Pb GET/POST sous SQUID

[RoB1]

Bonjour a tous.

J'ai installé un ipcop 1.3b9 pour un centre de formation, afin de protéger le rezo administratif du rezo pédagogique.

Ce rezo possaidait deja:
- un PIX(cisco) Router/firewall créateur de VLAN
- un proxy sous squid dans la DMZ (a syncro)
- un SWITCH créateur de VLAN

Voici donc un shéma simplifié du rezo :
(Je vais essayer d'etre clair lol )

|
| |-------- LAN DMZ |
INTERNET|PIX-FW|--------------------|SWITCH SSR2000 |--- LAN ADMIN
| | |(Créateur de vlan) |------------------|IPCOP|-----LAN PEDAGO
|

Donc config normale d'ipcop avec tout PROXY/DHCP/FW...

SSR2000(RED)|---------|IPCOP|--------|(GREEN)LAN PEDAGO

Tout marchai nikel, quand je me suis rendu compte que toutes les pages de recherche et d'authentification etc. me renvoyaient une erreur squid 111 access refused.
J'ai regardé vite fai dans le fichier access.log de squid et tous ce qui est GET passe bien
mai des que POST aparait j'ai cette erreur.
Je m'exprime mal. Mais c vrai que je ne connait pas bcp linux.
Et donc HELP !!

Merci d'avance.

[RoB1]

$%#&! le shéma chi DSL

en fait il y a :

INTERNET
___|_____________
|
PIX-FW
___|________________________
| |
SSR2000 LAN DMZ
|
|
___|___________________________
| |
IPCOP LAN ADMIN
___|_____________
|
LAN PEDAGO

[RoB1]

Hello

En fait je suis maintenant sur du PB.

Le proxy IPCOP dialogue bien avec le proxy parent.
Mais toutes les requetes ICP de IPCOP a PROXY sont des GET.

Donc qd un de mes postes clients (essaye d') envoi (yé LOL) des infos sur le net il envoie une requete POST au squid d'IPCOP qui transmet cette requete au PROXY parent en la transfoment en GET.

C koi ce délire
Il me manque koi dan la config de mon squid.conf

#DEBUT
shutdown_lifetime 5 seconds
icp_port 3130

http_port 192.168.100.5:800

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_effective_user squid
cache_effective_group squid

pid_filename /var/run/squid.pid

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
log_mime_hdrs off
forwarded_for off

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.100.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 800 # Squids port (for icons)

acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ip dst 192.168.100.5
acl CONNECT method CONNECT

http_access allow localhost
http_access allow IPCop_ip localnet IPCop_http
http_access allow CONNECT IPCop_ip localnet IPCop_https
#deny
http_access allow !Safe_ports all
#deny
http_access allow CONNECT !SSL_ports
http_access allow localnet
# deny
http_access allow all

maximum_object_size 100000 KB
minimum_object_size 0 KB

cache_mem 8000 KB
cache_dir ufs /var/log/cache 200 16 256

request_body_max_size 0 KB
reply_body_max_size 0 KB

cache_peer Proxy.Cteip.fr parent 8080 3130 default no-query

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#FIN


Voici qlq lignes du acces.log


1096022043.788 693 192.168.100.110 TCP_MISS/200 900 GET http://fl01.ct2.comclick.com/aff_frame.ct2? - DEFAULT_PARENT/Proxy.Cteip.fr text/html
1096022043.810 1 192.168.100.110 TCP_IMS_HIT/304 222 GET http://www.handicanal.net/ads/but_handicanal06.gif - NONE/- image/gif
1096019168.273 164 192.168.100.110 TCP_MISS/200 22628 GET search.php - DEFAULT_PARENT/Proxy.Cteip.fr text/html
1096019170.901 2613 192.168.100.110 TCP_MISS/200 900 GET http://fl01.ct2.comclick.com/aff_frame.ct2? - DEFAULT_PARENT/Proxy.Cteip.fr text/html
1096019177.039 41 192.168.100.110 TCP_MISS/503 1049 POST search.php? - NONE/- -


Voila un peu plus d'info
Merci de m'aider si vou le pouver
Toutes les remarques sont les bienvenues
Le serveur doit etre mis en production avant samedi midi sinon mon responsable abandone le projet IPCOP. SNNNIIIFFFF (ya pa moyen )
++

[tomtom]

je vais peut-etre poser une question stupide, mais c'est quoi l'interet d'utiliser le proxy d'ipcop ?

Tu peux renvoyer tout simplement les requetes vers le proxy en DMZ directement ?

t.

[RoB1]

Non c cool ca fait avancé le Pb.

En fait pour 2 raisons :

- On veux soulager le cache du PROXY, sur lequel il y a deja le LAN ADMIN.
Et puis 6 salles de (env) 14 pc + la (petite) 100ene de pc en LAN ADMIN ca tire!

-La deuxieme raison est que l'on veux protéger le rezo ADMIN du PEDAGO.
IPCOP me semble une des meilleures solution pour ce pb.
Le DHCP nous fournis les @ dans les salle ( - d'administration )
Le filtrage nous permet de poser des regles de secu minimun
ET HO par chance il y a un proxy prkoi ne pa en profiter.



Voila juste désiruex d'etendre mes connaisances.

Merci
++

[Franck78]

Regardes ici, peut-être un début de d'info / solution pour ton cas !
http://www.ac-creteil.fr/reseaux/intern ... efault.htm


bye

[RoB1]

SLT.

Oki merci.
Je cherche tjs.

Le serveur a été mis en prod, mais sans squid .
D' autres liens de ce style seront les bienvenues (ca m'aide un peu).
Mais j'avoue etre perdue.

Je sais kil y a un Pb d'acl et de http_access (voir icp_access) mais dans la def. de mes acl je ne sais pas si GET/POST et PUT sont des method comme CONNECT.

??????????????

J'ai essayé un truc style ca ( et qlq variantes) :

acl ProxyPere dst 194.214.232.125
acl POST method POST

http_access allow POST ProxyPere localhost

Ken pensez-vous ???

++

[tomtom]

Bien sur, GET PUT et CONNECT sont différentes methodes du protocole HTTP. Tu peux parfaitement utiliser les ACL avec.

t.

[schlouf]

Salut RoB1,

j'ai eu le meme probleme avec Telenet en Belgique. Telenet oblige les utilisateurs a passer par leurs proxy et le port 80 est bloque en sortie. En meme temps, je voulais utiliser le proxy transparent de ipcop avec l'option parent proxy.

Voici ma config qui fonctionne. Tu verra des dirrectives telles que never_direct et always_direct. Ce sont ces directives qui feront que les requetes vont passer par le proxy parent dans tous les cas. Donc plus de tentative de conenxion en direct alors que le port 80 est bloque en sortie, donc plus de message d'erreur!

J'espere que cela t'aidera!

Voici ma config au complet:

============== squid.conf ==================

shutdown_lifetime 5 seconds
icp_port 0

http_port 192.168.200.254:800

#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY

cache_effective_user squid
cache_effective_group squid

pid_filename /var/run/squid.pid

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
log_mime_hdrs off
forwarded_for off

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.200.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 800 # Squids port (for icons)

acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ip dst 192.168.200.254
acl CONNECT method CONNECT
acl pandora dstdomain .pandora.be
acl telenet dstdomain .telenet.be

always_direct allow telenet
always_direct allow pandora
never_direct allow all
http_access allow localhost
http_access allow IPCop_ip localnet IPCop_http
http_access allow CONNECT IPCop_ip localnet IPCop_https
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all

maximum_object_size 4096 KB
minimum_object_size 0 KB

cache_mem 20000 KB
cache_dir ufs /var/log/cache 500 16 256

request_body_max_size 0 KB
reply_body_max_size 0 KB

cache_peer proxy.telenet.be parent 8080 8080 default no-query
prefer_direct off

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

============== end squid.conf ===========================

[Franck78]

SLT.

Oki merci.
Je cherche tjs.

Le serveur a été mis en prod, mais sans squid .
D' autres liens de ce style seront les bienvenues (ca m'aide un peu).
Mais j'avoue etre perdue.

Je sais kil y a un Pb d'acl et de http_access (voir icp_access) mais dans la def. de mes acl je ne sais pas si GET/POST et PUT sont des method comme CONNECT.

??????????????

J'ai essayé un truc style ca ( et qlq variantes) :

acl ProxyPere dst 194.214.232.125
acl POST method POST

http_access allow POST ProxyPere localhost

Ken pensez-vous ???

++

Que j'ai jamais vu ça nulle part.... !

Passe squid en debug sur le module ICP.
debug=n,xx

n niveau de debug
xx module a debuger
Google te dira tout

Il n'y a aucune raison comme ça pour transformer un GET en POST.

Salut

[RoB1]

Salut

Par rapport a la remarque de Frank78

Oki je vais essayer le mode debug sur squid.
Je ne connaissais meme pas ca. (yes, une notion de + lol)
merci.

Mais je vais quand meme redefinir le pb (encore une fois):

Le squid fils(IPCOP) transforme toutes les requettes "POST" (venant de ses clients) en requettes "GET" vers le squid pere(PROXY).

Quant a toi Schlouf merci bcp pour ton fichier squid.conf.

IL me parait tres interessant, je vais essayer de le mettre en place.
Des ke c'est fait je te di si a marcher ou pa (ca l'f'rait).

++