[resolu] Forcer le passage via squid

[Sitecreator]

Bonjour à tous !

Je me posais la question si c'était possible de forcer les utilisateurs SME de passer par le proxy squid ?
Il faudrait qu'ils soient obligés de configurer leur navigateur de passer via le port 3128 du proxy sme...
J'ai bien regardé chez notre ami Google ainsi que fais une recherche sur notre forum préféré , et j'ai trouvé 2 solutions :

- soit configurer les navigateurs avec le bon proxy ou en utilisant le fichier de configuration automatique et le rendre impossible à changer. Mais cela nécessite que je contrôle les clients ce qui n'est pas toujours le cas...

- soit intercepter les requêtes sur le port 80 pour les rediriger sur Squid.

Code: Tout sélectionner

Avoir dans le fichier squid.conf :

# Configuration de traitement des requêtes du client
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    httpd_accel_single_host off

Puis ajouter la règle pour netfilter de redirection des requêtes sur le port 80
iptables -t nat -F PREROUTING

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
                                            -j REDIRECT --to-port 8080 
# Les clients peuvent envoyer leurs requêtes sur le port 80 du proxy
# Le service NAT du routeur les redirige sur le port 8080


C'est faisable sur notre chère SME ? Sans pour autant bloquer l'accès aus Ibays ?

Ca me permettrais de bloquer l'accès à internet aux personnes voulant s'incruster au réseau en bloquant le port 80, et n'y auraient accès que les personnes ayant le port 3128.

Merci d'avance à nos experts préférés... :D:D, et aux autres aussi !

[sibsib]

Salut,

Sauf à me gourer grave, ce que tu demandes est standard sur SME :

Par défaut, toutes les requêtes sur le port 80 (et 443, il me semble) sont renvoyées à squid.
De plus, SME configure automatiquement un fichier de configuration du proxy
(tu peux visualiser ce fichier en faisnat dans ton butineur préféré :
http://{ip de ton SME}/proxy.pac

La plupart des navigateurs actuels (tous, peut-être) demandent à leur routeur par défaut si ce fichier existe. Si oui, ils s'autoconfigurent pour passer par le proxy.

En résumé :
Proxy pour tous pour les ports 80 et 443 (mais pas pour les serveurs webs sur autres ports, genre 8080), et proxy pour tous les flux HTTP pour les navigateurs compatibles avec le fichier d'autoconf.

Dernier point : le proxy transparent peut être désactivé (je ne sais plus de tête mais c'est marqué dans le forum), mais le mode par défaut est 'proxy transparent actif'.

A+,
Pascal

[Sitecreator]

Super Sibsib merci de tes réponses, comme d'habitude... :D:D

Là tu m'as appris plein de choses ! Je savais par contre déjà que le proxy transparent de sme était activé par défaut, tant mieux.

Et concernant le routage aussi j'en doutais déjà... mais ce que je veux faire c'est autre chose.

Par exemple, je prend Internet Explorer de notre cher Bill (à tout hasard ...) et si je veux que le navigateur se connecte via le proxy, je coche dans les options sous l'onglet "connexions" que je veux utiliser un serveur proxy. J'entre l'adresse du serveur et hop je navigue !

Par contre si je décoche la case et que je dis donc à Internet Explorer de ne pas utiliser le proxy sme... eh ben il se connecte quand même ! Je navigue tout à fait normalement...¨

Ce que je voudrais justement c'est que, tant que la case n'est pas cochée : pas de connexion; proxy activé = tu peux naviguer, proxy désactivé, ben tu navigues pas !!

Alors y a-t-il quand même moyen(s) de résoudre mon problème ? :D:D

...merci encore

[sibsib]

Salut,

Peux tu nous expliquer le résultat auquel tu veux arriver ?

J'avoue que je ne comprends pas vraiment.

Si ton idée, c'est que seuls les postes avec le proxy activé peuvent surfer (je ne vois pas trop l'intérêt),
alors je pense qu'il faut :
1) désactiver le proxy transparent
2) supprimer le fichier proxy.pac (qui est bien sûr templatisé )
3) mettre sur SME un filtre sur le port 80 en sortie.

Mais il me semble que le jeu n'en vaut pas la chandelle : fais moi confiance, tes utilisateurs auront vite trouvé le truc !

Sauf à supposer qu'en plus, tu fasses du filtrage au niveau de squid. Mais dans ce cas, il vaut mieux laisser le mode transparent, puisque celui ci regirige obligatoirement vers squid.

Donc, j'ai pas compris, mais, incorrigible bavard que je suis, j'ai répondu quand même

A+,
Pascal

[Sitecreator]

Salut,

le résultat auquel je veux arriver c'est que mes users soient obligés d'utiliser le proxy, apparement ça c'est bon. Donc mes problèmes sont résolus

Merci encore Sibsib !