Forcer le proxy

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Forcer le proxy

Messagepar scarabaeus » 13 Fév 2008 12:01

bonjour

je cherche la solution pour forcer les utilisateurs a passer par le proxy. Advanced proxy est celui que j'emploi.

j'ai trouvé ceci :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

mais je ne comprends pas a quoi tout correspond.

merci de votre aide
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar Franck78 » 13 Fév 2008 13:24

Salut,
la solution s'apelle 'proxy transparent' et existe dans IPCop depui très très longtemps.

Une case a cocher seulement.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar scarabaeus » 13 Fév 2008 15:16

je coche cette case et les utilisateurs sont obligés de passé par le proxy ?!
Dans IE lorsque je configure le proxy, même si les utilisateurs suppriment l'IP ils passeront par le proxy ?


merci de ton aide
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar scarabaeus » 13 Fév 2008 16:48

mais du coup a quoi elle sert cette commande :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar dsbsystem » 13 Fév 2008 18:50

scarabaeus a écrit:je coche cette case et les utilisateurs sont obligés de passé par le proxy ?!
Dans IE lorsque je configure le proxy, même si les utilisateurs suppriment l'IP ils passeront par le proxy ?


merci de ton aide


OUI, ce qui passe en flux http à destination du port 80 passera alors par le proxy, même si le proxy est désactivé dans le navigateur

Ce n'est pas le cas du http sécurisé ( https) ou du protocole ftp

Un proxy transparent est un logiciel capable de rediriger les connections TCP arrivant sur un port donné d'une certaine machine vers un port différent d'une autre machine, dans ce cas, votre Ipcop qui utilise par défaut le port 800 lorsque le mode transparent est coché.

Vos utilisateurs ne le savent pas d'où peut-être le terme "transparent" car aucune configuration des PC n'est alors nécessaire.

Faite un essai et regardez le journal du serveur mandataire, vous serez rassuré.
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar scarabaeus » 13 Fév 2008 23:22

eth0 correspond au green de l'ipcop ??

merci pour ton explication, lorsque j'active la case mode transparent après enregistrement de la config, le proxy me répond :

"Le Proxy Web doit fonctionner en mode non-transparent pour l'authentification "

j'ai choisi LDAP comme authentification.
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar jdh » 13 Fév 2008 23:41

Cela a été répété à plusieurs reprises sur ce site car c'est indiqué sur le site de Squid :

la méthode du "proxy transparent" est INCOMPATIBLE avec l'authentification.

(C'est d'ailleurs assez évident si on prend la peine d'y réfléchir quelques minutes, à condition de comprendre ce qu'il se passe).


Il y a, par contre, la config automatique des navigateurs à partir du système WPAD qui doit être compatible avec l'authentification. Hélas IPCOP n'incorpore pas cette technique. Mais, de même, si on se donne la peine, on peut y arriver sans trop de difficultés même si ce n'est simple. Deuxième hélas, cela ne fonctionne pas toujours bien avec les différentes versions d'Internet Explorer.

Il y a, encore quelque chose d'aisé à mettre en oeuvre pour ce but, dans un contexte de domaine Windows : l'utilisation des GPO. Cela est documenté sur le site de Microsoft.
Dernière édition par jdh le 13 Fév 2008 23:45, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar scarabaeus » 13 Fév 2008 23:45

ok d'accord merci pour ton info.

j'ai encore une autre question :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

eth0 correspond au Green d'IPCOP ?

après avoir tapé cette commande, j'aimerai obtenir toutes les règles iptables du proxy, j'ai trouvé cette commande sur internet :

iptables -L --line-numbers

mais je ne vois pas la nouvelle règle.
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar jdh » 13 Fév 2008 23:49

Mais pourquoi s'intéresser à cette ligne qui est générée AUTOMATIQUEMENT quand on coche la case "proxy transparent" ? (Enfin je peux l'imaginer).

eth0 c'est le réseau Green ? Comment répondre à cette question ? Cela dépend du choix d'interface ! Il suffit de faire, en ligne de commande, "ifconfig" pour faire la BONNE association interface <-> adressage ip <-> rôle.


Par ailleurs, encore une fois, sur le site de Squid, tout cela est parfaitement décrit.

Par ailleurs, le PREROUTING fait parti de la table "nat" et non de la table "filter" (donc il y a quelque chose à ajouter). Quand on veut comprendre iptables, un petit tour sur Christian CALECA s'impose .... (forcément)
Dernière édition par jdh le 13 Fév 2008 23:57, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar scarabaeus » 13 Fév 2008 23:53

scarabaeus a écrit:eth0 correspond au green de l'ipcop ??

merci pour ton explication, lorsque j'active la case mode transparent après enregistrement de la config, le proxy me répond :

"Le Proxy Web doit fonctionner en mode non-transparent pour l'authentification "

j'ai choisi LDAP comme authentification.


parceque j'utilise l'authentification.

eth0 peut correspondre au green ou red ca dépend, mais dans la logique ca doit être le green ou le red ??
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar jdh » 13 Fév 2008 23:58

Mais, que diable, la réponse est évidente ... si on se donne la peine de réfléchir une minute !

Le site de Chistian CALECA t'est inconnu ?



Eh oui : la case donne la réponse !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar scarabaeus » 13 Fév 2008 23:59

oui il m'est inconnu.
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar jdh » 14 Fév 2008 00:04

Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar scarabaeus » 14 Fév 2008 00:15

hyper complet le site mais avant que je trouve mon info j'en ai pour une plombe
scarabaeus
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 28 Déc 2007 14:07

Messagepar jdh » 14 Fév 2008 00:31

Mais on ne peut pas apprendre/comprendre netfilter en 5 minutes !!

Cet outil fondamental est au coeur du noyau Linux depuis la version 2.4.

Inutile d'essayer de comprendre une ligne iptables sans en apprendre les mécanismes !

Et le site de Christian CALECA est assez pédagogique ... pour autant que l'on prenne le temps de lire et de bien réfléchir à chaque phrase. Car le système est complexe par ses enjeux !

Autant prendre le temps nécessaire à bien s'imprégner de la logique du système.



Une fois bien compris les idées, les concepts, on peut instantanément dire quels paquets venant de Red ou Green doivent passer dans la règle PREROUTING ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron