Pb Proxy transparent

[ftoms]

Bonjour à tous,

Sur la distribution Ipcop 1.4.18 j'ai un probléme quand j'active le proxy en transparent : plus de connexion depuis la partie LAN ....

Le seul Modul installé c'est "BOT" mais lui marche bien et même en le désactivant le problème est le même.

RESEAU VERT(LAN - DOMAINE AD 2003)< -----------> IPCOP<---------------> RESEAU ROUGE (WAN)


Quand le service proxy squid n'est pas activé le Nat marche parfaitement les postes du domaine surf un max ......
Par contre dés l'activation du proxy transparent plus rien. (La redirection d'apres ce que j'ai compris du port 80 vers le 8080 devrait ce faire dés cette case coché?!)

J'ai du oublier un truc ? merci par avance pour votre aide...

[Judicator]

As tu retiré tes parametres de proxy de ton navigateur ?

Si non il faut le faire.

Le proxy transparent tiens son nom du fait qu'il n'y a pas de parametres a mettre pour les clients de ton reseau.

Par securité desactive BOT que tu as du configurer par rapport au proxy non transparent.

[ftoms]

Pas de config proxy pour les postes du domaine : seulement une ip un mask qui va bien et une adresse de passerelle 192.168.1.5 qui est l ip de la patte Lan vert de ipcop ....

"bot" désactive même problème .... j'ai rebouté c'est pareil ...

MERCI DE VOTRE AIDE

[leso]

le client doit bien avoir la passerelle vers l ip de la patte verte, ainsi que si possible le 1er dns ou le deuxieme

[Poupou94]

Par contre dés l'activation du proxy transparent plus rien. (La redirection d'apres ce que j'ai compris du port 80 vers le 8080 devrait ce faire dés cette case coché?!)

J'ai du oublier un truc ? merci par avance pour votre aide...

Bonjour,

essaie de faire la redirection sur le port 80 en mode transparent sur vert pour voir. Perso je fonctionne comme cela.

Pascal.

[ftoms]

Oki je vais essayé pour la redirection du port 80 vers le 8080 en activant tout le meme le mode transparent.


Du coté DNS le dns Primaire et secondaire des postes c'est l'ip du controleur de domaine Windows 2003.


Merci pour les infos.

[Judicator]

Du coté DNS le dns Primaire et secondaire des postes c'est l'ip du controleur de domaine Windows 2003

il est la le soucis tres certainement, il faut que le serveur dns de ton controleur de domaine soit correctement configuré. Par exemple il n'a plus de proxy, il faut lui mettre passerelle et dns dans sa configuration reseau et potentiellement faire connaitre a ton serveur dns ton ipcop comme serveur DNS.

Tu ne peux pas installer une machine qui soit en dehors de ton domaine ? Un petit windows autonome. histoire que tu puisses verifier si c'est ca.

[Poupou94]

Du coté DNS le dns Primaire et secondaire des postes c'est l'ip du controleur de domaine Windows 2003

il est la le soucis tres certainement, il faut que le serveur dns de ton controleur de domaine soit correctement configuré. Par exemple il n'a plus de proxy, il faut lui mettre passerelle et dns dans sa configuration reseau et potentiellement faire connaitre a ton serveur dns ton ipcop comme serveur DNS.

Tu ne peux pas installer une machine qui soit en dehors de ton domaine ? Un petit windows autonome. histoire que tu puisses verifier si c'est ca.

Bonjour,

je vais peut être dire une c... mais pour moi dans le proxy ne passe que les paquets http.

Donc si cela fonctionne sans proxy le dns est bon. Maintenant positionner le firewall comme serveur DNS ce n'est pas une mauvaise chose si il change comme il est fourni par l'ISP via DHCP cela évite certain problèmes.

Pascal.

[Judicator]

Les proxy capturent toutes les communications ................. Selon parametrages et technologies employée.

Si ton proxy est dans ton champ d'acces reseau direct tu as ni besoin de paserelle ni besoin de DNS .......... par exemple pour un reseau en 192.168.0.XXX avec un masque de 255.255.255.0 cela peut etre n'importe quelle ip commencant par 192.168.0.

Par defaut ils necessitent une declaration explicite dans le programme qui dois utiliser internet (firefox, internet explorer, filezilla, beaucoup de programmes P2P, programmes de telephonies).

Le principe de proxy transparent fait en sorte que cette declaration explicite n'existe plus.
Pour cela cela requiers deux choses :
1 - configurer ses postes comme si il n'y avait pas de proxy et donc configurer les postes correctement (a travers d'un DHCP ou en statique des ip de passerelle et dns valide ..... et dans notre cas valide pour internet)
2 - configurer sa passerelle pour qu'elle redirige les ports pris en charge vers le proxy (c'est un peu plus complexe que ca mais c'est ce qui se passe quand on coche proxy transparent).

donc si cela passe au premier coup c'est uniquement grace au proxy. Par contre, si cela ne passe pas au second, c'est obligatoirement une de ces trois choses :
1 - le client n'est pas bien configuré : passerelle (ip de la patte verte d'ipcop), ou dns (dans notre cas un autre serveur dans ce reseau qui n'a peut etre pas access lui meme a internet ou n'a pas de serveur dns donnant access a internet et donc ne peux pas faire la resolution de nom .......... le coup du dns peut etre testé en fesant un ping sur une ip publique qui reponds au ping (ip de google par exemple ou ip de votre site web si vous en avez un). Si cela reponds, c'est que le dns n'est pas bon.
2 - Ya un soucis de configuration avec le proxy de l'ipcop
3 - Le serveur IPCOP est a moité mort

[Poupou94]

Bonjour,

Suite à la remarque de Judicator j'ai regardé les connexions IPTables sur mon IPCop configuré en proxy transparent sur le port 80 pour Green, j'ai aussi un serveur dns interne qui fait uniquement cache pour Internet et serveur primaire dns pour des noms internes.

Pour les demandes http 80 la source est le poste client et la destination l'ip du site, en retour la source est l'adresse interne du firewall et la destination l'ip du poste.
Par contre pour DNS 53 la source est le serveur DNS interne et la destination le DNS externe en retour la source est l'adresse externe du firewall et la destination le serveur DNS interne.

Donc j'en déduis (et c'est peut être la que je me plante) que les requêtes HTTP passe dans le proxy transparent et pas les requêtes DNS uniquement "naté".

Pascal.

[ftoms]

Re,


Bon c'est bien étrange tous ca :

J'ai désactiver BOT.
J'ai décocher la case Proxy donc DESACTIVER le mode transparent .... relancer le serveur squid restartsqid
Je n'ai PAS indiquer le proxy dans le navigateur du client ni dans mon serveur dhcp ...et la ca marche ..... a plus rien y comprendre ...

"Mode écrevisse" lool en verlan ...

- Par contre quand j'ACTIVE le proxy transparent le poste n'affiche pas la page web ; mais je peux la pingé avec son adresse ip et aussi son nom dns ...


- Dans mon Controleur de domaine j'ai indiqué en redirecteur l'ip Green de Ipcop ainsi que l'ip d'un serveur Dns public de wanadoo ...

[gemoussier]

Bonjour,

J'ai désactiver BOT.
J'ai décocher la case Proxy donc DESACTIVER le mode transparent .... relancer le serveur squid restartsqid
Je n'ai PAS indiquer le proxy dans le navigateur du client ni dans mon serveur dhcp ...et la ca marche ..... a plus rien y comprendre ...

Bien sûr que ça marche puisque nous n'utilisez pas le proxy du tout.

Pour ma part, j'ai configuré le proxy transparent de le sorte :
activé sur green, mode transparent sur green. Aucune autre configuration au niveau des navigateurs des postes clients.
Vous pouvez essayer d'utiliser le proxy sans le mode transparent, en indiquant son adresse dans un navigateur. Mais il me semble que le port par défaut du proxy sur IPCop est 800 et non 8080.

- Par contre quand j'ACTIVE le proxy transparent le poste n'affiche pas la page web ; mais je peux la pingé avec son adresse ip et aussi son nom dns ...

Ce qui signifie que le serveur DNS est opérationnel.

Si vous utilisez un serveur dhcp mais que les clients utilisent le DNS sur votre contrôleur de domaine (en zone verte?), attention à ce que celui ci ait toujours la même adresse IP (réservée de préférence).

[Judicator]

pour poupou :

hummmmmmmmmmmm je dirais rapidement dans ce cas que tu devrais avoir a declarer ton dns interne sur ton ipcop ...... mais l'interface rouge n'as pas directement access aux autres zones pour des raisons de securité ............ ce serait donc la mauvaise maniere ........
Il dois y avoir un tuto pour bien configurer ton ipcop avec un serveur dns interne ........ Si j'en trouve un je te le poste.

[Poupou94]

@ judicator,

Merci pour la proposition de tuto, autrement je ne vois pas trop quel problème je peux rencontrer. Le dns interne est configurer pour faire toutes ses demandes (53) via des redirecteurs vers les dns du FAI et aucune trames sur le port 53 n'est acceptées en entrée donc (normalement) mon DNS interne est inconnu de tous le monde sauf des dns du FAI non?

Pascal.