[RESOLU] ip source identique pour tous mes clients

[fabzz007]

Bonjour à tous

J'ai un petit pb avec la mnf 8.2

voici ma config

lan eth0 172.20.0.1/16 (admin)
lan2 eth1 172.21.0.1/16
wan eth2 192.168.0.1/24
dmz eth3 10.1.1.1/24

eth2 est relier à un routeur dont l'adresse est 192.168.0.254 (c'est donc ma passerelle internet)

le proxy transparent est activé

tout semblait fonctionner correctement. mais je me suis rendu compte il y a qq jours que lorsque qu'une machine de mon lan essaie de se connecter à un site dont j'ai bloqué l'acces j'obtient un message d'erreur du type "access denied" avec comment parametre :

current client url : 172.20.0.1

quelque soit le machine que j'utilise et quelle que soit sont ip j'obtient toujours l'adresse de la mnf au lieu de celle du poste.

le pb devient genant lorsque je me connecte depuis une machine du lan2 (eth1) en 172.21.0.0/16 lorsque je veux accéder à un site bloqué j'ai toujours une ip cliente en 172.20.0.1.

Du coup je ne peux pas mettre de privilège sur le lan2 car de toute façon la mnf gère toutes mes connexion au net comme provenant du lan en 172.20.0.1

en plus dans les logs de mon proxy je n'ai qu'une seule ip source qui est l'éternelle 172.20.0.1.

es ce que qq un pourrait m'aider ? Il est à noter que je suis en pleine réinstallation de la mnf car je vient de la planter en essayant de recharger une vieille sauvegarde

[Zeno]

Une IP de réseau privé ne peu pas aller sur internet. Donc c'est quand même trés etonant que tu es une adresse local source sur un site distant public. Verifi le routage de ton serveur.

Peut être que MNF a une methode extraordinaire de bloquer des accés.

Ca c'est juste ou tu as fait une faute de frappe ? ".... provenant du lan en 172.16.0.1"

[vanvan]

dans les logs de ton firewall, ça ne te donne pas non plus l'ip émettrice de la tentative de connexion web ?

[fabzz007]

zeno : Une IP de réseau privé ne peu pas aller sur internet. Donc c'est quand même trés etonant que tu es une adresse local source sur un site distant public. Verifi le routage de ton serveur.

Peut être que MNF a une methode extraordinaire de bloquer des accés.

Mon ip privée ne va pas sur un site distant c'est seulement que la mnf bloque ma requete avant qu'elle sorte sur le wan car l'url à laquelle je desir me connecter fait partie de mes adresse interdite. du coup la mnf me renvoie un page erreur.

Ca c'est juste ou tu as fait une faute de frappe ? ".... provenant du lan en 172.16.0.1"

désolé pour la faute de frappe je réédite dans la foulé c'était 172.20.0.1 que je voulais ecrire.

vanan: dans les logs de ton firewall, ça ne te donne pas non plus l'ip émettrice de la tentative de connexion web ?

dans les logs de shorwall je n'ai aucun soucis il m'affiche corretcement les adresse ip de mes machines lorsqu'il bloque une trame

deplus dans les logs de dansguardian j'ai bien un listing de toutes les url qui onté consulté depuis mes machine avec la bonne adresse ip l'heure etc...

mais a partir de l'interface de la mnf dans les journaux du proxy web (donc je pense que c'est les logs de squid) je ne dispose que d'une seule ip source (172.20.0.1)

c'est pour ça que je ne comprend pas trop.

je me trompe peut etre mais j'ai plus l'impression que lorsqu'on active le proxy la requete http est redirigé sur le port 3228 via eth0 (172.20.0.1) du coup il gere la requete http comme provenant de 172.20.0.1[/quote]

[Zeno]

Aaaah !! Bin si utilise Squid c'est normale.. Squid fait comme une translation IP sur les pages Web..

Les clients qui passent par le proxy ont donc l'adresse IP du proxy..

[fabzz007]

et il n'y a pas moyen de faire autrement ???

ce qui me chiffonne c'est que si toutes mes requete sont considérées comme provenant de 172.20.0.1 alors à quoi ça sert de proposer des plages d'adresse ip privilégiées si de toutes façon toutes mes requetes proviennent de la meme @IP ???

Si je ne m'abuse je ne peux pas activer dansguardian et squidguard sans squid !!! ya comme un conflit dans tous ça non ? puisque dansguardian et sguidguard propose de pouvoir ajouter une ip privilégiée qui ne suibira pas les restriction hors si squid translat avant de faire traiter la requete par squidguard et dansguardian comment ces deux dernier peuvent-ils savoir de quelle adresse ip provient la requete au depart ???

je sais pas si je suis claire dans ce que je raconte... hésitez pas à me reprendre si je me trompe

es ce qu'il est possible de parametrer le proxy seulement pour le lan (172.20.0.0/16) et pas pour lan2 (172.21.0.0/16) si oui comment ???

[Zeno]

Mais squid ne le fait que pour les service Http Https et Ftp.. Le reste il ne le translate pas..

La solution est de ne pas rendre le Proxy transparent.. Comme ca tu configure chaque client, pour qu'ils passent par le proxy comme bon te samble..

C'est possible de configurer squid comme tu le veu, regarde sur google comment créer des ACL dans le fichier squid.conf.

[fabzz007]

donc si je résume :

lorsque j'active squid en mode transparent tout le flux http https et ftp est redirigé sur le port de squid via ma carte eth0 du coup impossible de mettre en place des regles de filtrage d'url ou de contenue en fonction du lan ou du lan2

par contre si je passe mon proxy en manuel ça devrait etre ok ?


en tout cas merci de votre aide

[Zeno]

A tester, puisque de toute façon tu n'arrive pas comme tu veu la ?

[fabzz007]

J'avance dans mes tests... donc je vous fait un point rapide :

Voilà j'ai la "chance" d'avoir 2 connection adsl sous la main et donc par la meme occasion 2 mnf 8.2 d'installée... Ce qui m'a permis de faire quelques comparaisons.

Apparement : lorsque j'active le proxy en mode transparent + le filtrage d'url (alias squidguard) je aucun soucis ni dans mes logs ni pour les ips privilégiées

parcontre lorsque j'active le filtre de contenue (alias dansguardian) je me retrouve alors avec le pb cité plus haut... c'est donc dansguardian qui translate mon adresse réseau...

Donc la solution qui se présente à moi est de le laissé désactivé car si j'ai bien compris squidguard et dansguardian offre quasiment les meme services si ce n'ai que dansguardian permet en plus de filtrer les type MIME...

Es ce que quelqu'un peut confirmer mes dire ??? et surtout est ce que qq connait un peu mieux le processus du traitement de requete http à travers squid+squidguard+dansguardian ???


Merci encore pour votre aide
@+ F@bZz

[fabzz007]

Résultat de mes périgrinations :

Lorsqu'on active à la fois dansguardian et Squidguard du coup la requete est d'abord traité par dansguardian qui renvoie la requete vers squidguard qui lui l'envoie vers le web. du coup squidguard traite la requete comme provenant eth0 (où est installé dansguardian). C'est pour ça que dans les logs du proxy Web (/var/log/squid/access.log) lorsque dansguardian est activé il n'y qu'une seule IP source qui est celle de eth0

Donc le chemin de ma requete http peut etre représentée comme ça :

requette http ------> eth0 sur le port 8080 pour le filtrage de dansguardian --->eth0: port 3228 pour le proxy ---> eth1 interface wan (masquage) --->routeur ---> WEb.

J'ai donc réussi à contourné mon pb :

1- J'active dansguardian qui lui me permet de filtre par url, domaine, mot clé... mais surtout qui permet de gérer des sites exeptions...
2- Je n'utilse squidguard que pour la gestion de plage horaire de connexion et les réseaux authorisés.

Ensuite je fait un gzip du access.log de /var/log/dansguardian et enfin un zcat access.log.gz | grep -i "la_date_du_jour" >ladatedujour.txt pour pouvoir connaitre la date l'heure et l'ip du poste qui s'est connect sur une url...


Je sais pas si mon explication est bien claire mais en tout cas je peux enfin mettre résolu sur mon poste

Merci à tous de votre aide et je reste ouvert si vous avez des précisions sur ce post ou meme des corrections...