Bonjour tout le monde !
Petit appel à l'aide après avori consulté plein de docs (merci Google !), plein d'amis (merci IRC), et pas trouvé ni d'explication plosible, ni de solution à mon soucis ...
Je m'explique : Je souhaite mettre en place une solution de filtrage d'url destiné à une entreprise (proxy Squid), mais de manière transparente au niveau du réseau et des utilisateurs ...
Cette solution permets, dans son principe, de gagner en confort sur deux points : Pas de configuration des logiciels clients, pas moyen d'outrepasser le proxy puisque la route par défaut passe par lui ...
La solution est (théoriquement ...) très simple : une machine configurée en tant que bridge, un Squid+SquidGuard (par exemple) et des rêgles de routage (via iptables, par exemple) ...
J'ai déjà mis en place cette solution, et elle focntionne vraiment très bien (d'un part pour le proxy WEB, et d'autre part pour stater les transferts réseau, par exemple ...) avec un kernel 2.4 sur une ditribution Mandrake Linux 9.2.
Se pose depusi deux semaine le soucis de transposer la solution vers une version Mandriva 2005 LE (kernel 2.6), ayant été installé de manière identique que la machine précédente.
Le soucis est que le préroutage des paquets à destination de l'hôte WEB ne fonctionne pas sur la nouvelle machine (2005 LE) alors que les rêgles iptables sont exactement les mêmes que sur l'ancienne (9.2) ...
Je n'ai pas encore réinstallé la machine pour le moment, mais je souhaiterais savoir si l'un d'entre vous a déjà eu des retours d'expérience négative sur ce type de configuration logicielle ?
Je suis aussi preneur concernant toute idée qui pourrait solutionner mon préroutage local (niveau 3) afin d'outrepasser le routage du bridge (niveau 2) ...
Si certains d'entre vous ont des idées concernant une solution qui pourrait fonctionner de manière similaire (proxy transparent ...), je suis aussi preneur ...
Merci d'avance et bonne fin de journée.
Proxy transparent ... trop transparent !
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
Proxy transparent ... trop transparent !
par LorD_JLP » 08 Août 2005 15:29
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
-
LorD_JLP - Enseigne de vaisseau
- Messages: 157
- Inscrit le: 01 Août 2003 00:00
- Localisation: Eckbolsheim - France
par LorD_JLP » 13 Août 2005 13:50
Salut Beary, et bonjour à tous !
Voici donc les rêgles iptables que j'ai mises en place, tel que décris sur le howto suivant : http://www.tldp.org/HOWTO/TransparentProxy-7.html
# Rêgles spécifiques à la redirection vers la box des flux HTTP
# eth1 est l'interface "privée"
# l'IP 192.168.1.5 est l'IP affectée au bridge et à son interface br0
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -A INPUT -i eth1 -p tcp -d 192.168.1.5 -s 192.168.1.0 --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
# Rêgles génériques
# eth1 est l'interface "privée"
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Ces deux rêgles se sont très bien appliquées précédement, mais à présent pas moyen de les refaire fonctionner ... Mais quelle peut bien être l'erreur commise ???
Merci d'avance !
Voici donc les rêgles iptables que j'ai mises en place, tel que décris sur le howto suivant : http://www.tldp.org/HOWTO/TransparentProxy-7.html
# Rêgles spécifiques à la redirection vers la box des flux HTTP
# eth1 est l'interface "privée"
# l'IP 192.168.1.5 est l'IP affectée au bridge et à son interface br0
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -A INPUT -i eth1 -p tcp -d 192.168.1.5 -s 192.168.1.0 --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT
# Rêgles génériques
# eth1 est l'interface "privée"
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Ces deux rêgles se sont très bien appliquées précédement, mais à présent pas moyen de les refaire fonctionner ... Mais quelle peut bien être l'erreur commise ???
Merci d'avance !
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
-
LorD_JLP - Enseigne de vaisseau
- Messages: 157
- Inscrit le: 01 Août 2003 00:00
- Localisation: Eckbolsheim - France
par Beary » 13 Août 2005 14:09
J'ai eu des problèmes récemment pour mettre en place un pont filtrant.
J'ai découvert en fait qu'en mode pont, la condition "-i ethX" ne marchait pas et qu'il fallait utiliser " -m physdev --physdev-in ethX".
Peut-être que le problème est le même chez toi.
Pour info, tu peux voir le nombre de paquets interceptés par les règle en affichant les stats :
Tiens nous au courant !
J'ai découvert en fait qu'en mode pont, la condition "-i ethX" ne marchait pas et qu'il fallait utiliser " -m physdev --physdev-in ethX".
Peut-être que le problème est le même chez toi.
Pour info, tu peux voir le nombre de paquets interceptés par les règle en affichant les stats :
- Code: Tout sélectionner
iptables -vn -t nat -L PREROUTING (dans ton cas)
Tiens nous au courant !
-
Beary - Major
- Messages: 83
- Inscrit le: 05 Juin 2003 00:00
- Localisation: Strasbourg
4 messages
• Page 1 sur 1
Retour vers Linux et BSD (forum généraliste)
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité