par jdh » 21 Nov 2006 13:55
Un schéma aurait le mérite de la clarté !
Un serveur (Mandriva) est connecté à Internet et à un réseau local.
Il est clair qu'il faut disposer de Shorewall comme firewall parce que ce serveur est connecté à Internet !
Squid peut y être installé sans difficulté.
A partir de Shorewall il faut définir ce que peut faire "fw", "net" et "loc" (appellations usuelles avec Shorewall). "fw" c'est le firewall, "net" c'est internet (Red pour les ipcopiens), et "loc" c'est le réseau interne (Green).
fw -> net : ping, http, https, ftp (pour mise à jour urpmi et pour Squid)
fw -> lan : ping
lan -> fw : ping, dns, (dhcp), squid=3128, ssh
lan -> net : (rien en principe) pop3, smtp
net -> fw : ping et rien d'autres
net -> lan : rien
(ping c'est icmp + 8 )
La question est : faut-il faire du proxy transparent ou autoriser seulement l'accès par Squid (3128) ?
Pour faire du proxy transparent, il suffit paramétrer Squid et écrire une règle REDIRECT ... que tu trouveras en cherchant (pas très longtemps) sur Google.
AMHA : si on ne décrit pas simplement ce qui doit être autorisé (comme je le fait), on ne peut pas arriver à paramétrer le moindre firewall.
