Squid Proxy par SSH

Cet article décrit l’installation et la configuration d’un serveur proxy Squid sur CentOS ainsi que la configuration côté client afin d’y accéder depuis internet au travers d’SSH.
Il peut y avoir diverses raisons pour utiliser un tel procédé afin d’accéder à internet, ne pas naviguer en clair sur des réseaux WIFI public, soit pour avoir un peu d’anonymat sur Internet ou alors pour contourner des proxy d’entreprise trop restrictifs sur les contenus…
Sachez tout de même que les requêtes DNS seront tout de même enregistrées sur le serveur DNS du réseau utilisé, il sera donc possible de savoir où vous avez été pour les administrateur du réseau 🙂

Installation et configuration d’un serveur Squid

L’installation est simple et rapide :

sudo yum install squid

Une fois le paquet validé pour installation votre serveur squid est pret à tourner sur le port par défaut 3128

Le fichier de configuration de Squid (/etc/squid/squid.conf) ressemblant plus à une doc qu’à un fichier de parametrage, voici une petite opération pour en supprimer tous les commentaires :

cat squid.conf |egrep -v '^#|^$' > squid.purge

Cela va créer un fichier squid.purge ressemblant à ceci :

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
#http_access deny all
icp_access allow all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin ?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /var/spool/squid

On sauvegarde le fichier de conf d’origine et on met en place notre nouveau fichier de config :

mv squid.conf squid.conf.origin
mv squid.purge squid.conf

Modifier le port d’écoute :

Donc dans ce fichier de configuration vous allez pouvoir changer le port http en modifiant la ligne commençant par : http_port 3128
Je vous conseille un port qui ne soit pas déjà utilisé bien entendu, du genre 3425 ou 3333 si vous voulez, qu’importe du moment que vous vous en souveniez 🙂

Ne pas afficher l’IP d’origine

Si vous souhaitez un surf anonyme, et que le serveur proxy ne transmette pas votre IP dans les champs d’en-têtes forward mais uniquement la sienne lorsque vous allez sur un site, vous devrez ajouter cette ligne dans le fichier de configuration :

forwarded_for off

Mettre en place une protection par login/mot de passe

Avec Squid vous pouvez utiliser diverses méthodes d’authentification faisant appel à des programmes externes, la plus simple étant ncsa_auth

Il faut créer un fichier htpasswd (les mêmes que ceux utilisés pour les protections de répertoires via .htaccess) :

sudo htpasswd -c /etc/squid/squidpasswd toto
//Puis saisir et confirmer un mot de passe pour l'utilisateur toto

Ensuite il ne reste plus qu’à créer l’acl pour la gestion du fichier de mot de passe en ajoutant ceci à votre fichier de configuration squid.conf :

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/squidpasswd
auth_param basic children 5
auth_param basic realm Mon Proxy Server
auth_param basic credentialsttl 2 hour


acl all proxy_auth REQUIRED
http_access allow all users
//Ne pas oublier de virer "http_access deny all"

rendre l’accès possible uniquement à une adresse IP

Dans l’exemple ci dessus, nous rendons l’accès possible à tout le monde mais une boite de dialogue demandera un login/Password
Je vais maintenant vous montrer comment restreindre l’accès uniquement à une adresse IP.
Il suffit pour cela de créer une acl pour l’adresse IP en question et de laisser “http_access deny all” :

acl monip src XXX.XXX.XXX.XXX
acl users proxy_auth REQUIRED
http_access allow monip users

Il est aussi possible de définir des plages d’adresse IP autorisées :

acl mesip src 192.168.0.0/24
acl users proxy_auth REQUIRED
http_access allow mesip users

Voilà votre serveur Proxy Squid fonctionne mais les données qui transitent entre votre machine et le serveur Proxy sont en clair… si vous souhaitiez juste avoir accès à des sites refusés par votre proxy d’entreprise ou sur un Wifi public c’est réglé.
Maintenant si vous souhaitez que les données qui transitent ne puissent pas être interceptées je vous conseille de mettre en place la suite du tuto 🙂

Créer un tunnel SSH vers votre serveur Squid Proxy

Pour cette partie vous aurez besoin d’un compte d’accès SSH au serveur hébergeant le serveur Squid Proxy

Configuration du serveur Squid

Voici les lignes à ajouter dans votre configuration Squid (squid.conf), ou l’adresse IP sera l’adresse IP internet de votre serveur Squid :

acl SSHccess src XXX.XXX.XXX.XXX
http_access allow SSHccess

Création du Tunnel SSH

Ensuite ouvrez un terminal (que vous laissez ouvert le temps de votre navigation) et saisissez la ligne de commande suivante :

ssh -L[port_local]:[IP_Serveur_Squid]:[Port_Squid] [user_ssh]@[IP_Serveur_Squid]

Où :

  • [port_local] : est le port que vous utilisez en local pour la configuraiton proxy de votre navigateur (ex : 8080)
  • [IP_Serveur_Squid] : est comme son nom l’indique l’adresse IP ou l’URL de votre serveur Squid (ex : monsquid.com)
  • [Port_Squid] : est le port défini dans la configuraiton de Squid (ex : 3333)
  • [User_ssh] : le compte d’accès utilisateur ssh du serveur Squid (ex : tom)

Donc cela pourrait donner ceci :

ssh -L8080:monsquid.com:3333 tom@monsquid.com

Entrez votre mot de passe SSH sur le serveur Squid et tout devrait fonctionner

Si vous avez des erreurs, il est possible que le firewall de votre serveur Squid bloque la route pensez donc à ouvrir le port défini dans la configuration de Squid.

Configuration du navigateur pour passer par le proxy en tunnel SSH

Les captures sont prises sous Firefox mais cela fonctionne de la même manière sur les autres navigateurs, allez dans les préférences/Options :

Puis dans l’onglet avancé puis réseau, cliquez sur le bouton “paramètres…” :

Cochez “Configuration manuelle du proxy”,
Saisissez “localhost” et le port local définit dans le tunnel, ici 8080,
Cochez “utiliser ce serveur de proxy pour tous les protocoles“.

Voilà vous surfez maintenant depuis votre serveur proxy en passant par un tunnel SSH 🙂 Vous pouvez aller sur un site vous donnant votre adresse IP pour contrôler.

Sinon il y a aussi...