Contourner URLFilter

[bigsantos]

Bonjour
Je suis administrateur réseau du LAN de notre Université. J'ai découvert IPCOP et je l'apprecie beaucoup. Etant donné que certains sites sont interdits par la direction de l'ecole, IPCOP m'a jusque là beaucoup aidé. Mais, un collègue m'a fait savoir qu'il a pu visiter un site interdit, je suis dans le doute, c'est pourquoi je voudrais savoir s'il est possible de contourner l'URLFilter d'IPCOP. Autrement dit, un PC sur le reseau local GREEN peut-il outre-passer la protection d'URLFilter? Un utilisateur sans accès au GUI et SSH, en gros sans accès à IPCOP peut-il accéder à des pages web bloquer par URLfilter par des manoeuvres quelconques? s'il y a une faille dans URLFilter, un ixusien pourrait-il m'aider a la boucher? merci.

[S0l0]

un des moyen de le contourner https://sourceforge.net/projects/phpproxy/ tu le mets sur ton serveur perso et hop c'est regler avec un minimum d'effort de customisation du code tu visite absolument tous les sites

[bigsantos]

Salut S0l0 Quand tu parles de serveur perso, fais-tu allusion à IPCOP? Dans cas comment fera-t-il, ce "contourneur" pour acceder puisquíl n'a pas le mot de passe d'administration .

tu le mets sur ton serveur perso et hop c'est regler

[Gandalf]

Dans cas comment fera-t-il, ce "contourneur" pour acceder puisquíl n'a pas le mot de passe d'administration .

Bonsoir, qui nous dit que vous n'êtes pas un des étudiants de la dite université qui cherche à contourner le filtrage d'URLs ? Sans vouloir remettre votre bonne foi en compte, je dois vérouiller le fil, nous ne faisons pas d'exception à cette règle. Libre à vous de contineur en mps avec d'autres membres qui peuvent vous aider.

[Gandalf]

Suite à différents avis je dévérouille le post, c'est reparti !

[psykolivier]

Si URL filter ne filtre pas les requêtes DNS, un tunnel SSH avec Squid au bout, and that's it... je le fais tous les jours au boulot... mais je ne vous dirai pas où je bosse

[jmbignolet]

Si URL filter ne filtre pas les requêtes DNS, un tunnel SSH avec Squid au bout, and that's it... je le fais tous les jours au boulot... mais je ne vous dirai pas où je bosse

Salut psykolivier,

qu'entends-tu par 'Si URL filter ne filtre pas les requêtes DNS' ? Ce n'est pas obligatoire ?

Cordialement !

[J@r0d]

Il m'a l'air bien curieux quand meme, la question d'origine était de savoir si l'on peu contourner IPcop pour naviguer ou l'on veux et bien la réponse est oui

[jdh]

Le "déterrage" de fils n'est pas forcément une bonne idée.

Toutefois la question posée a de l'intérêt.

- Est-il possible de contourner le filtrage URL d'IPCOP ?
- Est-il possible de limiter la fraude ?

Est-il possible de contourner un filtrage d'URL ? La réponse est évidemment OUI, et le sujet du forum n'est pas de décrire par le menu comment faire. (Il est d'ailleurs étonnant que cela sera tout de suite compris alors que les principes de bases de structure réseau, pourtant mainte fois répétées, ne sont pas compris !)

Juste pour donner une idée, un n° du mois prochain d'un magazine consacré à Linux évoque explicitement un tunnel s'appuyant sur ... dns.

Il importe, en 1, de verrouiller tout protocole, puis, en 2, d'ouvrir les SEULS protocoles nécessaires. Par exemple, une règle telle que "UNE et UNE SEULE machine pourra être autorisée à faire des requêtes DNS (et encore sur le DNS du FAI !)" me parait tout à fait évidente. De la même façon, UNE et UNE SEULE machine pourra être autorisée à accéder à Internet (protocole http=tcp/80, ftp=tcp/21) à savoir le proxy (web). De la même façon, SEUL le relais smtp sera autorisée à faire du smtp (et encore vers le smtp du FAI !).

Même avec cette approche prudente (et contraignante), il restera des faiblesses ...

[m2nis]

De la même façon, UNE et UNE SEULE machine pourra être autorisée à accéder à Internet (protocole http=tcp/80, ftp=tcp/21) à savoir le proxy (web).

Petit point qui m'a échappé au moins jusque là: le proxy (plus particulièrement transparent) peut gérer les requêtes ftp du port 21 ? Y a-t-il une manipulation particulière à effectuer ? Parce que pour l'instant, mon port 21 fait exception aux quelques règles de bon sens énoncées.

[jdh]

En mode transparent, Squid ne sait traiter que http, de mémoire.

En effet, pour https, cela aboutirait à la situation du "man-in-the-middle". Pour ftp, le fait qu'il y ait négociation (et changement) de port durant la session empêche aussi le système de "transparence".


Il y a 3 cas : on inscrit dans chaque machine un proxy (manuellement ou par un autre moyen = GPO par exemple), on créé un "proxy-transprent", on met en place WPAD Web Proxy Auto Detection. Il me semble que le plus contraignant (le 1) est le plus complet.

[m2nis]

Il me semble que le plus contraignant (le 1) est le plus complet.

On retrouve hélas souvent ce rapport contrainte/efficacité. Pour ma part, je ne suis pour l'instant pas prêt à abandonner le proxy transparent et tous ses avantages.

[lucyfire]

Comme ipcop est cache DNS, avec Block Out traffic on laisse juste l'accès au port 53 au lan et on bloque les accès dns vers l'extérieur.

on bloque https pour eviter tor

apres une petite authentification sur active directory pour traverser le proxy et on analyse les logs pour verifier les gros flux de connexions sur un site en particulier genre un proxy distant par exemple.

bon apres y a encore des possibilités effectivement.

lu²

[m2nis]

Comme ipcop est cache DNS, avec Block Out traffic on laisse juste l'accès au port 53 au lan et on bloque les accès dns vers l'extérieur.

Tout à fait d'accord.

on bloque https pour eviter tor

En bloquant https, on bloque vraiment beaucoup de choses... Pour l'instant, ce n'est pas fait pour ma part. N'y a-t-il pas d'autres moyens de bloquer des logiciels comme Tor ?

[lucyfire]

Il y a l'addon de Markus Hoffman "l7 blocker" qui peut bloquer les flux reconnu par l7 filter (l7 pour layer 7 couche applicative) et tor fait parti des motifs reconnus.

lu²