Problème avec Squid

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Problème avec Squid

Messagepar krehon » 08 Déc 2004 11:33

Bonjour,

J'ai fait un test ce matin sur squid. Je le configure toujours pour qu'il soit en mode transparent et ce matin je voulais testé, le mode "non transparent".
En théorie je ne devrais pas pouvoir naviguer sur internet sans remplir les paramètres de proxy sur mon poste client, mais là je peux.
Comment puis-je faire pour que lorsque squid en en mode "non transparent" je ne puisse naviguer sur Internet sans régler les paramètres proxy sur le browser.

Merci
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 11:35

Bonjour,

Sur quel système d'exploitation tourne tes clients ?

Si tu es en windows, est ce que tu es dans la configuration "domaine" ?
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 11:42

Oui tout à fait, mon contrôleur de domaine tourne sous 2003 et mon poste client sous XP.
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 12:37

Alors la solution la plus simple (si tu utilises I.E) est de créer une stratégie de groupe parametrant I.E automatiquement avec l'adresse du proxy.

Ensuite tu désactives l'option "Paramètres du reéseau local" dans option Internet d'I.E


Voilà !
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 12:45

Ok je vois pour la solution, mais d'où vient ce problème ? Ca me parait bizzare et je voudrais savoir pourquoi. Je suis curieux 8) .
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 12:49

Quel est la configuration de ton réseau ?

Est ce que ton proxy fait aussi office de passerelle ?
Ou alors c'est juste un serveur de ton lan ?
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 12:54

Squid est sur IpCop qui sert de passerelle à mon LAN.


LAN <==> IPCOP + SQUID <==> NET
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 13:08

OK,



En mode transparent, toutes les requetes sont préroutés sur le port d'écoute de squid (généralement le 3128) ce qui force tout traffic http, https,... (suivant ta config) à passer par le proxy.
En mode normal, il n'y a aucun préroutage effectué par iptables pour rediriger les requetes du Lan vers le proxy. Elles sont directement transmises au net !
C'est pour ça que si tu ne configures pas tes navigateurs en les obligeant à passer par un proxy, tu ne filtres rien.


Voilà !
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 13:17

Ce qui veut dire que je dois configurer Iptables de manière à ce qu'il bloque tous les flux sortant vers le net et qui ne passent pas par le proxy ?
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 15:30

Hmmmm ta question est ambigu, dis moi si j'ai bien compris


On ne peut que "cacher" que certains type de flux avec squid comme le http, https,... Le FTP par example est impossible à mettre en cache en mode tranparent

Après si tu veux par example que les utilisateurs ne passent pas leur temps à faire du msn, il faudra que tu crées une règle iptables. Par défaut IPCOP authorise tout entre le GREEN et le RED, a toi de bloquer les ports correspondants.
Dernière édition par Boss le 08 Déc 2004 16:04, édité 1 fois au total.
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 15:51

Oui c'est ça.

En fait je voudrais qu'ils soient obligés de passer par le proxy et même s'ils ramène un portable de chez eux, donc pas adhérer au domaine windows. De sorte que si les paramètres proxy ne sont pas rentrés ils ne pourront pas accéder à internet.
C'est plus pour limiter les accès non "réglemenaires".

On peut faire passer les flux ftp par le proxy non ? Pas nécessairement les mettre en cache mais au moins que les machines ne soient pas en frontal sur le Net.
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Boss » 08 Déc 2004 16:10

De sorte que si les paramètres proxy ne sont pas rentrés ils ne pourront pas accéder à internet.
C'est plus pour limiter les accès non "réglemenaires".


Hmmm à mois de rendre le proxy tranparent je ne vois pas comment ......



On peut faire passer les flux ftp par le proxy non ? Pas nécessairement les mettre en cache mais au moins que les machines ne soient pas en frontal sur le Net.


Le FTP est OK uniquement en mode non-transparent, tes machines ne sont pas en frontal sur le net puisque tu as un ipcop qui fait quand même office de firewall.
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar krehon » 08 Déc 2004 17:03

Bon je vais laisser SQUID en mode transparent au moins je suis sûr que ça marche comme ça.

Merci de tes réponses.
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron