Retour au blog
RUENESZHARPTDEFRJAKOITTRIDVIFAHI

Configuration de Proxy pour Réseau Local : Guide d'Utilisation en Entreprise

CRITIQUE IMPORTANT : - Traduisez SEULEMENT en français, NE mélangez PAS les langues - N'incluez PAS de mots d'autres langues dans la traduction - Utilisez UNIQUEMENT les caractères et l'alphabet français - NE TRADUISEZ JAMAIS les codes promotionnels (par exemple, ARTHELLO) - laissez-les tels quels Texte à traduire : Exemple : La société "Alpha", avec 200 employés, a installé un proxy Squid et a réduit la consommation de la bande passante Internet de 35 % grâce à la mise en cache. Économie : 450 $/mois.

📅13 novembre 2025

🌐 Qu'est-ce qu'un serveur proxy pour réseau local

Un proxy pour réseau local est un serveur intermédiaire hébergé au sein de votre réseau d'entreprise ou domestique, qui assure l'accès de tous les appareils du réseau à Internet via un point de contrôle unique.

Comment cela fonctionne :

  1. L'utilisateur (ordinateur, smartphone, tablette) sur le réseau local envoie une requête
  2. Le serveur proxy (192.168.1.100:3128) reçoit la requête et vérifie les règles d'accès
  3. Le proxy envoie la requête à Internet en son nom
  4. Le serveur sur Internet répond au serveur proxy
  5. Le proxy transmet la réponse à l'utilisateur

💡 Analogie simple

Imaginez un bureau avec un seul secrétaire. Tous les employés passent par le secrétaire pour téléphoner au lieu d'appeler directement. Le secrétaire contrôle qui est autorisé à appeler, enregistre tous les appels dans un journal, et peut bloquer les numéros indésirables. Le serveur proxy est ce « secrétaire » pour l'ensemble de votre réseau local.

❓ Pourquoi un serveur proxy local est nécessaire

🔒

Contrôle d'accès

Gestion centralisée de l'accès aux ressources Internet. Blocage des réseaux sociaux pendant les heures de travail, interdiction des torrents, filtrage par catégories de sites.

📊

Surveillance du trafic

Statistiques détaillées : qui, quand, quels sites ont été visités, combien de trafic a été consommé. Rapports par utilisateur et par département. Détection des fuites de données.

💾

Mise en cache

Sauvegarde des fichiers fréquemment demandés sur le serveur proxy. Économie de la bande passante jusqu'à 40 %, accélération du téléchargement des mises à jour Windows, des bases antivirus.

🛡️

Sécurité

Protection contre les sites malveillants, le phishing, les virus. Analyse des fichiers téléchargés. Blocage des publicités et des traqueurs au niveau du réseau.

💰

Économies

Réduction des coûts Internet grâce à la mise en cache et au contrôle. Un seul canal au lieu de plusieurs. Contrôle des limites pour les utilisateurs.

🌍

Contournement des blocages

Accès aux ressources bloquées via des proxys externes. Configuration d'une chaîne de proxys pour contourner les restrictions régionales.

🎯 Cas d'utilisation d'un proxy local

🏢 Réseau d'entreprise (50-500 employés)

  • Contrôle de la productivité : Blocage des réseaux sociaux, YouTube, sites de jeux pendant les heures de travail
  • Sécurité : Filtrage des sites malveillants, vérification des fichiers téléchargés
  • Rapports : Journaux détaillés pour la sécurité et le département informatique
  • Économies : Mise en cache des mises à jour Windows, Office, antivirus

Exemple : La société "Alpha" avec 200 employés a installé un proxy Squid et a réduit sa consommation de bande passante de 35 % grâce à la mise en cache. Économie : 450 $/mois.

🏫 Établissements d'enseignement

  • Protection des enfants : Blocage de contenu 18+, violence, jeux d'argent
  • Contrôle d'accès : Règles différentes pour les enseignants et les élèves
  • Horaires : Accès à YouTube uniquement pendant les cours d'informatique
  • Rapports pour l'administration : Surveillance de l'activité des élèves

🏠 Réseau domestique

  • Contrôle parental : Restriction de l'accès des enfants à certains sites
  • Blocage des publicités : Suppression des publicités sur tous les appareils du réseau
  • Sécurité IoT : Contrôle du trafic des appareils intelligents (caméras, TV, enceintes)
  • Économie de trafic : Pertinent pour les forfaits mobiles avec limites

🧪 Tests et développement

  • Interception de trafic : Analyse des requêtes API des applications mobiles
  • Remplacement des réponses : Test d'une application avec des données modifiées du serveur
  • Simulation d'Internet lent : Throttling pour les tests 3G
  • Inspection SSL : Analyse du trafic HTTPS pour le débogage

🔧 Types de serveurs proxy locaux

📡 Proxy HTTP/HTTPS

Objectif : Proxyfication du trafic web (navigateurs, applications)

Exemples : Squid, Apache Traffic Server, nginx

Caractéristiques :
✅ Mise en cache de contenu
✅ Filtrage par URL
✅ Modification des en-têtes

🔌 Proxy SOCKS

Objectif : Proxyfication universelle de tout trafic TCP/UDP

Exemples : Dante, Shadowsocks, 3proxy

Caractéristiques :
✅ Fonctionne avec n'importe quel protocole
✅ Support UDP (SOCKS5)
✅ Latence minimale

🪟 Proxy Transparent

Objectif : Proxyfication invisible sans configuration côté client

Exemples : Squid en mode transparent + iptables

Caractéristiques :
✅ Aucune configuration client requise
✅ Interception au niveau du routeur
⚠️ Plus complexe avec HTTPS

🔗 Proxy Inverse (Reverse Proxy)

Objectif : Équilibrage de charge et protection des serveurs web

Exemples : nginx, HAProxy, Apache mod_proxy

Caractéristiques :
✅ Répartition de charge
✅ Terminaison SSL
✅ Protection DDoS

🏗️ Architecture d'un réseau local avec serveur proxy

Schéma typique d'un réseau d'entreprise

┌─────────────────────────────────────────────────┐
│           🌐 INTERNET                           │
└────────────────┬────────────────────────────────┘
                 │
         ┌───────▼────────┐
         │  🛡️ Firewall   │  (Protection périmétrique)
         │  192.168.0.1   │
         └───────┬────────┘
                 │
         ┌───────▼────────┐
         │ 🔄 Routeur      │  (Routage)
         │ 192.168.1.1     │
         └───────┬────────┘
                 │
    ┌────────────┼────────────┐
    │            │            │
┌───▼────┐  ┌───▼────┐  ┌───▼────┐
│ 💻 PC1 │  │ 💻 PC2 │  │ 📱 Téléphone│
│.10     │  │.11     │  │.12      │
└────────┘  └────────┘  └─────────┘
    │            │            │
    └────────────┼────────────┘
                 │ (Toutes les requêtes passent par le proxy)
         ┌───────▼────────┐
         │ 🔧 PROXY       │  (Squid/CCProxy)
         │ 192.168.1.100  │  Port: 3128
         │ + Cache (500GB)│
         │ + Logs         │
         │ + Filtres      │
         └────────────────┘

Fonctionnement du schéma :

  1. L'utilisateur (PC1) configure le proxy dans son navigateur : 192.168.1.100:3128
  2. La requête va au serveur proxy, pas directement sur Internet
  3. Le proxy vérifie les règles d'accès (ce site est-il autorisé ?)
  4. Le proxy demande le contenu au nom de l'utilisateur
  5. Le proxy met en cache la réponse et la transmet à l'utilisateur
  6. Lors d'une nouvelle requête, le proxy fournit les données depuis le cache (instantanément)

⚠️ Points importants de l'architecture

  • Résilience : Si le proxy tombe en panne, tout le réseau perd l'accès à Internet (Solution : proxy de secours)
  • Performance : Le proxy doit gérer tout le trafic du réseau (minimum 4 cœurs CPU, 8 Go de RAM pour 100 utilisateurs)
  • Stockage : Un disque SSD rapide est nécessaire pour le cache (recommandé 500 Go+ pour 100-200 utilisateurs)
  • Bande passante : La carte réseau du proxy doit être au moins aussi rapide que le lien Internet (Gigabit Ethernet minimum)

⚖️ Avantages et inconvénients du proxy local

✅ AVANTAGES

🎯 Contrôle centralisé

Un seul point de gestion pour tout le réseau. Les changements sont appliqués instantanément à tous les utilisateurs sans configuration individuelle.

📊 Analyse détaillée

Toutes les requêtes sont journalisées. Vous voyez : qui, quand, quel site a visité, combien de trafic consommé. Idéal pour l'audit et l'optimisation.

💰 Économie de bande passante

La mise en cache peut réduire la consommation Internet de 30 à 40 %. Particulièrement efficace pour les mises à jour OS, antivirus, sites populaires.

🛡️ Sécurité du réseau

Blocage des sites malveillants, du phishing, des virus au niveau du proxy. Couche de protection supplémentaire en plus de l'antivirus sur les postes.

🔒 Dissimulation de la structure interne

Toutes les requêtes proviennent de l'IP du serveur proxy. Le monde extérieur ne voit pas les adresses IP réelles des postes de travail.

❌ INCONVÉNIENTS

⚠️ Point de défaillance unique

Si le serveur proxy tombe en panne, tout le réseau perd l'accès à Internet. Solution : serveur de secours ou contournement automatique (bypass).

🐌 Réduction potentielle de la vitesse

Si la performance du serveur est insuffisante, des latences peuvent survenir. Il faut bien choisir le matériel en fonction du nombre d'utilisateurs.

🔧 Complexité de la configuration

Nécessite un administrateur système qualifié. La configuration de Squid, des règles de filtrage, de l'inspection SSL n'est pas pour les débutants.

💾 Exigences en ressources

Nécessite un serveur dédié avec un bon matériel et un grand disque pour le cache. Pour 200 utilisateurs : 8-16 Go de RAM, 500 Go+ SSD.

👁️ Problèmes avec HTTPS

L'inspection HTTPS nécessite l'installation d'un certificat racine sur tous les appareils. Certaines applications peuvent ne pas fonctionner.

💡 Conclusion

Le serveur proxy local est un incontournable pour les réseaux d'entreprise de plus de 20 utilisateurs. Les avantages en termes de contrôle, de sécurité et d'économies l'emportent largement sur les difficultés de configuration et de maintenance. Pour un réseau domestique, il est pertinent si vous possédez les compétences techniques et des besoins spécifiques (contrôle parental, blocage de publicités).

Besoin de proxys prêts à l'emploi pour votre entreprise ?

Au lieu de configurer votre propre serveur, utilisez les solutions prêtes à l'emploi de ProxyCove !
Inscrivez-vous avec le code promo ARTHELLO et recevez 1,3 $ de crédit cadeau !

📖 À suivre dans la Partie 2 : Installation et configuration pas à pas de Squid, CCProxy, 3proxy pour Windows et Linux

Installation du serveur proxy Squid

Partie 2 : Configuration pas à pas de Squid pour Ubuntu/Debian/CentOS. Authentification, filtrage des sites, mise en cache, configuration des clients.

Suite de la série | Temps de lecture : 15 minutes

📦 Installation du serveur proxy Squid

🐧 Installation sur Ubuntu/Debian

# Mise à jour du système
sudo apt update && sudo apt upgrade -y

# Installation de Squid
sudo apt install squid -y

# Vérification de la version
squid -v
# Squid Cache: Version 5.2

# Vérification du statut du service
sudo systemctl status squid

# Activation du démarrage automatique
sudo systemctl enable squid

🎩 Installation sur CentOS/RHEL/Rocky Linux

# Installation de Squid
sudo dnf install squid -y

# Ou pour les anciennes versions de CentOS
sudo yum install squid -y

# Démarrage du service
sudo systemctl start squid

# Activation du démarrage automatique
sudo systemctl enable squid

# Ouverture du port dans le pare-feu
sudo firewall-cmd --permanent --add-port=3128/tcp
sudo firewall-cmd --reload

📂 Fichiers et répertoires importants

Fichier/Répertoire Objectif
/etc/squid/squid.conf Fichier de configuration principal
/var/log/squid/access.log Journaux d'accès (toutes les requêtes)
/var/log/squid/cache.log Journaux de fonctionnement du service
/var/spool/squid/ Répertoire du cache
/etc/squid/blocked_sites.txt Liste des sites bloqués (à créer manuellement)

⚙️ Configuration de base de Squid

⚠️ Important avant de commencer

Avant de modifier le fichier de configuration, faites toujours une sauvegarde :
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.backup

Configuration minimale fonctionnelle

# /etc/squid/squid.conf

# Port du serveur proxy
http_port 3128

# Définition du réseau local
acl localnet src 192.168.1.0/24

# Autoriser l'accès depuis le réseau local
http_access allow localnet

# Refuser tout le reste
http_access deny all

# Taille du cache en mémoire (256 Mo)
cache_mem 256 MB

# Répertoire et taille du cache sur disque (10 Go)
cache_dir ufs /var/spool/squid 10000 16 256

# Taille maximale d'un objet mis en cache
maximum_object_size 100 MB

# Nom d'hôte pour les logs
visible_hostname proxy.company.local

# Format des logs (étendu)
logformat combined %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h"
access_log /var/log/squid/access.log combined

# Email de l'administrateur (affiché en cas d'erreur)
cache_mgr admin@company.local

Application de la configuration

# Vérification de la configuration pour les erreurs
sudo squid -k parse

# Si pas d'erreurs, redémarrer Squid
sudo systemctl restart squid

# Vérification du statut
sudo systemctl status squid

# Visualisation des logs en temps réel
sudo tail -f /var/log/squid/access.log

🔐 Authentification des utilisateurs

L'authentification permet de contrôler l'accès par identifiant/mot de passe et de suivre les statistiques par utilisateur.

Création du fichier d'utilisateurs

# Installation de l'utilitaire htpasswd
sudo apt install apache2-utils -y

# Création du fichier de mots de passe
sudo touch /etc/squid/passwords

# Ajout de l'utilisateur ivan (le mot de passe sera demandé)
sudo htpasswd /etc/squid/passwords ivan

# Ajout d'autres utilisateurs
sudo htpasswd /etc/squid/passwords maria
sudo htpasswd /etc/squid/passwords admin

# Définition des droits d'accès corrects
sudo chown proxy:proxy /etc/squid/passwords
sudo chmod 640 /etc/squid/passwords

# Vérification du contenu
sudo cat /etc/squid/passwords
# ivan:$apr1$xyz...
# maria:$apr1$abc...
# admin:$apr1$def...

Configuration de squid.conf pour l'authentification

# Ajout dans /etc/squid/squid.conf

# Configuration de l'authentification Basic
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwords
auth_param basic realm Proxy Server Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on

# Création d'un ACL pour les utilisateurs authentifiés
acl authenticated proxy_auth REQUIRED

# Autoriser l'accès uniquement aux authentifiés
http_access allow authenticated

# Afficher le nom d'utilisateur dans les logs
logformat authenticated %{%Y-%m-%d %H:%M:%S}tl %>a %un "%rm %ru" %>Hs %

Application des changements :

sudo squid -k parse && sudo systemctl restart squid

✅ Vérification de l'authentification

Désormais, le navigateur demandera un identifiant et un mot de passe lors de la tentative d'utilisation du proxy. Format pour la configuration :

http://ivan:password123@192.168.1.100:3128

🚫 Filtrage des sites et du contenu

🔒 Blocage des sites par domaines

Étape 1 : Créer un fichier avec la liste des domaines à bloquer 

# Créer le fichier
sudo nano /etc/squid/blocked_sites.txt

# Ajouter les domaines (un par ligne)
.facebook.com
.vk.com
.instagram.com
.tiktok.com
.youtube.com
.reddit.com
casino
betting
porn
xxx

# Le point au début bloque tous les sous-domaines
# facebook.com, www.facebook.com, m.facebook.com — tous bloqués

Étape 2 : Ajouter les règles dans squid.conf 

# Définir un ACL avec les sites bloqués
acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt"

# Refuser l'accès à ces sites
http_access deny blocked_sites

# Afficher une belle page d'erreur
deny_info ERR_BLOCKED_SITE blocked_sites

⏰ Blocage selon un horaire

Blocage des réseaux sociaux uniquement pendant les heures de bureau (9h00-18h00, lun-ven) : 

# Définir les heures de travail
acl work_hours time MTWHF 09:00-18:00

# Liste des réseaux sociaux
acl social_networks dstdomain .facebook.com .vk.com .instagram.com

# Bloquer les réseaux sociaux uniquement pendant les heures de travail
http_access deny social_networks work_hours

# Autoriser en dehors des heures de travail
http_access allow social_networks

📊 Blocage par type de fichier

# Bloquer les torrents, vidéos, fichiers exe
acl blocked_files urlpath_regex -i \.torrent$ \.exe$ \.msi$ \.mp4$ \.mkv$ \.avi$

http_access deny blocked_files

# Bloquer par type MIME
acl video_content rep_mime_type video/mpeg video/x-msvideo video/mp4
http_reply_access deny video_content

💾 Configuration de la mise en cache

Une configuration correcte du cache peut réduire la consommation de bande passante de 30 à 40 %.

Configuration optimale du cache

# Taille du cache en mémoire vive (512 Mo)
cache_mem 512 MB

# Cache sur disque : 50Go, 32 répertoires de premier niveau, 256 de second
cache_dir ufs /var/spool/squid 50000 32 256

# Taille minimale et maximale d'un objet mis en cache
minimum_object_size 0 KB
maximum_object_size 500 MB

# Taille maximale d'un objet en mémoire
maximum_object_size_in_memory 512 KB

# Durée de conservation du cache
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

# Mise en cache des mises à jour Windows (économie jusqu'à 40% de trafic !)
refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims

# Mise en cache plus longue des fichiers populaires
refresh_pattern -i \.(jpg|jpeg|png|gif|bmp|webp)$ 1440 90% 10080
refresh_pattern -i \.(pdf|doc|docx|xls|xlsx)$ 1440 80% 10080
refresh_pattern -i \.(js|css)$ 720 50% 4320

Initialisation du cache après configuration :

sudo squid -z
sudo systemctl restart squid

📊 Statistiques du cache

# Visualiser les statistiques du cache
squidclient -p 3128 mgr:info | grep "Hit Ratio"

# Vider tout le cache
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid

💻 Configuration des clients pour utiliser le proxy

🪟 Windows

  1. Ouvrir Paramètres → Réseau et Internet → Proxy
  2. Activer "Utiliser un serveur proxy"
  3. Adresse : 192.168.1.100
  4. Port : 3128
  5. Cliquer sur "Enregistrer"

🍎 macOS

  1. Ouvrir Préférences Système → Réseau
  2. Sélectionner la connexion active (Wi-Fi/Ethernet)
  3. Cliquer sur "Avancé" → onglet "Proxys"
  4. Cocher "Proxy Web (HTTP)"
  5. Serveur : 192.168.1.100:3128
  6. Cliquer sur "OK" → "Appliquer"

🌐 Google Chrome / Edge

Chrome utilise les paramètres système, mais peut être lancé avec un paramètre : 

# Windows
"C:\Program Files\Google\Chrome\Application\chrome.exe" --proxy-server="192.168.1.100:3128"

# Linux
google-chrome --proxy-server="192.168.1.100:3128"

# Avec authentification
--proxy-server="http://user:password@192.168.1.100:3128"

🦊 Firefox

  1. Ouvrir Paramètres → Général → Paramètres réseau
  2. Sélectionner "Configuration manuelle du proxy"
  3. Proxy HTTP : 192.168.1.100 Port 3128
  4. ✅ Cocher "Utiliser ce proxy pour tous les protocoles"
  5. Cliquer sur "OK"

🐧 Proxy système Linux

# Ajouter dans ~/.bashrc ou /etc/environment
export http_proxy="http://192.168.1.100:3128"
export https_proxy="http://192.168.1.100:3128"
export ftp_proxy="http://192.168.1.100:3128"

# Avec authentification
export http_proxy="http://user:password@192.168.1.100:3128"

# Appliquer les changements
source ~/.bashrc

# Vérification
curl -I http://google.com

Vous ne voulez pas vous embêter avec la configuration ?

Utilisez les proxys prêts à l'emploi ProxyCove — sans installation de serveur, sans configuration, sans tracas !
Inscription avec le code promo ARTHELLO = bonus de 1,3 $

📖 Suite dans la Partie 3 : CCProxy et 3proxy pour Windows, inspection SSL, surveillance et dépannage

Proxy pour Windows et surveillance

Partie 3 : CCProxy et 3proxy pour Windows Server. Inspection SSL, surveillance du trafic, résolution des problèmes.

Partie finale | Temps de lecture : 12 minutes

🪟 CCProxy pour Windows Server

CCProxy est une solution commerciale populaire pour Windows avec une interface graphique. Idéale pour les administrateurs qui ne souhaitent pas se plonger dans la ligne de commande.

📥 Installation de CCProxy

  1. Télécharger depuis le site officiel : www.youngzsoft.net
  2. Lancer l'installeur ccproxysetup.exe
  3. Choisir le répertoire d'installation (par défaut C:\Program Files\CCProxy)
  4. Après l'installation, lancer CCProxy en tant qu'administrateur
  5. Au premier lancement, sélectionner la carte réseau pour le proxy

💰 Coûts des licences (2025) :

  • Gratuit : Jusqu'à 3 utilisateurs (pour les tests)
  • Standard : 199 $ (jusqu'à 100 utilisateurs)
  • Entreprise : 399 $ (jusqu'à 500 utilisateurs)
  • Illimité : 799 $ (sans limite)

⚙️ Configuration de base de CCProxy

1. Configuration des ports

  • Menu Options → Advanced → Network
  • Port HTTP : 808 (ou le standard 3128)
  • Port SOCKS : 1080
  • ✅ Activer les protocoles requis (HTTP, HTTPS, SOCKS, FTP)

2. Ajout des utilisateurs

  • Menu Account → New
  • Indiquer l'identifiant : ivan
  • Mot de passe : SecurePass123
  • IP autorisées (optionnel) : 192.168.1.50
  • Limite de vitesse : 10 Mbps
  • Quota de trafic : 50 GB/mois

3. Filtrage des sites

  • Menu Options → Filter → Web Filter
  • Onglet Banned Websites
  • Ajouter les domaines un par un ou importer une liste
  • Exemples : *.facebook.com, *.gambling.*
  • ✅ Enable Web Filter

4. Mise en cache

  • Menu Options → Advanced → Cache
  • ✅ Enable Cache
  • Cache Directory: D:\CCProxyCache
  • Max Cache Size: 50 GB
  • Cache Time: 7 days

✅ Avantages de CCProxy

  • ✅ Interface graphique — configuration en 5 minutes
  • ✅ Statistiques intégrées en temps réel
  • ✅ Gestion des utilisateurs avec quotas et limites
  • ✅ Filtrage des sites par catégories
  • ✅ Support HTTP, HTTPS, SOCKS4/5, FTP, SMTP
  • ❌ Licence payante (à partir de 199 $)
  • ❌ Uniquement pour Windows

🔧 3proxy — L'alternative gratuite

3proxy est un puissant proxy open-source. Fonctionne sous Windows et Linux.

📥 Installation de 3proxy sur Windows

  1. Télécharger : github.com/3proxy/3proxy/releases
  2. Décompresser dans C:\3proxy
  3. Créer un fichier de configuration 3proxy.cfg
  4. Installer comme service Windows

Exemple de configuration 3proxy.cfg :

# Mode démon
daemon

# Fichiers de log
log C:\3proxy\logs\3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"

# Utilisateurs (username:password)
users ivan:CL:SecurePass123
users maria:CL:Pass456

# Autoriser le réseau local
allow * 192.168.1.0/24

# Proxy HTTP sur le port 3128
auth strong
proxy -p3128 -a

# Proxy SOCKS5 sur le port 1080
socks -p1080 -a

Installation en tant que service Windows :

cd C:\3proxy
3proxy.exe --install
net start 3proxy

🔐 Paramètres de sécurité supplémentaires

# Limitation de vitesse (1 Mo/s par utilisateur)
bandlimin 1024000

# Temps d'attente des connexions
timeouts 10 30 30 60 180 1800 15 60

# Connexions maximales par IP
maxconn 50

# Blocage de domaines
deny * * *.facebook.com *
deny * * *.gambling.* *

# Autoriser uniquement certains ports
allow * * * 80,443,21,22

🔒 Inspection SSL du trafic HTTPS

⚠️ Qu'est-ce que l'inspection SSL

Par défaut, le proxy ne voit que le domaine de la requête HTTPS, mais pas son contenu. L'inspection SSL permet au proxy de déchiffrer le trafic HTTPS pour le filtrage et la surveillance. Pour cela, le proxy agit comme intermédiaire avec son propre certificat SSL.

Configuration de l'inspection SSL dans Squid

Étape 1 : Génération du certificat CA

# Créer le répertoire pour les certificats
sudo mkdir -p /etc/squid/ssl_cert
cd /etc/squid/ssl_cert

# Générer la clé privée
sudo openssl genrsa -out squid-ca-key.pem 4096

# Créer le certificat racine
sudo openssl req -new -x509 -days 3650 -key squid-ca-key.pem \
  -out squid-ca-cert.pem -utf8 \
  -subj "/CN=Squid Proxy CA/O=Company Name/C=RU"

# Combiner en un seul fichier
sudo cat squid-ca-cert.pem squid-ca-key.pem > squid-ca.pem

# Définir les droits
sudo chown -R proxy:proxy /etc/squid/ssl_cert
sudo chmod 400 squid-ca.pem

Étape 2 : Configuration de squid.conf

# Port HTTPS avec SSL Bump
https_port 3129 intercept ssl-bump \
  cert=/etc/squid/ssl_cert/squid-ca.pem \
  generate-host-certificates=on \
  dynamic_cert_mem_cache_size=16MB

# Règles SSL Bump
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

# Répertoire pour les certificats dynamiques
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 16MB

# Initialisation de la base de certificats
# sudo /usr/lib/squid/security_file_certgen -c -s /var/lib/ssl_db
# sudo chown -R proxy:proxy /var/lib/ssl_db

Étape 3 : Installation du certificat sur les clients

Copiez squid-ca-cert.pem sur tous les ordinateurs et installez-le dans les autorités de certification racines de confiance :

  • Windows : Double-clic → Installer le certificat → Autorités de certification racines de confiance
  • macOS : Double-clic → Trousseau d'accès → Faire confiance toujours
  • Linux : sudo cp squid-ca-cert.pem /usr/local/share/ca-certificates/ && sudo update-ca-certificates

⚠️ Aspects juridiques

Important : L'inspection SSL peut violer la confidentialité. Avant le déploiement :
✅ Informez les employés de la surveillance (exigence du Code du travail russe)
✅ Inscrivez les règles dans les actes locaux de l'entreprise
✅ Ne déchiffrez pas les sites bancaires ou médicaux
✅ Conservez les journaux dans un endroit sécurisé

📊 Surveillance et analyse des journaux

Outils de surveillance populaires

SARG (Squid Analysis Report Generator)

Génère des rapports HTML à partir des journaux Squid : meilleurs sites, utilisateurs, utilisation du trafic. 

sudo apt install sarg -y
sudo sarg
# Rapport dans /var/www/html/squid-reports/

Lightsquid

Script Perl léger pour visualiser les statistiques Squid en temps réel. 

sudo apt install lightsquid -y
# Interface web :
# http://192.168.1.100/lightsquid

Commandes utiles pour l'analyse des journaux

# Top 10 des sites les plus visités
awk '{print $7}' /var/log/squid/access.log | sort | uniq -c | sort -rn | head -10

# Top 10 des utilisateurs par trafic
awk '{user[$8] += $5} END {for (u in user) print u, user[u]}' \
  /var/log/squid/access.log | sort -k2 -rn | head -10

# Nombre de requêtes par heure
awk '{print $1}' /var/log/squid/access.log | cut -d: -f2 | sort | uniq -c

# Recherche des requêtes d'un utilisateur spécifique
grep "ivan" /var/log/squid/access.log | tail -50

# Statistiques par cache (HIT/MISS)
awk '{print $4}' /var/log/squid/access.log | sort | uniq -c

# Surveillance des refus en temps réel
tail -f /var/log/squid/access.log | grep --color "TCP_DENIED"

🔧 Résolution des problèmes courants

❌ Problème : Le proxy ne démarre pas

Solution :

# Vérifier la syntaxe de la configuration
sudo squid -k parse

# Consulter les journaux d'erreurs
sudo tail -f /var/log/squid/cache.log

# Vérifier les droits sur les répertoires
sudo chown -R proxy:proxy /var/log/squid /var/spool/squid

❌ Problème : Les clients ne peuvent pas se connecter

Solution :

  • Vérifier le pare-feu : sudo ufw allow 3128/tcp
  • Vérifier que Squid écoute sur la bonne interface : netstat -tlnp | grep 3128
  • Vérifier l'ACL dans squid.conf (sous-réseau correct)

❌ Problème : Lenteur / forte charge

Solution :

  • Augmenter cache_mem (minimum 512 Mo)
  • Déplacer le cache sur un disque SSD rapide
  • Limiter les connexions maximales : http_access deny all maxconn 100
  • Augmenter le nombre de threads : workers 4

❌ Problème : Certains sites ne s'ouvrent pas

Solution :

  • Vérifier les logs : tail -f /var/log/squid/access.log | grep DENIED
  • Désactiver l'inspection SSL pour les sites problématiques (banques, santé)
  • Ajouter des exceptions à l'ACL pour une liste blanche

❌ Problème : Le cache ne fonctionne pas

Solution :

# Vérifier les statistiques du cache
squidclient -p 3128 mgr:info | grep "Request Hit Ratios"

# Si 0% est affiché - vérifier les droits sur le répertoire du cache
ls -la /var/spool/squid/

# Recréer la structure du cache
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid

🎯 Conclusions et recommandations

✅ Quand implémenter un proxy local

  • Bureau de 20+ employés — le contrôle d'accès et la surveillance sont rentables
  • Canal Internet limité — la mise en cache économise jusqu'à 40 % du trafic
  • Exigences de sécurité — filtrage des sites malveillants, protection contre les fuites de données
  • Nécessité de rapports — journaux pour la sécurité, les RH, la direction
  • Établissements d'enseignement — protection des enfants, contrôle d'accès des élèves

❌ Quand un proxy local est excessif

  • Petit bureau (jusqu'à 10 personnes) — coûts d'administration trop élevés
  • Absence d'informaticien — personne pour maintenir et surveiller le système
  • Internet illimité à haut débit — la mise en cache n'apporte pas de bénéfice significatif
  • Manipulation de données confidentielles — l'inspection SSL peut violer la conformité

🔧 Recommandations pour le choix de la solution

Choisissez Squid (Linux), si :

  • Vous avez un administrateur Linux en interne
  • Vous recherchez des performances maximales
  • Le budget est limité (solution gratuite)
  • Vous avez besoin d'une configuration flexible via des fichiers

Choisissez CCProxy (Windows), si :

  • Votre infrastructure est entièrement basée sur Windows Server
  • Vous avez besoin d'une interface graphique sans ligne de commande
  • Vous avez un budget pour les licences (199 $ - 799 $)
  • Vous souhaitez un déploiement rapide (en 5-10 minutes)

Choisissez 3proxy, si :

  • Vous voulez une solution légère sans fioritures
  • Vous travaillez sous Windows sans budget
  • Vous n'avez besoin que d'un filtrage de base
  • La mise en cache et l'analyse avancée ne sont pas nécessaires

💡 Conseil principal

Le serveur proxy local est une solution d'infrastructure qui nécessite une administration continue. Si vous n'avez pas d'informaticien dédié ou si vos tâches ne nécessitent pas ce niveau de contrôle, envisagez les services proxy cloud comme alternative. Ils vous éviteront la maintenance matérielle et les configurations complexes.

Vous ne voulez pas vous occuper de la configuration ?

Utilisez les proxys prêts à l'emploi ProxyCove — sans serveurs à installer, sans configurations, sans maux de tête !
Inscription avec le code promo ARTHELLO = bonus de 1,3 $

📚 Ressources utiles

📖 Documentation Squid :
wiki.squid-cache.org

🔧 Site officiel CCProxy :
www.youngzsoft.net

⚙️ 3proxy GitHub :
github.com/3proxy/3proxy

✅ Article terminé ! Vous savez tout sur les serveurs proxy pour réseau local

De la théorie et l'architecture à la configuration pratique de Squid, CCProxy et 3proxy.
Surveillance, inspection SSL, résolution des problèmes — tout est couvert ici.