proxy tiers

[lexo]

Hello,

J'ai une MDK10.0 passée en MNF avec 4 eth (eth0=wan, eth1=lan1, eth2=dmz, eth3=lan2) et je souhaite mettre en place un proxy transparent où mon serveur proxy est sur mon LAN1 et est une machine dédiée. Je ne trouve pas comment faire pour que TOUT mon traffic 80 (pour commencer) depuis le LAN1 vers le WAN passe, de façon transparente, vers ma machine proxy (192.168.0.100:3128)

Shorewall m'"insulte" quand je créé des règles et que je les applique

merci de votre aide

[Methos_Hi]

Shorewall m'"insulte" quand je créé des règles et que je les applique

C'est à dire ?


Inspire toi de celles crées lors de l'utilisation du proxy intégré.

[antolien]

Avec Netfilter, il suffit de créer une règle en prérouting pour rediriger le port 80 sur ton proxy.

Mais, il faut que le proxy gère le mode transparent , sinon, il y a la possibilité d'utiliser transproxy qui transforme les requettes vers n'importe quel proxy.

[lexo]

Avec Netfilter, il suffit de créer une règle en prérouting pour rediriger le port 80 sur ton proxy.

Oui, c'est ce que je souhaite faire mais je ne vois/sais pas comment le faire avec l'interface de la MNF.
J'ai meme essayé via le module shorewall de webmin de créer cette règle et je n'ai pas réussi.

Mais, il faut que le proxy gère le mode transparent , sinon, il y a la possibilité d'utiliser transproxy qui transforme les requettes vers n'importe quel proxy.

Oui, oui, mon proxy squid gère TRES bien le mode transparent, je l'ai configuré pour ...

[Methos_Hi]

La règle d'interception s'effectue avec REDIRECT en précisant pour le port www ou 80, la machine de redirection avec le port (192.168.0.100:3128).

Tu dois aussi vérifier que les autres trafics nécessaire sont autorisés.
Proxy vers wan pour mettre en cache et proxy vers client pour leur répondre (sauf si ya pas besoin grâce au statefull) mais je suis pas sûr.

[EDIT]
Finalement, c'est un peu moins simple que prévu et surtout tout n'est pas réalisable depuis l'interface graphique:
http://www.shorewall.net/Shorewall_Squid_Usage.html
§ Squid (transparent) Running in the local network
[/EDIT]

[lexo]

La règle d'interception s'effectue avec REDIRECT en précisant pour le port www ou 80, la machine de redirection avec le port (192.168.0.100:3128).

Tu dois aussi vérifier que les autres trafics nécessaire sont autorisés.
Proxy vers wan pour mettre en cache et proxy vers client pour leur répondre (sauf si ya pas besoin grâce au statefull) mais je suis pas sûr.

Oui, sur le papier et en ligne de commande dans un script, je sais faire mais j'y arrive pas avec la MNF et son interface graphique

Finalement, c'est un peu moins simple que prévu et surtout tout n'est pas réalisable depuis l'interface graphique:
http://www.shorewall.net/Shorewall_Squid_Usage.html
§ Squid (transparent) Running in the local network

Oui, j'ai vu ce lien mais je ne peux pas toucher directement les règles de shorewall car la MNF écrase les fichiers shorewall pour y placer ses valeurs

[Jacques-]

Peut-être une astuce pour le faire "à la main" et le conserver dans l'interface ensuite.
Tu fais une sauvegarde de ta config dans le menu outils.
Tu examine le fichier de configuration obtenu et il est peut-être possible de rajouter dans ce fichier les règles shorewall qui sont nécessaires pour ta config.
Tu restaures ce fichier en croisant les doigts, et tu regardes dans la config et dans le status de shorewall si tout est correct.
Dans le pire des cas, tu restaure l'ancienne config.
Tu peux même aussi archiver dans un tar le répertoire de config de shorewall pour être certain de redémarrer avec l'interface.

Jacques

[lexo]

héhé, pas bete ça ...
Mais cela m'ennuie de toucher au code php de MNF Je vais encore chercher un peu !!!

[Jacques-]

Ce n'est pas le code PHP que tu touches, le fichier de config contient les règles utilisées par shorewall.
A mon avis, elles sont proches du langage normal de ce dernier, et donc il est peut être possible d'y insérer tes règles.

Jacques