probleme d'accés aux pages https

[mdany]

Bonjour

j ai installé ipcop 1.4.21 avec la configuration par défaut , mais j arrive pas à accéder aux pages web utilisant https .

Sachant que lorsque je configure le proxy sur mon navigateur web ,tout marche bien , une fois je passe en mode transparent les pages https ne s'affichent pas. sa rame pour 5 min et il m'affiche "impossible de se connecter au serveur"

j ai cherché sur les fichiers log de mon ipcop mais en vain, voici un extrai des log pour les bons voyants

Code: Tout sélectionner


1233585647.919    238 192.168.0.216 TCP_MISS/302 742 GET http://fr.yahoo.com/_ylt=AhZtPs0S25AWPl5H7oq9a0.hVM8F;_ylv=9/SIG=13358a3di/**https%3A//login.yahoo.com/config/mail%3F%26.src=ym%26.intl=fr%26.done=http%3A//fr.mail.yahoo.com - DIRECT/217.146.186.51 text/html
1233585649.163   2055 192.168.0.216 TCP_MISS/200 1509 GET http://eur.a1.yimg.com/java.europe.yahoo.com/eu/any/yadframework103min.js - DIRECT/88.221.222.8 application/x-javascript
1233585649.169   2921 192.168.0.216 TCP_MISS/200 2025 GET http://l.yimg.com/i/i/fr/mu/j/jenni5.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.176   2927 192.168.0.216 TCP_MISS/200 1104 GET http://l.yimg.com/i/i/fr/ne/g/devil1.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.182   2932 192.168.0.216 TCP_MISS/200 1245 GET http://l.yimg.com/i/i/fr/hp/x/micha5.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.184   2965 192.168.0.216 TCP_MISS/200 1001 GET http://l.yimg.com/i/i/fr/ne/gi/neige.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.192   3008 192.168.0.216 TCP_MISS/200 1521 GET http://l.yimg.com/i/i/fr/ne/g/neige8.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.203   2951 192.168.0.216 TCP_MISS/200 1682 GET http://l.yimg.com/i/i/fr/hp/x/polic33.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.205   2925 192.168.0.216 TCP_MISS/200 1189 GET http://l.yimg.com/i/i/fr/sp/steel.jpg - DIRECT/88.221.222.59 image/jpeg



Merci de votre aide

[mdany]

bonjour

allooo il y quelq'un , je veux seulement savoir est ce le https ne fonctionne pas en mode transparent dans ipcop ?

Merci

[ccnet]

Ne donnant aucune information sur votre configuration, ne vous étonnez pas de ne pas avoir de réponse. En gros pour le moment vous dites "j'ai ipcop avec le proxy activé et ça ne marche pas en https".
Il y a quand même ce morceau de log où l'on voit que vous essayez de vous authentifier chez Yahoo ...
Avec vous tenté d'autres sites en https ?
Ce post vous donner quelques infos. Honnêtement je ne ferai pas le travail de recherche à votre place.
http://forums.ixus.fr/viewtopic.php?t=3 ... s&start=15

[mdany]

Merci pour votre réponse

mais j ai toujours le même probléme, j ai essayé avec d'autre site https , mais toujours rien, voila le message de firefox "Connexion interrompue
La connexion avec le serveur a été réinitialisée pendant le chargement de la page.


j ai compris que en mode transparent , le https ne doit pas passer par proxy , comment je peux le vérifier ?

voici le logs de mon firewall

Code: Tout sélectionner

10:00:18  TCP  eth0   NEW not SYN?   192.168.0.216  69.147.112.160  1274  :::::     443(HTTPS)
10:00:18  TCP  eth0   NEW not SYN?   192.168.0.216  69.147.112.160  1284  :::: 443(HTTPS)            


Config de rc.firewall.local

Code: Tout sélectionner

case "$1" in
  start)
        ## add your 'start' rules here
        #Added for BlockOutTraffic start - BEGIN
        /sbin/iptables -N BOT_INPUT
        /sbin/iptables -N BOT_FORWARD
        /sbin/iptables -A CUSTOMINPUT -j BOT_INPUT
        /sbin/iptables -A CUSTOMFORWARD -j BOT_FORWARD
        /usr/local/bin/setfwrules
stop)
        ## add your 'stop' rules here
        #Added for BlockOutTraffic stop - BEGIN
        /sbin/iptables -D CUSTOMINPUT -j BOT_INPUT
        /sbin/iptables -D CUSTOMFORWARD -j BOT_FORWARD
        /sbin/iptables -F BOT_INPUT
        /sbin/iptables -F BOT_FORWARD
        /sbin/iptables -X BOT_INPUT
        /sbin/iptables -X BOT_FORWARD


mon architecture

lan --> ipcop ---> routeur --> internet

Merci si vous avez des solutiosn j en suis preneur

[jdh]

est ce le https ne fonctionne pas en mode transparent (dans ipcop) ?

Cette question revient très fréquemment !

Le mode "transparent" NE PEUT fonctionner QU'AVEC le protocole http !
Il ne fonctionne pas avec https, ftp, pop, ...
J'ai mis ipcop entre parenthèse car c'est valable pour tous les firewalls, bien sur.


Un bon exercice serait de comprendre pourquoi ...

Un deuxième exercice consiste à choisir entre
- contraindre ses utilisateurs à utiliser le proxy (pour http, https, ftp),
- autoriser n'importe qui à faire du https.

Entre ces 2 maux, je ne sais lequel choisir !
Le premier est, semble-t-il, assez naturel mais difficile à mettre en oeuvre pour les portables qui, une fois à l'extérieur de l'entreprise, ne doivent plus avoir de proxy !
Le deuxième est de l'inconscience, évidemment !

[mdany]

merci pour votre réponse, donc ce que j 'obtiens lorsque j'active le mode transparent est tout a fait normal, c'est pas un probleme de configuration.

mais je me demande est ce que on peut pas créer des règles dans le firewall , pour autoriser les sites https à ne passer par le proxy .

Si c'est le cas c 'est quoi cette règle?

[jdh]

J'ai écrit quelques lignes ... et je n'ai pas été compris.


Un bon exercice est de trouver pourquoi on peut faire du http transparent et pourquoi on ne peut pas le faire avec https.

[mdany]

je crois que je suis dans un forum ,je suis sensé décrire mon problème afin de trouver des solutions et no pas des exercices

mais cela n'empêche de chercher dans ton exercice une fois j aurais le tepms mais maintenant si je suis pressé par des délais et je dois mettre ipcop en production dans deux jours

Merci

[ccnet]

mais maintenant si je suis pressé par des délais et je dois mettre ipcop en production dans deux jours

Pas de maquette, pas de tests avant de prendre cette décision et de fixer une date de mise en production ?

[mdany]

mise en production ca veut pas dire que tt sera nickel chrome

mais ne pas avoir l' accées aux webmail, site de la banque ... (https en général ) , ça c'est une autre histoire et un autre exercice.

Pour ne pas diverger de mon porbleme , je vous demande s'il n y a pas une solution pour les https avec le proxy transaperent

Merci encore

[mdany]

mise en production ca veut pas dire que tt sera nickel chrome

mais ne pas avoir l' accées aux webmail, site de la banque ... (https en général ) , ça c'est une autre histoire et un autre exercice.

Pour ne pas diverger de mon porbleme , je vous demande s'il n y a pas une solution pour les https avec le proxy transaperent

Merci encore

[jdh]

Je vois mal ce que je peux répondre de plus !


Soit tu configures TOUS tes postes avec le comme proxy l'ipcop et cela fonctionne pour http, https, ftp.

Soit tu autorises (par une règle BOT par exemple), TOUT le monde à faire du https en direct.

[mdany]

merci amiral jdh