[proxy] Configuration de Polipo

[Tatsuya]

Bonjour, j'ai tenté d'installer Polipo en suivant les indications du wiki, mais je n'ai pas eu la chance de le voir tourner correctement...

Voilà à peu près ce que j'ai fait:
1/ D'abord un

Code : Tout sélectionner

packer polipo iptables

, et l'install s'est bien déroulée.
2/ Ensuite, j'ai tapé dans le terminal:

Code : Tout sélectionner

# groupadd -r polipo
# useradd -d /var/cache/polipo -g polipo -r -s /bin/false polipo

pour établir les droits de polipo.

3/ Ensuite, j'ai fait une petite edition de mon /etc/rc.d/polipo :

Code : Tout sélectionner

/usr/bin/$DAEMON $ARGS >/dev/null 2>&1
changé en --->
su -c "/usr/bin/$DAEMON $ARGS" -s /bin/sh polipo >/dev/null 2>&1

Qui est censé permettre de lancer polipo en tant qu'utilisateur, et non root (j'avoue ne pas savoir si cela marche vraiment...)

4/ J'ai ensuite changé les droits comme indiqué:

Code : Tout sélectionner

It is then also necessary to change ownership and/or permissions of several files and directories written by polipo:
the log file /var/log/polipo. Although a better choice is to create a directory /var/log/polipo owned by the designated user and set polipo's log file to /var/log/polipo/polipo.log via the logFile variable in the config file.
the pid file at /var/run/polipo/polipo.pid and the directory that hosts it
the cache directory /var/cache/polipo and all of the contained files

Par contre, je ne sais pas trop comment faire en ligne de commande, j'ai donc utilisé Thunar et j'ai changé les permissions "root" en "users" et bien sûr en rw... pas sûr que ça ait le même effet qu'une bonne commande bash cependant, donc peut-être que j'ai mal géré à ce niveau là...

5/ J'ai démarré le daemon et je l'ai mis dans le rc.conf

6/ J'ai édité le fichier de config... j'ai pas décommenté grand chose, mais quoiqu'il en soit ça marchait pas même sans toucher au fichier de config.

7/ J'ai créé puis édité mon "iptables.rules" avec ça:

Code : Tout sélectionner

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -p tcp --dport 80 -m owner --uid-owner polipo -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8123
COMMIT

8/ J'ai démarré le daemon iptables

9/ J'ai lancé firefox, et là erreur de connexion. J'ai donc changé les options de proxy (normalement pas besoin puisqu'iptables s'en occupe, mais bon, j'essaie quand même) et la il me dit que le proxy a empêché la connexion.

J'ai essayé de rajouter root et mon nom d'utilisateur dans /etc/group, ça n'a rien changé évidemment.

Donc en gros, je penses que c'est un problème de droits pour polipo qui doit un peu être embrouillé avec tout ce que j'ai (certainement mal) configuré. Déjà au lancement du daemon le retour sur tty me disait qu'il y avait un probleme de droits avec le log, que j'ai donc mis en "all rw" en attendant de trouver mieux... Si je connaissais la bonne commande pour donner les droits rw au niveau utilisateur, peut-être que ça se passerait mieux.

Si quelqu'un est un peu initié avec polipo, la gestion des droits etc... je serais pas contre un petit tuto de configuration, parce qu'après quelques heures de recherches (internet et internes, en fouillant les fichiers de config, toussa...) je sèche !!

[Tatsuya]

Et, une question qui pourrait éviter des prises de tête: est-ce qu'il ne serait pas mieux d'utiliser openvpn par exemple, à la place de polipo? Quelle serait la difference?

[Tatsuya]

Comment se fait-il que je sois le seul à poser des questions dont personne n'a la réponse?

[FoolEcho]

Peut-être que tu utilises des logiciels que personne n'utilise...
Tu as été fureter du côté du forum anglophone ?

Le problème vient peut-être de ton étape 4, vu que ça devrait marcher même sans les trucs de proxy.
En ligne de commande: chmod/chgrp. 'rw' ne convient pas pour un répertoire: il faut le droit r_x pour pouvoir y accèder. Je pense à /var/cache/polip, au moins... et à l'erreur du log si tu as fait le répertoire /var/log/polipo avec les mauvais droits.
Voir si tu as le log justement (à mon avis non, du coup).

Voyons l'étendue des 'dégâts':

Code : Tout sélectionner

ls -lR /var/**/polipo

[Tatsuya]

J'ai été voir sur le wiki anglophone en fait

Je m'aprète à installer un nouvelle fois Arch en reprenant tout à zero, donc je test des logiciels pour pas installer n'importe quoi à ce moment là.

Effectivement, je me doutes aussi que j'ai foiré mon passage de droits. Voilà la réponse de ta commande:

Code : Tout sélectionner

-rw-rw-rw- 1 root users  500 15 févr. 12:48 /var/log/polipo

/var/cache/polipo:
total 0

/var/run/polipo:
total 0

J'imagines que les zeros indiquent qu'il n'a rien trouvé? Donc ce n'est pas configuré correctement...

[FoolEcho]

Je m'aprète à installer un nouvelle fois Arch en reprenant tout à zero

Quel drôle d'idée...

Ouais, tu n'as pas mis les bons droits, donc polipo ne peut écrire nulle part.

Rétablissons ça:

Code : Tout sélectionner

chmod 755 /var/**/polipo

Rétablissons aussi le propriétaire légitime (tu peux laisser root/users, mais bon...):

Code : Tout sélectionner

chown -R polipo /var/log/polipo
chown -R polipo /var/cache/polipo
chown -R polipo /var/run/polipo

(j'avais oublié de citer 'chown' )
Procède de même avec "chgrp" si tu veux remplacer le groupe secondaire.

J'espère n'avoir rien oublié.

[Tatsuya]

Bon tout d'abord merci de ton aide! (faudra m'expliquer ce qu'on a fait là, j'aimerais mieux comprendre le fonctionnement de chmod et chown... les wikis sur le sujet m'ont toujours déroutés^^)

Alors ça marche un peu mieux. Disons qu'on a passé une étape: lorsque je lance firefox (autodetection du proxy et cache desactivé) il ne me redirige pas vers les pages web mais vers le GUI web de polipo. Alors j'ai essayé d'accéder a quelques fonctions, les prefs par exemple marchent, mais j'ai rien trouvé qui pourrait me permettre d'avoir les pages web. J'ai essayé en configurant manuellement le proxy dans firefox (localhost:8123), mais rien ne change (je crois même que c'est moins fonctionnel).

Chose intéressante, j'ai eu droit à ces deux messages d'erreur:

Code : Tout sélectionner

403 Action not allowed

The following error occurred while trying to access /polipo/servers?:

403 Action not allowed
Generated Wed, 16 Feb 2011 21:03:29 CET by Polipo on archbang:8123. 

ET

Code : Tout sélectionner

403 Action not allowed

The following error occurred while trying to access /polipo/index?:

403 Action not allowed
Generated Wed, 16 Feb 2011 21:03:29 CET by Polipo on archbang:8123. 

En essayant d'atteindre la "liste des serveurs" et '"l'index du cache".

Je me dis donc que mon incapacité à acceder au web avec polipo est liée à ces deux erreurs... je me trompe?

EDIT: ah oui, y'a ça aussi qui est lié dans le fichier de config. Je sais pas si ça changerait quelque chose de décommenter, je préférais en parler ici d'abord:

Code : Tout sélectionner

# Uncomment this if you want to enable the pages under /polipo/index?
# and /polipo/servers?.  This is a serious privacy leak if your proxy
# is shared.

# disableIndexing = false
# disableServersList = false

[FoolEcho]

faudra m'expliquer ce qu'on a fait là, j'aimerais mieux comprendre le fonctionnement de chmod et chown... les wikis sur le sujet m'ont toujours déroutés^^

Avec le chmod on définit les actions pour les différents groupes sur un ensemble de fichiers: le premier chiffre concerne le propriétaire, le second le groupe et le dernier tous les autres. Le chiffre définit la triplette 'rwx' (avec r=4, w=2, x=1). 'x' est impératif pour avoir accès au contenu d'un répertoire (ou pour exécuter un programme), c'est ce qui manquait quand tu as changé les droits.
chown permet de modifier le propriétaire. chgrp permet le changement de groupe.
Plus de détails et d'options avec 'man'.


L'erreur 403 devrait indiquer que tu n'as pas l'autorisation d'accèder à tel ou tel contenu. J'ai pas regardé (et un peu survolé la configuration que tu présentais pour tout te dire ), donc peut-être les droits et les groupes indiqués précédemment sont insuffisants (j'ai pas fait gaffe s'il s'agissait du groupe et/ou de l'utilisateur 'polipo' )... ou peut-être y a t-il quelque chose à modifier dans tes fichiers de configuration.

Jette un oeil dans le log de polipo cette fois, en espérant qu'il soit loquace, ça pourrait t'éclairer.

[Tatsuya]

Merci, c'est très bien expliqué tout ça! Je garde tes paroles dans un fichier pour référence

Bon, j'ai obtenu ça dans le log:

Code : Tout sélectionner

Couldn't create pid file /var/run/polipo/polipo.pid: File exists
Couldn't create pid file /var/run/polipo/polipo.pid: Permission denied
Couldn't parse network 127.0.0.1, 134.157.168.0.
Couldn't parse network 127.0.0.1, 134.157.168.0.
Couldn't parse network 127.0.0.1, 134.157.168.0.
Couldn't parse network 127.0.0.1, 134.157.168.0.
Couldn't parse network 127.0.0.1, 134.157.168.0.
Disabling disk cache: No such file or directory
Couldn't create pid file /var/run/polipo/polipo.pid: Permission denied
Disabling disk cache: No such file or directory
Established listening socket on port 8123.
Couldn't send DNS query: Connection refused
Falling back on gethostbyname.
Host forums.archlinux.fr lookup failed: Host not found (131072).
Host forums.archlinux.fr lookup failed: Host not found (131072).
Host forums.archlinux.fr lookup failed: Host not found (131072).
Host forums.archlinux.fr lookup failed: Host not found (131072).
Host forums.archlinux.fr lookup failed: Host not found (131072).
Host forums.archlinux.fr lookup failed: Host not found (131072).

Je penses que c'est clair: manque de droits et il essaie de me désactiver le cache disque ce qui semble pas une bonne chose puisque c'est justement l'un des interêts de ce truc: avoir un même cache pour tout les navigateurs^^

Donc problème dans la config ET problème toujours sur les droits.

Maintenant que j'en sais un peu plus, je vais m'y pencher. Je repasserai par ici pour dire où j'en suis. Si quelqu'un a le temps de répondre il est le bienvenue, quoiqu'il en soit je me penche sur la question (demain, ce soir trop fatigué!).

[FoolEcho]

J'ai lu un peu mieux la doc. Déjà, il faut probablement changer le groupe secondaire aussi:

Code : Tout sélectionner

chgrp -R  polipo /var/**/polipo      #ou chown -R :polipo /var/**/polipo

(... oui, parce qu'avec chown ou peut faire comme chgrp )

[Tatsuya]

Bon, j'ai rétabli les droits pour polipo et tout ça, et le log est tout propre maintenant

Cependant, lorsque je lance le navigateur (firefox en l'occurence), n'importe quelle page m'amène sur le interface web du proxy, avec une adresse du genre: http: // forums.archlinux.fr / polipo/documentation. (j'ai mis des espace pour eviter le balisage auto)

J'ai changé les préfs de proxy dans ff et alors plusieurs cas de figure se présentent:
1/ Config manuelle (localhost:8123 ; id pour tous protocoles) --> erreur 404
2/ Detection auto/ou/config systeme --> interface web

J'ai l'impression qu'il n'arrive pas à sortir du mode local (alors même qu'il me dit que le proxy est online). Je vais demander sur le forum de polipo s'il existe. Mais encore, tout conseil est bienvenue