Installation d'un proxy sur SME 6.01

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Installation d'un proxy sur SME 6.01

Messagepar jpbauer » 23 Juin 2006 13:21

Bonjour

Je souhaiterais pouvoir, depuis un PC connecté à un réseau d'entreprise très sécurisé, accéder à des sites internet qui se trouve en liste noire sur ce réseau d'entreprise, mais en sécurisant la chose de telle manière que n'importe qui ne puisse utiliser cette porte "semi-ouverte"

J'ai pensé, mais ne je n'y connais pas grand chose qu'un proxy installé sur un serveur SME qui lui est directement connecté à Intenet pourrait jouer ce rôle. Est-ce que je me trompe ?

Dans tous les cas quelqu'un aurait le moyen de résoudre ce problème.

Merci pour vos réponses
A+
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar Pabze » 23 Juin 2006 14:21

Bonjour,

SME posséde nativement un serveur proxy SQUID !
Cherche sur ce même forum, ou sur contribs.org et google (notre ami)
Tout ce qui touche de prés ou de loin à squid sur SME à déjà était abordé !
Authentification, filtrage par blacklist, scan antivirus etc ...

Pabze.
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar jpbauer » 23 Juin 2006 19:02

Merci pour ta réponse rapide

J'ai regardé un peu partout, mais j'ai peut-être compris à tort que squid permettait de gérer un proxy de sortie du réseau sur lequel il y a la SME.
Ce n'est pas exactement mon besoin. J'ai un réseau SECUR qui ne permet pas d'accéder à tout internet, mais autorise l'accès à un dyndns du réseau SME. J'ai un second reseau SME sur lesquel j'ai ma SME 6. Je voudrais pouvoir depuis un PC du reseau SECUR accéder, via le proxy du réseau SME, à tout internet.

SQUID répond bien à cela ?
A+
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar sibsib » 23 Juin 2006 21:11

Hello,

Hier, j'expliquais que nous n'étions pas là pour faire la morale, et là, paf le chien :-)

Je suppose que tu fais ceci en accord avec la politique de ton entreprise, parce que sinon...

En fait, je faisais ceci en SME 5.5, sans problème : j'avais juste ajouté une règle dans le firewall qui autorisait les adresses IP de ma boite à se connecter au port 3128 de ma SME.

(Pour la petite histoire, ceci nous permettait de tester l'accès à notre propre site en étant vus comme arrivant de dehors :-) )

Quand je suis passé sur SME 6, je n'ai pas su reproduire ce système, car une règle supplémentaire existat. Depuis, nous avons une autre solution pour faire ceci, je n'ai donc plus creusé.

Attention cependant : il existe de nombreux bots qui scannent le NET à la recherche d'un anonymiser, c'est à dire un proxy libre d'accès comme ceci. Donc, si tu ne peux pas filter les connexions par adresses IP, il faut ABSOLUMENT que tu mettes en place une solution d'autentification.

Et (re paf le chien :-D ) Vu les risques à ouvrir un proxy chez soi, le jeu en vaut-il la chandelle ? J'explique : si quelqu'un a accès à ton proxy anonyme et fait des choses illegales depuis là, tu es civilement (voire pénalement) responsable.

A+,
Pascal (JiBé, tu as le droit de te marrer :-) )
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jpbauer » 23 Juin 2006 21:24

Il s'agit en fait de mon entreprise, je m'autorise donc à le faire.

Pour le problème de sécurité, je vourdrais effectivement que n'importe qui ne puisse pas passer par le proxy

Donc si je comprend bien, avec la SME6, cela n'est plus possible d'après toi ?
A+
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar sibsib » 24 Juin 2006 21:20

Hello,

Si, c'est possible, ce n'atait pas intuitif, c'est tout.

Vraiment de mémoire (et elle défaille !) :

En 5.5, par défaut les connexions sur le port > 1024 étaient autorisées par le firewall. Donc, je suppose que ce que j'avais du faire, c'était uniquement modifier la conf de squid pour qu'il accepte d'autres IP que celles du LAN. Depuis SME 6 (5.6, en fait, je pense), le filtrage est plus rigoureux, donc, en plus de modifier la conf de Squid il faut probablement également modifier la conf du firewall.

Mais çà doit être possible. Sachant qu'en terme de trafic, ce ne sera pas hyper performant, le trafic arrvant sur SME (donc en download) devant être renvoyé vers ta boite, donc en upload, généralement moins bien servi.

D'autre part, si tu autorises l'IP publique de ton bureau a utiliser ton proxy, par le fait, tous les postes de ta boite pourront utiliser ce moyen de contournement s'ils le trouvent.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jpbauer » 24 Juin 2006 23:31

D'autant que c'est encore plus compliqué que cela, puisque ma SME n'est pas le seul point de passage pour internet, en fait la SME est derrière une modem/Routeur qui lui aussi a un firewall

Ce qu'il faudrait que je fasse c'est rediriger les flux entrant sur le modem/routeur pour un port XXXX sur la SME sur le port 3128. Avec squid cela devrait-être redirigé sur la sortie Internet.

Est-ce quelque chose du style?
A+
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar sibsib » 25 Juin 2006 22:08

Hello,

A priori oui.

Ya plus ka....

Bonne chance, et ponds nous un bon tuto à la fin !

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 27 Juin 2006 01:59

Salut,

Je n'ai pas tout lu :oops:

Okazou, pour modification du firewall si elle est nécessaire/utile, tu peux voir ce mini-howto. C'est pour SME 5.5, mais sur le site de Grand-Pa, il y a une astuce pour modifier le firewall que tu dois pouvoir assez facilement combiner avec mon howto. Bien sûr, il faudra adapter à ce que tu recherches, mais si ça peut te rendre service...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron