Bonjour,
j'ai configuré un proxy en utilisant squid et squidGuard sur ma machine équipé de debian
ma carte réseau est connecté à l'ADSL,un cable sort de ma machine vers un switch,les autres utilisateurs sont connecté à ce switch donc partage la connexion de ma carte réseau mais ils peuvent igniorer ma machine(serveur proxy) et se connecter directement à internet.
je veux empecher ces utilisateurs de connecter à internet sans passer par ce proxy
avez vous une idée ou des liens que je peux suivre pour réaliser ceci car je me suis perdu dans la recherche sur le google et je ne trouve pas ce que je veux.
Merci d'avance.
proteger mon proxy
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
proteger mon proxy
par leno » 19 Mars 2010 13:25
- leno
- Quartier Maître
- Messages: 16
- Inscrit le: 30 Jan 2010 13:19
par jdh » 19 Mars 2010 13:52
Il est parfaitement CLAIR, que si le proxy dispose de sa propre ligne ADSL (ce qui est logique pour naviguer), il faut qu'il dispose de 2 cartes ethernet :
- l'une reliée au réseau auquel il fournit le service proxy,
- l'autre reliée à la box du FAI.
Il faudra bien sur un script firewall (idéalement shorewall, cf les scripts avec 2 cartes).
La carte notée LAN se verra limitée avec un accès squid (3128/tcp), ping(8/icmp) et apache (80/tcp).
Inversement la carte notée WAN se verra limitée avec sortie http, http,ftp, et ping.
Il n'y aura pas de flux LAN vers WAN puisque les flux sont décomposés en LAN vers proxy et Proxy vers WAN.
- l'une reliée au réseau auquel il fournit le service proxy,
- l'autre reliée à la box du FAI.
Il faudra bien sur un script firewall (idéalement shorewall, cf les scripts avec 2 cartes).
La carte notée LAN se verra limitée avec un accès squid (3128/tcp), ping(8/icmp) et apache (80/tcp).
Inversement la carte notée WAN se verra limitée avec sortie http, http,ftp, et ping.
Il n'y aura pas de flux LAN vers WAN puisque les flux sont décomposés en LAN vers proxy et Proxy vers WAN.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 19 Mars 2010 13:58
Un proxy http ne dispense pas d'un firewall. Vous avez fondamentalement une architecture impropre.
L'architecture de base s'organise comme suit :
Seul le firewall est connecté à internet.
Le firewall comporte au moins 3 interfaces : une connectée à internet, une vers le lan, une vers une dmz.
Les utilisateurs sont connectés, via un switch, à Lan.
Le proxy est dans la dmz.
Le firewall interdit tout trafic sortant de lan vers internet.
Le firewall autorise uniquement le proxy à sortir vers Internet.
Les navigateurs sont configurés pour utiliser le port 3128 sur le proxy pour les url non locales.
Le traffic http est autorisé de Lan vers le proxy.
Pour un grand nombre de raisons cette architecture est susceptible de nombreuses variations qu'il est trop long de détailler ici.
L'architecture de base s'organise comme suit :
Seul le firewall est connecté à internet.
Le firewall comporte au moins 3 interfaces : une connectée à internet, une vers le lan, une vers une dmz.
Les utilisateurs sont connectés, via un switch, à Lan.
Le proxy est dans la dmz.
Le firewall interdit tout trafic sortant de lan vers internet.
Le firewall autorise uniquement le proxy à sortir vers Internet.
Les navigateurs sont configurés pour utiliser le port 3128 sur le proxy pour les url non locales.
Le traffic http est autorisé de Lan vers le proxy.
Pour un grand nombre de raisons cette architecture est susceptible de nombreuses variations qu'il est trop long de détailler ici.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité