Sécuriser son cache Squid

Le proxy Squid est bien pratique pour partager son Cache sortant, tout en y greffant des filtrages.

Mais comment faire si ce serveur est indisponible, au lieu de bloquer tout le réseau ?

La sécurisation est prévue pour les serveurs DNS, Mail, mais pas Squid.

Cet article résume comment sécuriser simplement un cache Squid partagé sur son réseau local. Le serveur de secours prenant la main (Failover) quand le serveur titulaire ne répond pas.

Sous Fedora, il suffit d’installer Squid sur plusieurs machines et de lui affecter un adresse IP virtuelle (par exemple, 192.168.1.28, à laquelle Squid répond sur le port 3128) selon le protocole VRRP.

Installer Keepalived

# yum install keepalived

Le configurer

# gedit /etc/keepalived/keepalived.conf

vrrp_instance squid1 {
 state MASTER
 interface eth0
 virtual_router_id 1
 priority 150
 virtual_ipaddress {
  192.168.1.28/24
 }
}

Démarrer le service

# systemctl start keepalived.service

Démarrer le service avec la machine

# systemctl enable keepalived.service

Pour le(s) serveur(s) de secours, faire de même en remplaçant MASTER par BACKUP, affecter une priorité par pas de 50 décroissant : 100, 50,…

Configurer les clients, Windows et Linux, pour imposer la sortie par le proxy à 192.168.1.28:3128

Bonus

J’utilise aussi plusieurs serveurs Dnsmasq, collocalisés ou non avec les serveurs Squid.

Les regrouper sous le même routeur virtuel, avec une adresse virtuelle différente de celle utilisée pour regrouper les Squid

  192.168.1.27/24

Configurer les clients avec un seul serveur DNS virtuel en

  192.168.1.27

09 août 2012 par Admin
Catégories : Tech | Tags: Cache, Keepalived, Squid, VRRP | 2 commentaires