Installation du proxy HTTP Apache - Linux

Sélectionnez la procédure d'installation du proxy HTTP Apache en fonction de la distribution Linux utilisée sur votre serveur : Si vous souhaitez utiliser Apache pour mettre aussi en cache les résultats de ESET Dynamic Threat Defense, consultez la documentation connexe.

Installation sur Linux (générique Distribution) pour le proxy HTTP Apache

1.Installez Apache HTTP Server (version 2.4.10 ou ultérieure).

2.Vérifiez que les modules suivants sont chargés :

access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk

3.Ajoutez la configuration de mise en cache :

CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk

4.Si le répertoire /var/cache/apache2/mod_cache_disk n'existe pas, créez-le et attribuez-lui des privilèges Apache (r,w,x).

5.Add Proxy configuration:

ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

6.Activez le proxy de mise en cache et la configuration ajoutés (si la configuration figure dans le fichier de configuration Apache principal, vous pouvez ignorer cette étape).

7.Si nécessaire, modifiez l'écoute sur le port de votre choix (le port 3128 est défini par défaut).

8.Authentification de base facultative :

oAjoutez une configuration d'authentification à la directive du proxy :

AuthType Basic
AuthName "Password Required"
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
Require group usergroup

oCréez un fichier de mot de passe à l'aide de la commande htpasswd.exe -c.

oCréez manuellement un fichier appelé group.file avec usergroup:username.

9.Redémarrez Apache HTTP Server.

 

 

Ubuntu Server 14.10 et installation d'autres distributions Linux basées sur Debian du proxy HTTP Apache

1.Installez la version la plus récente d'Apache HTTP Server à partir du référentiel apt :

sudo apt-get install apache2

2.Exécutez la commande suivante pour charger les modules Apache requis :

sudo a2enmod access_compat auth_basic authn_core authn_file authz_core\

authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk

3.Modifiez le fichier de configuration de mise en cache Apache :

sudo vim /etc/apache2/conf-available/cache_disk.conf

et copiez/collez la configuration suivante :

CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk

4. Cette étape n'est pas obligatoire. Toutefois, si le répertoire de mise en cache est absent, exécutez les commandes suivantes :

sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk

5.Modifiez le fichier de configuration du proxy Apache :

sudo vim /etc/apache2/conf-available/proxy.conf

et copiez/collez la configuration suivante :

ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

6.Activez les fichiers de configuration que vous avez modifiés lors des précédentes étapes :

sudo a2enconf cache_disk.conf proxy.conf

7.Définissez le port d'écoute du serveur HTTP Apache HTTP sur 3128. Modifiez le fichier /etc/apache2/ports.conf et remplacez Listen 80 par Listen 3128.

8.Authentification de base facultative :

sudo vim /etc/apache2/mods-enabled/proxy.conf

oCopiez/collez la configuration de l'authentification avant </Proxy>:

AuthType Basic
AuthName "Password Required"
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
Require group usergroup

oInstallez apache2-utils et créez un fichier de mot de passe (nom d'utilisateur : user, groupe : usergroup) :

sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user

oCréez un fichier appelé group :

sudo vim /etc/apache2/group.file

et copiez/collez la ligne suivante :

usergroup:user

9.Redémarrez Apache HTTP Server à l'aide de la commande suivante :

sudo service apache2 restart

 

Transfert pour les communications ESET uniquement

 

Pour autoriser le transfert des communications ESET uniquement, supprimez les informations suivantes :

<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

Et ajoutez les commandes suivantes :

<Proxy *>
Deny from all
</Proxy>

#*.eset.com:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#*.eset.eu:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#Antispam module (ESET Mail Security only):

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#Services (activation)

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#ESET servers accessed directly via IP address:

<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

Pour autoriser le transfert de toutes les communications, ajoutez les informations suivantes :

<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>

et supprimez les commandes suivantes :

<Proxy *>
Deny from all
</Proxy>

#*.eset.com:
ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#*.eset.eu:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#Antispam module (ESET Mail Security only):
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#Services (activation)
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

#ESET servers accessed directly via IP address:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>

 

Chaînage du proxy (ensemble du trafic)

ESMC ne prend pas en charge le chaînage de proxy lorsque les proxy requièrent une authentification. Vous pouvez employer votre propre solution de proxy web transparente (qui peut toutefois nécessiter une configuration supplémentaire que celle décrite ici). Ajoutez les éléments suivants à la configuration du proxy (le mot de passe fonctionne uniquement avec le proxy enfant) :

ProxyRemote * http://IP_ADDRESS:3128

Lors de l'utilisation du chaînage du proxy sur l'appliance virtuelle ESMC, la politique SELinux doit être modifiée. Ouvrez le terminal sur l'appliance virtuelle ESMC et exécutez la commande suivante :

/usr/sbin/setsebool -P httpd_can_network_connect 1