proxyweb + passerelle

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar lilouk » 20 Mai 2003 11:07

salut à tous, <BR> <BR>voila ma config : <BR> <BR>j'utilise mnf comme passerelle ( 192.168.1.6), <BR> <BR>au niveau des clients windows j'ai configurer les cartes reseau comme suit: <BR> <BR>exemple: 192.168.1.10 avec comme passerelle 192.168.1.6 (MNF) <BR> <BR>et au niveau d'intenet explorer j'ai configurer la connexion avec un proxy : <BR> <BR>192.168.1.6 port 3328 <BR> <BR>donc tout fonctionne parfaitement ( le web et le mail), mais mon soucis c que certains clients de mon reseau arrive à surfer (web) sans configurer de proxy <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>la question : est-il possible d'empecher les clients qui n'ont pas configurer de proxy d'aller surfer (web) ? <BR> <BR>merci d'avance <BR> <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar nemesis » 20 Mai 2003 11:10

il est en mode transparent?
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar lilouk » 20 Mai 2003 11:11

non manuel
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar remi » 20 Mai 2003 11:14

est ce que ca ne viendrai pas de la detection parametres proxy automatiques ??
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar FJ » 20 Mai 2003 11:19

effectue un filtrage de paquets
Avatar de l’utilisateur
FJ
Premier-Maître
Premier-Maître
 
Messages: 60
Inscrit le: 30 Avr 2003 00:00

Messagepar lilouk » 20 Mai 2003 11:20

je n'utilise pas la detection des parametres de proxy,
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar tomtom » 20 Mai 2003 11:45

Ben oui, il faut que tu bloques le forward des paquets ! <BR> <BR>Ex : pour bloquer uniquement le web : <BR> <BR>iptables -I forward -p tcp --dport 80 -j DROP <BR> <BR>pour tout bloquer : <BR> <BR>iptables -I forward -j DROP <BR>(aye aye <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR> <BR>Bon, sinon, IPCop n'etant pas fait pour ce genre de manip, je te conseille de mettre ton proxy en transparent : Cela redirigera tous les paquets pour le web vers le proxy, sans aucune configuration des clients ! <BR> <BR>Tom
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar lilouk » 20 Mai 2003 11:49

merci pour les reponses, alors comment je bloque le forward des paquets avec mnf tout en gardant le proxy manuel ? <BR> <BR>merci
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar Jacques- » 20 Mai 2003 11:50

Toute machine qui connait l'adresse du routeur, dont les paquets ne sont pas filtrés en 80 et qui est capable de résoudre l'adresse des sites elle-même (requête DNS autorisées) est capable de se débrouiller toute seule sans passer par le proxy. <BR>La solution est de bloquer le port 80 (et le 443) du Lan vers le Wan et de n'autoriser que le FW à accéder au Wan sur le 80. Cela devrait régler ton problème. <BR> <BR>Jacques <BR> <BR>Autre méthode, bloquer les requêtes DNS mais tu n'empêcheras pas d'utiliser le fichier hosts.
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar lilouk » 20 Mai 2003 11:52

jaques, <BR>en mnf tu fais ça comment ? <BR> <BR> <BR>merci
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar tomtom » 20 Mai 2003 12:00

J'ai donné la reponse 2 postes plus haut pour bloquer tous les transferts vers le port 80 !!! <BR> <BR>Jaques, je ne suis pas tout à fait d'accord, la solution consistant à mettre le proxy en transparent et à faire du redirect est également très efficace ! <BR> <BR>Tom
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar lilouk » 20 Mai 2003 12:08

ça marche en utilisant la methode de jaques, <BR> <BR>j'ai fait les choses suivantes: <BR> <BR>lan wan http reject <BR>lan wan https reject <BR> <BR>fw wan http accept <BR>fw wan https accept <BR> <BR>et ça marche nikel <BR> <BR> <BR>merci à vous tous, <BR> <BR>ce forum est vraiment super genial (reactif, riche)
Avatar de l’utilisateur
lilouk
Aspirant
Aspirant
 
Messages: 106
Inscrit le: 08 Août 2002 00:00
Localisation: paris

Messagepar Jacques- » 20 Mai 2003 12:51

TomTom, entièrement d'accord sur l'efficacité du redirect pour faire du proxy transparent. <BR>Le gros avantage du proxy transparent est qu'il évite de devoir modifier le paramétrage des postes clients. <BR>Son gros inconvénient (en entreprise) est qu'il est perçu comme une tentative d'espionnage à l'insu des utilisateurs, puisqu'ils ignorent qu'ils sont filtrés. C'est pour cela qu'il est souvent inutilisé dans les grosses boites (pressions syndicales, ou envie de ne pas devoir affronter le risque d'une contestation). <BR> <BR>A priori, sa configuration était déjà faite en mode non transparent, il suffisait donc de bloquer le http, pour qu'il n'ait pas besoin de repasser sur toutes ces machines. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron