Proxy transparent ... trop transparent !

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Proxy transparent ... trop transparent !

Messagepar LorD_JLP » 08 Août 2005 15:29

Bonjour tout le monde !

Petit appel à l'aide après avori consulté plein de docs (merci Google !), plein d'amis (merci IRC), et pas trouvé ni d'explication plosible, ni de solution à mon soucis ...

Je m'explique : Je souhaite mettre en place une solution de filtrage d'url destiné à une entreprise (proxy Squid), mais de manière transparente au niveau du réseau et des utilisateurs ...
Cette solution permets, dans son principe, de gagner en confort sur deux points : Pas de configuration des logiciels clients, pas moyen d'outrepasser le proxy puisque la route par défaut passe par lui ...

La solution est (théoriquement ...) très simple : une machine configurée en tant que bridge, un Squid+SquidGuard (par exemple) et des rêgles de routage (via iptables, par exemple) ...

J'ai déjà mis en place cette solution, et elle focntionne vraiment très bien (d'un part pour le proxy WEB, et d'autre part pour stater les transferts réseau, par exemple ...) avec un kernel 2.4 sur une ditribution Mandrake Linux 9.2.
Se pose depusi deux semaine le soucis de transposer la solution vers une version Mandriva 2005 LE (kernel 2.6), ayant été installé de manière identique que la machine précédente.

Le soucis est que le préroutage des paquets à destination de l'hôte WEB ne fonctionne pas sur la nouvelle machine (2005 LE) alors que les rêgles iptables sont exactement les mêmes que sur l'ancienne (9.2) ...
Je n'ai pas encore réinstallé la machine pour le moment, mais je souhaiterais savoir si l'un d'entre vous a déjà eu des retours d'expérience négative sur ce type de configuration logicielle ?
Je suis aussi preneur concernant toute idée qui pourrait solutionner mon préroutage local (niveau 3) afin d'outrepasser le routage du bridge (niveau 2) ...
Si certains d'entre vous ont des idées concernant une solution qui pourrait fonctionner de manière similaire (proxy transparent ...), je suis aussi preneur ...

Merci d'avance et bonne fin de journée.
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
Avatar de l’utilisateur
LorD_JLP
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 01 Août 2003 00:00
Localisation: Eckbolsheim - France

Messagepar Beary » 12 Août 2005 15:46

Tu pourrais nous donner les règles Iptables qui fonctionnaient et qui ne fonctionnent à présent plus ?
Avatar de l’utilisateur
Beary
Major
Major
 
Messages: 83
Inscrit le: 05 Juin 2003 00:00
Localisation: Strasbourg

Messagepar LorD_JLP » 13 Août 2005 13:50

Salut Beary, et bonjour à tous !

Voici donc les rêgles iptables que j'ai mises en place, tel que décris sur le howto suivant : http://www.tldp.org/HOWTO/TransparentProxy-7.html

# Rêgles spécifiques à la redirection vers la box des flux HTTP
# eth1 est l'interface "privée"
# l'IP 192.168.1.5 est l'IP affectée au bridge et à son interface br0
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -A INPUT -i eth1 -p tcp -d 192.168.1.5 -s 192.168.1.0 --dport 8080 -m state --state NEW,ESTABLISHED -j ACCEPT

# Rêgles génériques
# eth1 est l'interface "privée"
# le port local d'écoute de Squid+SquidGruard est le 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

Ces deux rêgles se sont très bien appliquées précédement, mais à présent pas moyen de les refaire fonctionner ... Mais quelle peut bien être l'erreur commise ???

Merci d'avance !
[ LorD JLP... | www.biuns.fr.st | #BiUns@undernet.org ]
[ 9T <-> SpeedTouch <-> NuxBox MDK <-> HomeLan | WifiLAN ]
Avatar de l’utilisateur
LorD_JLP
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 01 Août 2003 00:00
Localisation: Eckbolsheim - France

Messagepar Beary » 13 Août 2005 14:09

J'ai eu des problèmes récemment pour mettre en place un pont filtrant.
J'ai découvert en fait qu'en mode pont, la condition "-i ethX" ne marchait pas et qu'il fallait utiliser " -m physdev --physdev-in ethX".
Peut-être que le problème est le même chez toi.

Pour info, tu peux voir le nombre de paquets interceptés par les règle en affichant les stats :
Code: Tout sélectionner
iptables -vn -t nat -L PREROUTING (dans ton cas)


Tiens nous au courant !
Avatar de l’utilisateur
Beary
Major
Major
 
Messages: 83
Inscrit le: 05 Juin 2003 00:00
Localisation: Strasbourg


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron