Caches proxy ou IPtables ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Caches proxy ou IPtables ?

Messagepar pkaer » 13 Avr 2004 06:37

Bonjour,

Tout d'abord voici la config

Internet
|
|
IPCop 1.4.0b2-------------DMZ 172.16.0.0/16---------SME+Interscan (8080) 172.16.0.250
Squid+squidGuard
|
|
LAN 192.168.35.0/24

Le problème :

Je souhaite que les clients sur le LAN, qui accèdent Internet, passent par la proxy de Interscan, qui "écoute" sur le port 8080, pour que ce dernier puissent effectuer son filtrage antivirus.

J'ai donc voulu mettre en place une hiérarchie de proxy (je ne sais pas si c'est la bonne solution) pour que le squid d'IPCop intérroge le proxy d'interscan. Pour ce faire j'ai rajouté la ligne suivante dans squid.conf :
cache_peer 172.16.0.250 parent 8080 0 no-query

mais cela ne fonctionne pas, car cela laisse passer les Virus-tests de EICAR

qqun a t'il une idée pour résoudre le problème ?

Peut-ont éventuellement passer par Iptables pour rediriger les requêtes issues de squid+suidguard vers le proxy d'interscan ?

Merci
@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar antolien » 13 Avr 2004 07:09

Bonjour,

Normalement ta ligne est bonne pour renvoyer sur interscan mais essayes d'ajouter default à la fin de la ligne:

cache_peer 172.16.0.250 parent 8080 7 no-query default

Tu as relancé squid et regardé les logs ? un petit tcpdump aussi pour voir ce qui se passe ?

Edit : Le port 0 pour les requettes ICP c'est peut-être pas terrible, met 8080 où si ton proxy ne gère pas ICP met 7 :


no- query:
"Squid will send ICP requests to all configured caches. The response time is measured, and used to decide which parent to send the HTTP request to. There is another function of these requests: if there is no response to a request, the cache is marked down. If you are communicating with a cache that does not support ICP, you must use the no-query option: if you don't, Squid will consider that cache down, and attempt to go directly to the destination server. (If you want, you can set the ICP port on the config line to point to the echo port, port 7. Squid will then use this port to check if the machine is available. Note that you will have to configure inetd.conf to support the UDP echo port.) This option is normally used in conjunction with the default option and round-robin option."
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar pkaer » 13 Avr 2004 07:22

Merci Antolien,


Je vais essayer cela . Je mettrai le résultat sur ce post

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar pkaer » 13 Avr 2004 08:34

@Antolien,

Une fois de plus tu avais la solution.... ca devient énervant :D
Plaisanteries mises à part, je te remercie infiniement. J'avais dans l'idée que le solution devait se trouver par là, mais j'avais complètement zappé le "7" et le "default". A priori c'est surtout le "7" qui a son utilité dans mon cas précis.

Merci encore pour ton efficacité

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron