vider : lru (Least Recent Used) : supprime les objets les plus anciens de la RAM (choix par défaut) GDSF (Greedy Dual Size Frequency) : supprime les objets en fonction de leur taille et de leur temps d accès (les plus petits et les plus régulièrement appelés sont conservés) LFUDA (Least Frequently Used With Dynamic Aging) : idem GDSF mais sans tenir compte de leur taille # cat /etc/squid3/squid.conf.bak grep memory_replacement_policy memory_replacement_policy lru La directive cache_replacement_policy dénit la manière dont les objets sont remplaçés sur le disque dur. Les seuils de déclenchement sont réglables avec cache_swap_low et cache_swap_high. Squid implémente trois systèmes de fichiers pour la zone cache du disque dur : ufs (Unix File System) : choix par défaut aufs (Asynchronous UFS) : une version améliorée de ufs (e/s asynchrones en utilisant les threads) diskd (Disk Daemon) : idem aufs mais sans les threads On utilise la directive cache_dir pour activer une zone de stockage sur disque : # vim /etc/squid3/squid.conf cache_dir ufs /var/spool/squid3/cache Ici le cache a une taille de 150 MO répartis sur 16 répertoires de premier niveau contenant chacun 256 répertoires de second niveau. // On crée le répertoire de cache # mkdir -p /var/spool/squid3/cache // On lui attribue le user (cache_effective_user) et le group (cache_effective_group) propriétaires # chown -R proxy:proxy /var/spool/squid3/cache2 // On initialise la zone de cache # squid3 -z Il est conseillé de sauvegarder son chier de conguration de Squid /etc/squid3/squid.conf et de réaliser chaque séquence à partir d'un chier vierge. Question 2. Réaliser la configuration suivante : - définir l espace alloué en RAM à 128 Mo - limiter la taille des objets en RAM à 1 Mo - définir un deuxième cache disque de type aufs de 100 Mo - limiter la taille des objets sur le disque à 2 Mo Il est préférable de modifier la valeur de la directive error_directory qui indique à Squid dans quel répertoire aller chercher les messages d erreur. // Répertoire qui contient les messages d erreurs personnalisés par langue # ls -l /usr/share/squid3/errors/ Administration Linux - Proxy 16 / tv

17 MANIPULATIONS Question 3. Ajuster la valeur de la directive error_directory pour obtenir des messages d erreur en français et vérifier le bon fonctionnement. Question 4. Modifier le message d erreur ERR_ACCESS_DENIED et vérifier la prise en compte de la modification. Séquence 2 : la journalisation Squid génère des fichiers de journalisation (log). Par défaut, il utilise les deux fichiers journaux access.log et cache.log situés dans /var/log/squid3/. # cat /etc/squid3/squid.conf.bak grep "_log" access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log Le fichier /var/log/squid3/cache.log recense les différentes informations concernant le fonctionnement du service et les possibles erreurs contenues dans le fichier de configuration de Squid (/etc/squid3/squid.conf). On peut le visualiser avec les commandes cat ou tail : # cat /var/log/squid3/cache.log 2014/04/30 14:45:01 Starting Squid Cache version for x86_64-pc-linux-gnu /04/30 14:45:01 Process ID Le fichier /var/log/squid3/access.log permet de recenser toutes les requêtes HTTP relayées par le serveur mandataire. Chaque ligne correspond à une requête cliente. Une ligne peut prendre la forme suivante : Timestamp Elapsed Client Action/Code Size Method URI Ident Hierarchy/From Content with: - Timestamp : The time when the request is completed (socket closed). The format is " Unix time" (seconds since Jan 1, 1970) with millisecond resolution. - Elapsed : The elapsed time of the request, in milliseconds. This is the time between the accept() and close() of the client socket. - Client : The IP address of the connecting client, or the FQDN if the log_fqdn option is enabled in the config file. - Action : The Action describes how the request was treated locally (hit, miss, etc). - Code : The HTTP reply code taken from the first line of the HTTP reply header. For ICP requests this is always "000." If the reply code was not given, it will be logged as "555." - Size : For TCP requests, the amount of data written to the client. For UDP requests, the size of the request. (in bytes) - Method : The HTTP request method (GET, POST, etc), or ICP_QUERY for ICP requests. - URI : The requested URI. - Ident : The result of the RFC931/ident lookup of the client username. If RFC931/ident lookup is disabled (default: ident_lookup off ), it is logged as -. - Hierarchy : A description of how and where the requested object was fetched. - From : Hostname of the machine where we got the object. - Content : Content-type of the Object (from the HTTP reply header). Administration Linux - Proxy 17 / tv

18 MANIPULATIONS # tail /var/log/squid3/access.log TCP_MISS/ GET - DIRECT / text/html TCP_MEM_HIT/ GET - NONE/- text /html TCP_MEM_HIT/ GET - NONE/- text /html TCP_MISS/ GET - DIRECT/ text/html TCP_MISS/ GET - DIRECT/ text/html TCP_MEM_HIT/ GET - NONE/- text /html TCP_CLIENT_REFRESH_MISS/ GET - DIRECT/ text/html TCP_MEM_HIT/ GET - NONE/- text /html TCP_MEM_HIT/ GET - NONE/- text /html TCP_MISS/ GET - DIRECT / text/html Concernant le code Action renvoyé par Squid pour chaque requête, on donne ici les principaux d entre eux. Les codes préfixés par TCP_ font référence aux requêtes reçues sur le port HTTP, les codes préfixés par UDP_ faisant eux référence aux requêtes reçues sur le port ICP (Inter Cache Protocol utilisé pour communiquer avec d autres serveurs cache) : TCP_HIT : une copie valide de l objet demandé a été trouvée dans le cache. TCP_MISS : l objet demandé n a pas été trouvé dans le cache. TCP_REFRESH_HIT : l objet demandé a été trouvé dans le cache mais est considéré comme périmé. La requête IMS (If-Modified-Since) a renvoyé un code 304-Not Modified et la ressource mise en cache est retournée. TCP_REFRESH_FAIL_HIT : l objet demandé a été trouvé dans le cache mais est considéré comme périmé. La requête IMS (If-Modified-Since) a échoué et le contenu périmé a été délivré au client. TCP_REFRESH_MISS : l objet demandé a été trouvé dans le cache mais est considéré comme périmé. La requête IMS (If-Modified-Since) a retourné le nouvel objet. TCP_DENIED : l accès a été refusé pour cette demande. Les diérents tags : http ://www.linofee.org/ jel/proxy/squid/accesslog.shtml. Le fichier /var/log/squid3/store.log est aussi très utile pour décrire l activité d écriture sur le disque de Squid. Dans ce journal, il est possible de voir quels objets ont été stockés ou rechargés. Le fichier /var/log/squid3/store.log est structuré de la manière suivante : Timestamp Tag Code Date LM Expire Content Expect/Length Methode Key with: - Timestamp : The time this entry was logged. (millisecond resolution since 00:00:00 UTC, January 1, 1970) - Tag : SWAPIN (swapped into memory from disk), SWAPOUT (saved to disk) or RELEASE ( removed from cache) - Code : The HTTP reply code when available. For ICP requests this is always "0". If the reply code was not given, it will be logged as "555." The following three fields are timestamps parsed from the HTTP reply headers. All are expressed in Unix time (i.e.(seconds since 00:00:00 UTC, January 1, 1970). A missing Administration Linux - Proxy 18 / tv

19 MANIPULATIONS header is represented with -2 and an unparsable header is represented as Date : Time from the HTTP Date reply header. If the Date header is missing or invalid, the time of the request is used instead. - LM : The value of the HTTP Last-Modified: reply header. - Expires : The value of the HTTP Expires: reply header. - Content : The HTTP Content-Type reply header. - Expect : The value of the HTTP Content-Length reply header. Zero if Content-Length was missing. - Length : The number of bytes of content actually read. If the Expect is non-zero, and not equal to the Length, the object will be released from the cache. - Method : The request method (GET, POST, etc). - Key : The cache key. Often this is simply the URL. Cache objects which never become public will have cache keys that include a unique integer sequence number, the request method, and then the URL. ( /[post put head connect]/uri ) # cat /var/log/squid3/store.log SWAPOUT B61D97FF BD10E8AEA675DD text/html 753/753 GET RELEASE -1 FFFFFFFF F533CA748CE8867E0727D8F34CE29ED text/ html 1516/1516 GET // Convertir un timestamp dans un format date # date mercredi 30 avril 2014, 14:49:16 (UTC+0200) # date lundi 13 décembre 2010, 14:48:46 (UTC+0100) Question 5. Activer la journalisation (log) des fichiers access.log, cache.log et store.log situés dans /var/log/squid3/. Identifier les traces dans les journaux. Question 6. Personnaliser l enregistrement des requêtes dans le fichier de journalisation access-tp.log avec la directive logformat en définissant le format "tp" qui respecte les spécifications suivantes : Client source IP address - User name [Local time] "Request method Request URL HTTP/Request protocol version" HTTP status code sent to the client Sent reply size including HTTP headers Squid request status Squid hierarchy status La documentation de la directive logformat : http ://www.squid-cache.org/ SARG est un outil qui permet d analyser les requêtes effectuées sur le serveur mandataire et de créer des rapports détaillés au format HTML. // Installation de SARG # apt-get install sarg Il faut ensuite éditer son fichier de configuration afin de définir le chemin d accès au fichier de log de Squid et celui des rapports générés : # vim /etc/sarg/sarg.conf Administration Linux - Proxy 19 / tv

20 MANIPULATIONS access_log /var/log/squid3/access.log output_dir /var/www/squid Puis, on génère le rapport : # sarg -x Pour visualiser le rapport, il suffit d utiliser un navigateur web en accédant à l URL : http ://votreserveur/squid/ Question 7. Installer et tester l outil SARG. Séquence 3 : contrôle d accès et authentification Ces limitations sont écrites à partir d ACL (Access Control List). On construit un ensemble de règles nommées puis celles-ci pourront être utilisées dans d autres directives (comme http_access et icp_access). La syntaxe d une ACL est la suivante : acl aclname acltype string[string2] http_access allow deny [!]aclname La directive acl prend trois arguments obligatoires : le nom de la liste (aclname) le type de contrôle (acltype) le paramètre obligatoire au type de contrôle (string) Administration Linux - Proxy 20 / tv

Proxy SQUID sous Debian

Proxy SQUID sous Debian Proxy SQUID sous Debian Définition : Un serveur proxy, appelé en français serveur mandataire est une architecture client-serveur qui a pour fonction de relayer des requêtes entre une fonction cliente et

Plus en détail

Installation et Configuration de Squid et SquidGuard sous Debian 7

Installation et Configuration de Squid et SquidGuard sous Debian 7 Installation et Configuration de Squid et SquidGuard sous Debian 7 Table des matières Installation et Configuration de Squid et SquidGuard...1 Squid...2 squid.conf...2 SquidGuard...4 squidguard.conf...4

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007 2008 Proxy Qu'est ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application

Plus en détail

Squid. Olivier Aubert 1/19

Squid. Olivier Aubert 1/19 Squid Olivier Aubert 1/19 Liens http://www.squid-cache.org/ http://squid.visolve.com/ 2/19 Principe Squid : cache web logiciel Fonctionne sur un OS classique (Linux, BSD, Solaris, Windows,...) Logiciel

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA www.seroo.fr TABLE DES MATIERES 1. INSTALLATION DE LINUX ET CONNEXION A INTERNET...4 2. MISE EN PLACE DU SERVEUR PROXY (SQUID)...4

Plus en détail

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 Squid & SquidGuard Sommaire: VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 CONFIGURATION...5 INTEGRATION DES BLACK LIST ES...6 INITIALISATION DES BASES...7 Oandreau.free.fr/supports.htm

Plus en détail

PROXY SQUID-SQARD. procédure

PROXY SQUID-SQARD. procédure PROXY SQUID-SQARD procédure Tableau d évolution Version Date Description Rédacteur Approbateur 0.0 08/12/2014 Ecriture du document Thierry MARTINS 1.0 05/02/2015 1 ère version Thierry MARTINS Guide de

Plus en détail

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés Zemma Mery BTS SIO SISR Session 2015 Projets Personnels Encadrés Fiche de présentation d une situation professionnelle BTS Services informatiques aux organisations Session 2015 E4 Conception et maintenance

Plus en détail

Installation d'un service mandataire (Proxy SQUID) 1

Installation d'un service mandataire (Proxy SQUID) 1 Installation d'un service mandataire (Proxy SQUID) 1 Serveur mandataire et serveur de cache Le serveur mandataire (proxy) est une machine souvent physiquement située entre un réseau et son accès à Internet.

Plus en détail

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline. Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en

Plus en détail

Le protocole HTTP. Olivier Aubert 1/40

Le protocole HTTP. Olivier Aubert 1/40 Le protocole HTTP Olivier Aubert 1/40 Liens http://www.jmarshall.com/easy/http/ Références : RFC1945 (HTTP1.0), RFC2616 (HTTP1.1), RFC822 (format des entêtes), RFC2396 (syntaxe des URL), RFC1521 (types

Plus en détail

Configurer Squid comme serveur proxy

Configurer Squid comme serveur proxy LinuxFocus article number 235 http://linuxfocus.org Configurer Squid comme serveur proxy Résumé: par D.S. Oberoi L auteur: D.S. Oberoi vit à Jammu, aux Indes et rencontre des problèmes

Plus en détail

Comment surfer tranquille au bureau

Comment surfer tranquille au bureau Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3

Plus en détail

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http.

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http. Squid 1) Présentation Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http. Squid est un produit disponible sur un grand nombre

Plus en détail

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam SQUID apt-get install squid3 Faire la commande suivante pour enlever tous les commentaires : grep -E -v '^(# $)' /etc/squid/squid.conf >> newfichier mv newfichier squid.conf Modifier ce fichier : /etc/squid3/squid.conf

Plus en détail

SQUID Configuration et administration d un proxy

SQUID Configuration et administration d un proxy SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil

Plus en détail

Serveur Mandataire SQUID

Serveur Mandataire SQUID Serveur Mandataire SQUID Compétences Professionnelles Mise en place d un serveur mandataire (proxy SQUID) Mise en place de ressources complémentaires (SQUIDGUARD & SQUIDANALYZER) Analyser des logs afin

Plus en détail

Programmation GNU/Linux. Squid : Proxy Web

Programmation GNU/Linux. Squid : Proxy Web Programmation GNU/Linux Squid : Proxy Web By ShareVB Table des matières I.Définitions...2 1.Cache Web...2 2.Serveur mandataire ou Proxy...2 3.Les implémentations de serveurs proxy modernes...2 II.Installation

Plus en détail

Fiche synthétique PROXY / REVERSE PROXY

Fiche synthétique PROXY / REVERSE PROXY Fiche synthétique PROXY / REVERSE PROXY Un Proxy est un serveur mandataire (quelqu un à qui on délègue une tâche), (passerelle entre le réseau intérieur et l extérieur -Proxy http : relayer les demandes

Plus en détail

IPTables Analyse et réalisation

IPTables Analyse et réalisation IPTables Analyse et réalisation Page 1 sur 15 Table des matières IPTables - analyse...3 Qu est-ce que c est?...3 Vocabulaire...3 Chaîne...3 Motif de reconnaissance...3 Cible...3 Policy...3 Policy Accept...3

Plus en détail

Application distribuée via HTTP Mise en œuvre minimale...

Application distribuée via HTTP Mise en œuvre minimale... Module RX : distrib/http Application distribuée via HTTP Mise en œuvre minimale... Problème de la distribution Fabrice Harrouet École Nationale d Ingénieurs de Brest harrouet@enib.fr http://www.enib.fr/~harrouet/

Plus en détail

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mise en place d un serveur Proxy sous Ubuntu / Debian BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

«Cachez-moi cette page!»

«Cachez-moi cette page!» «Cachez-moi cette page!» Atelier Pratique 1h30 Hugo Hamon (@hhamon) http://hugohamon.com Qui suis-je? Au menu de cet atelier 1. Introduction 2. Avantages 3. Expiration (Expires & Cache-Control) 4. Validation

Plus en détail

Squid Intégrez un proxy à votre réseau d'entreprise

Squid Intégrez un proxy à votre réseau d'entreprise Avant-propos 1. Introduction 7 2. À qui s'adresse ce livre? 8 3. Structure du livre 8 Les principes de base d un serveur cache 1. Pourquoi un serveur mandataire? 11 2. Le principe d'un serveur mandataire-cache

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Serveurs de noms Protocoles HTTP et FTP

Serveurs de noms Protocoles HTTP et FTP Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Solution de filtrage web Libre

Solution de filtrage web Libre Solution de filtrage web Libre SQUID CheminadeJulien SQUID SQUIDGUARD CLAMAV Table of Contents I) Introduction... 3 Présentation des objectifs du projet... 3 Solution proposer... 3 Annonce du plan... 3

Plus en détail

Sécurité du Système d Information. Authentification centralisée et SSO

Sécurité du Système d Information. Authentification centralisée et SSO Sécurité du Système d Information Authentification centralisée et SSO Nombres de pages : 14 Version : 1.0 Auteurs : HAMROUNI Makram POISSENOT Thomas ROUX Nicolas Destinataires : BOMBAL Sébastien Remarques

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion HTTP IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin HTTP Introduction et architecture Messages Authentification Conclusion 1 HTTP Introduction et architecture Hypertext Transfert Protocol URI (Uniform

Plus en détail

Le Web. Présentation du langage HTML et du protocole HTTP

Le Web. Présentation du langage HTML et du protocole HTTP Le Web Présentation du langage HTML et du protocole HTTP Une petite histoire du web 1989 1ère note relative au web «hypertexte et le CERN» au sujet du World Wide Web. 1991 premier serveur web sur l Internet,

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

9 - Configuration de SQUID.doc. La configuration de Squid se fait sous /etc/squid/squid.conf. A) Par défaut. B) Accès pour notre réseau

9 - Configuration de SQUID.doc. La configuration de Squid se fait sous /etc/squid/squid.conf. A) Par défaut. B) Accès pour notre réseau Page N 1 sur 13 La configuration de Squid se fait sous /etc/squid/squid.conf A) Par défaut Par défaut tous les réseaux sont interdits de navigation sur le web : B) Accès pour notre réseau Pour la partie

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

Configuration de SquidGuard sous Fedora Core 4-1 / 6 - Configuration de SquidGuard sous Fedora Core 4-1 / 6 - I. Installation des packages A. Installation de Squid Le package Squid peut être installé à partir de la console Gestion des paquetages : system-config-packages

Plus en détail

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations? SQUID I- Squid, c'est quoi? Squid est un serveur proxy-cache, c est à dire, qu il stocke les données fréquemment consultées sur les pages Web (notamment les images) sur un serveur cache du réseau local

Plus en détail

SQUID Contrôlez et accélérez le surf

SQUID Contrôlez et accélérez le surf SQUID Contrôlez et accélérez le surf Association LOLITA Logiciels Libres à Tahiti & ses îles. Présentation de SQUID Proxy libre pour Unix et Linux... Prés entation entièrement réalis é avec des Log iciels

Plus en détail

Cours Web : Introduction

Cours Web : Introduction Cours Web : Introduction Catherine Letondal letondal@pasteur.fr Institut Pasteur Cours Web IEB 2005 p.1/?? Pourquoi un cours Web? le Web : c est stratégique en biologie c est un bon exemple de système

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

DESS TEXTE. Outils informatiques 5. HTML et le protocole HTTP p.1

DESS TEXTE. Outils informatiques 5. HTML et le protocole HTTP p.1 Outils informatiques 5. HTML et le protocole HTTP DESS TEXTE Outils informatiques 5. HTML et le protocole HTTP p.1 Introduction But du cours : récupérer automatiquement des données accessibles sur le web

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0 K E R B E R O S V S N T L M SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (2): Authentification centralisée et SSO Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael 1 4-1 6 r u e v o l t a i r e

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Mandataires, caches et filtres

Mandataires, caches et filtres Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire

Plus en détail

IH03 ou RFHUTIL. Sommaire IH03 ou RFHUTIL, définition 2 Interfaces, leurs fonctionnalités Les pré-requis Les commandes manuelles L interface graphique

IH03 ou RFHUTIL. Sommaire IH03 ou RFHUTIL, définition 2 Interfaces, leurs fonctionnalités Les pré-requis Les commandes manuelles L interface graphique IH03 ou RFHUTIL Sommaire IH03 ou RFHUTIL, définition 2 Interfaces, leurs fonctionnalités Les pré-requis Les commandes manuelles L interface graphique IH03 ou RFHUTIL Est un support-pack d IBM destinéau

Plus en détail

Serveur proxy Squid3 et SquidGuard

Serveur proxy Squid3 et SquidGuard Serveur proxy Squid3 et SquidGuard 1. Prérequis & installation Une adresse fixe le paquet wget, squid3 et squidguard apt-get install wget squid3 squidguard Il faut ensuite créer les répertoires suivants

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

HTTP et le Web. 2010 Pearson France Perl moderne Sébastien Aperghis-Tramoni, Damien Krotkine, Jérôme Quelin

HTTP et le Web. 2010 Pearson France Perl moderne Sébastien Aperghis-Tramoni, Damien Krotkine, Jérôme Quelin 21 HTTP, le protocole de transfert à la base du Web est devenu omniprésent. Parce qu il est le seul protocole dont il est quasi certain qu il passera à travers les proxies et les firewalls, celui-ci est

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Introduction. 1 P a g e. Khalid BOURICHE

Introduction. 1 P a g e. Khalid BOURICHE Introduction Basé sur FreeBSD, pfsense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses

Plus en détail

Travaux pratiques. Protocoles de la couche transport et de la couche applications

Travaux pratiques. Protocoles de la couche transport et de la couche applications Travaux pratiques Protocoles de la couche transport et de la couche applications Objectif Ce laboratoire se veut une introduction aux protocoles de la couche transport et de la couche application du modèle

Plus en détail

1.1 Remote Procedure Call (RPC)

1.1 Remote Procedure Call (RPC) 1.1 Remote Procedure Call (RPC) Le modèle Client-Serveur est un modèle simple à utiliser pour la structuration des systèmes répartis. Mais ce modèle s appuie sur des communications de type entrée/sortie

Plus en détail

Réseaux. 1 Généralités. E. Jeandel

Réseaux. 1 Généralités. E. Jeandel 1 Généralités Réseaux Couche Application E. Jeandel Couche application Dernière couche du modèle OSI et TCP/IP Échange de messages entre processus Protocole Un protocole de niveau application doit spécifier

Plus en détail

Réseaux. Couche Application. E. Jeandel

Réseaux. Couche Application. E. Jeandel Réseaux Couche Application E. Jeandel 1 Généralités Couche application Dernière couche du modèle OSI et TCP/IP Échange de messages entre processus Protocole Un protocole de niveau application doit spécifier

Plus en détail

Procédure Windows Serveur 2003 Ecole Elementaire Vallée du Rû GAILLARD KEVIN

Procédure Windows Serveur 2003 Ecole Elementaire Vallée du Rû GAILLARD KEVIN 2 0 1 4 Procédure Windows Serveur 2003 Ecole Elementaire Vallée du Rû GAILLARD KEVIN 1 TABLE DES MATIERES PROCEDURE INSTALATION SERVEUR WINDOWS 2003... Erreur! Signet non défini. Sommaire... Erreur! Signet

Plus en détail

Gilles.Roussel univ-mlv.fr HTTP/1.1 RFC 2068

Gilles.Roussel univ-mlv.fr HTTP/1.1 RFC 2068 HTTP/1.1 RFC 2068 1 Caractéristiques Niveau application Sans état Tout transfert de données Au dessus du protocole TCP Largement utilisé dans le World Wide Web Utilise les normes : URI (Uniform Resource

Plus en détail

Première étape : Le modèle client/serveur avec le protocole TCP (client unique)

Première étape : Le modèle client/serveur avec le protocole TCP (client unique) École de technologie supérieure Responsable du cours : Hassan Zeino Département de génie logiciel et des TI Chargés de laboratoire : Fatna Belqasmi (A-3326) Session : Automne 2010 LOG610 - RÉSEAUX DE TELECOMMUNICATION

Plus en détail

Programmation d applications pour le Web

Programmation d applications pour le Web Programmation d applications pour le Web Cours 2 ème année ING ISI-Tunis Elaboré par: Hela LIMAM Chapitre 1 Architectures et applications du Web Année universitaire 2011/2012 Semestre 2 1 Plan Internet,

Plus en détail

Dans l'épisode précédent

Dans l'épisode précédent Dans l'épisode précédent 2 Le réseau SERVEURS POSTE CLIENT POSTE CLIENT wifi SERVEURS POSTE CLIENT switch Borne Wifi SERVEURS routeur POSTE CLIENT? SERVEURS SERVEURS SERVEURS POSTE CLIENT SERVEURS 3 Les

Plus en détail

Réseaux. Couche Application. E. Jeandel. Emmanuel.Jeandel at lif.univ-mrs.fr. E. Jeandel, Lif Réseaux, Couche Application 1/12

Réseaux. Couche Application. E. Jeandel. Emmanuel.Jeandel at lif.univ-mrs.fr. E. Jeandel, Lif Réseaux, Couche Application 1/12 Réseaux Couche Application E. Jeandel Emmanuel.Jeandel at lif.univ-mrs.fr E. Jeandel, Lif Réseaux, Couche Application 1/12 Contenu 1 Généralités E. Jeandel, Lif Réseaux, Couche Application 2/12 Couche

Plus en détail

Bind, le serveur de noms sous Linux

Bind, le serveur de noms sous Linux Bind, le serveur de noms sous Linux 1. Principes de fonctionnement d'un serveur de noms La résolution des noms d'hôtes sur les réseaux tcp/ip est fondée sur le principe d'une répartition de la base des

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances Page 1/14 Sommaire Administration du système... 3 Journalisation pour le débogage... 3 Intellipool Network Monitor requiert-il un serveur web externe?... 3 Comment sauvegarder la

Plus en détail

1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2. 1.2 Installation du composant DHCP... 3. 1.3 Autorisation d'un serveur DHCP...

1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2. 1.2 Installation du composant DHCP... 3. 1.3 Autorisation d'un serveur DHCP... Table des matières 1 DHCP sur Windows 2008 Server... 2 1.1 Introduction... 2 1.2 Installation du composant DHCP... 3 1.3 Autorisation d'un serveur DHCP... 11 1.4 Visualiser les serveurs autorisés... 12

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr 1. OBJECTIFS DU TP Réaliser et tester le NAT entre différents réseaux. Analyser le fonctionnement

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal)

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Description Wireshark est un analyseur de protocole gratuit pour Windows, Unix et ses dérivés. Il permet d examiner

Plus en détail

Travaux pratiques n o 1

Travaux pratiques n o 1 Travaux pratiques n o 1 Passerelle Applicative IPv6-IPv4 Le déploiement d IPv6 pose la problématique de l accès aux services disponibles dans l Internet IPv4. Dans ce TP nous allons procéder à l installation

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Installation d OCS Inventory

Installation d OCS Inventory Installation d OCS Inventory Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure en réseau local,

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

But de cette présentation. Serveur DHCP (rédigé pour Ubuntu Server) Le protocole DHCP. Le protocole DHCP. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Serveur DHCP (rédigé pour Ubuntu Server) Le protocole DHCP. Le protocole DHCP. Hainaut P. 2013 - www.coursonline. Serveur DHCP (rédigé pour Ubuntu Server) But de cette présentation Vous permettre de comprendre et de configurer le service DHCP sur un serveur Ubuntu Linux via l invite de commande Voir comment configurer

Plus en détail

Programmation du Web : Présentation du protocole HTTP

Programmation du Web : Présentation du protocole HTTP Programmation du Web : Présentation du protocole HTTP Jean-Baptiste Vioix (jean-baptiste.vioix@iut-dijon.u-bourgogne.fr) IUT de Dijon-Auxerre - LE2I http://jb.vioix.free.fr 1-14 Présentation générale Le

Plus en détail

TP DE PROGRAMMATION RESEAU : LES SOCKETS

TP DE PROGRAMMATION RESEAU : LES SOCKETS - ENSEIRB - TP DE PROGRAMMATION RESEAU : LES SOCKETS Patrice KADIONIK - 1/11- TABLE DES MATIERES www.enseirb.fr/~kadionik 1. BUT DES TRAVAUX PRATIQUES...3 2. SEANCE 1 : UTILISATION DES COMMANDES UNIX/LINUX

Plus en détail

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................

Plus en détail

Distribution de contenu 1 - caches web

Distribution de contenu 1 - caches web Distribution de contenu 1 - caches web hristophe Deleuze Grenoble IN ESISAR NE520 2010 2011 roxy élément intermédiaire dans une communication client-serveur passerelle protocoles réseau public/privé paramètres

Plus en détail

Architecture client/serveur

Architecture client/serveur Architecture client/serveur Table des matières 1. Principe du client/serveur...2 2. Communication client/serveur...3 2.1. Avantages...3 2.2. Inconvénients...3 3. HTTP (HyperText Transfer Protocol)...3

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Administration Linux - FTP

Administration Linux - FTP Administration Linux - FTP 2014 tv - v.1.0 - produit le 25 mars 2014 Sommaire Mise en situation 2 FTP (File Transfer Protocol) 2 vsftpd 2 Introduction..............................................

Plus en détail

Sécurisation des communications

Sécurisation des communications Tunnels et VPN Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement des données Permettre d éviter les écoutes

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Guide d installation

Guide d installation Guide d installation Introduction... 3 1. Appuyer sur Enter... 4 2. Choisir le type de serveur à installer... 5 3. Formatage et installation sur le disque... 6 4. Confirmation du formatage du disque...

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

(structure des entêtes)

(structure des entêtes) Aide mémoire HTTP (structure des entêtes) Fabrice HARROUET École Nationale d Ingénieurs de Brest http://www.enib.fr/~harrouet/ enib 1/10 Structure générale d une requête Requête HTTP méthode ressource

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP. IP & Co L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP. 1. Service DHCP Faire un réseau de 4 machines comme ci-dessous. Pour l'instant seul la machine

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail