Bonjour,
1/ Je cherche à lister les domaines vus au travers de l'accès internet, sans savoir "qui qui va où".
Mon firewall est sous pfsense sur lequel j'ai essayé squid+lightsquid. Cela fonctionne bien sauf que j'ai "certaines" applications qui n'aiment pas le passage par le proxy dans le mode transparent. Je n'ai pas trop pousser mes tests car pas possible pour le moment.
J'ai essayé ntop mais impossible de lire les domaines, il donne les adresses ip ou des domaines inexploitables.
Existe-t-il une autre possibilité pour lister les sites vus ?
2/ Objectif à termes (évidemment). filtrer les domaines, tout-du-moins en interdire une partie.
Je verrai bien du squid+squidguard. Déjà mis en place sous ipcop et aucun problème, rapidement testé avec pfsense et rien de spécial non plus. Mais dans ce cas quid des mes applications qui embêtent ?
Une autre possibilité que de passer par un proxy pour filtrer ?
Dans les 2 cas les applications tel que skype, msn, (...) doivent continuer à fonctionner.
Merci pour vos réponses.
JeanMarc
domaines internet
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
domaines internet
par jmripert » 30 Juil 2009 10:33
- jmripert
- Enseigne de vaisseau
- Messages: 168
- Inscrit le: 16 Mars 2005 11:42
- Localisation: Haute-Savoie
par jdh » 30 Juil 2009 11:09
Une connexion ip se fait forcément avec des adresses ip, même si on utilise un nom de domaine.
Par exemple "ping www.google.fr" sera équivalent à "ping 209.85.229.99".
De même si on navigue vers www.google.fr, on se connecte en tcp sur le port 80 à l'adresse 209.85.229.99.
MAIS, il y a un MAIS !
Une requête http est bien un paquet tcp/80 vers l'adresse ip cible QUI CONTIENT une commande en clair !
En l'occurence "GET / + http://www.google.fr"
Or ceci sera parfaitement décodé par un proxy.
Conclusion : AMHA, aucun outil de traçage orienté réseau (ntop, tcpdump, ...) n'est capable de montrer un nom de domaine. Mais un proxy http (y compris transparent) pourra voir le nom de domaine.
Il suffit de bricoler un simple awk sur le fichier access.log pour ne voir que le nom de domaine.
Par exemple "ping www.google.fr" sera équivalent à "ping 209.85.229.99".
De même si on navigue vers www.google.fr, on se connecte en tcp sur le port 80 à l'adresse 209.85.229.99.
MAIS, il y a un MAIS !
Une requête http est bien un paquet tcp/80 vers l'adresse ip cible QUI CONTIENT une commande en clair !
En l'occurence "GET / + http://www.google.fr"
Or ceci sera parfaitement décodé par un proxy.
Conclusion : AMHA, aucun outil de traçage orienté réseau (ntop, tcpdump, ...) n'est capable de montrer un nom de domaine. Mais un proxy http (y compris transparent) pourra voir le nom de domaine.
Il suffit de bricoler un simple awk sur le fichier access.log pour ne voir que le nom de domaine.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par jdh » 30 Juil 2009 12:06
Ce qu'il faut bien comprendre, c'est qu'il n'y a pas de moyen normalisé de spécifier un proxy :
- pour IE, c'est Outils > Options Internet > Connexions > Paramètres Réseau,
- pour Firefox, c'est Outils > Options > Avancé > onglet Réseau > Paramètres,
- sous linux en ligne de commande, il faut avoir une variable (export) http_proxy="http://x.x.x.x:p/"
et ainsi de suite ...
Le proxy transparent semble alors une solution "pratique". Il a cependant plusieurs défauts : cela ne fonctionne que pour http, certaines appli sont "sensibles" à ce mode, ...
- pour IE, c'est Outils > Options Internet > Connexions > Paramètres Réseau,
- pour Firefox, c'est Outils > Options > Avancé > onglet Réseau > Paramètres,
- sous linux en ligne de commande, il faut avoir une variable (export) http_proxy="http://x.x.x.x:p/"
et ainsi de suite ...
Le proxy transparent semble alors une solution "pratique". Il a cependant plusieurs défauts : cela ne fonctionne que pour http, certaines appli sont "sensibles" à ce mode, ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Gaston » 30 Juil 2009 16:08
Bonjour,
je ne peux l'affirmer pour un proxy transparent, mais il est possible qu'en renseignant des directives "DIRECT" dans ta conf de squid, tu améliores le nombre d'application qui fonctionnent.
Just my 2 cents
G.
je ne peux l'affirmer pour un proxy transparent, mais il est possible qu'en renseignant des directives "DIRECT" dans ta conf de squid, tu améliores le nombre d'application qui fonctionnent.
Just my 2 cents
G.
-
Gaston - Amiral
- Messages: 1367
- Inscrit le: 06 Oct 2003 00:00
- Localisation: Saint Maur, 94 FR
par jmripert » 30 Juil 2009 17:21
Je note pour quand je testerai... 
Alors de ce que j'ai trouvé pour les lecteurs (et correcteurs si jamais) : dans la configuration de pfsense/proxy server renseigner la case "customs options" avec "prefer_direct on;". (Lien documentation)
Merci tout les deux et retour d'expérience quand cela sera installé (et validé
).
Alors de ce que j'ai trouvé pour les lecteurs (et correcteurs si jamais) : dans la configuration de pfsense/proxy server renseigner la case "customs options" avec "prefer_direct on;". (Lien documentation)
Merci tout les deux et retour d'expérience quand cela sera installé (et validé
).- jmripert
- Enseigne de vaisseau
- Messages: 168
- Inscrit le: 16 Mars 2005 11:42
- Localisation: Haute-Savoie
6 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité