[résolu] Proxy transparent pour le réseau sauf site en ajax

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[résolu] Proxy transparent pour le réseau sauf site en ajax

Messagepar whitewater » 20 Fév 2008 17:04

Bonjour à tous,

suite à mon problème que voici, http://forums.ixus.fr/viewtopic.php?t=39973, je me demande...
est il possible d'activer le proxy ipcop en mode transparent pour tout le réseau
ne pas faire passer un poste par le proxy pour aller sur le net. Par une règle de routage avec BOT ou au pire manuellement sur iptable.

à bientôt
Dernière édition par whitewater le 21 Mars 2008 17:31, édité 1 fois au total.
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar bodhiryu-sama » 20 Fév 2008 17:11

inscrire son ip dans ip non restreinte dans le proxy avancé?non?
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33

Messagepar whitewater » 20 Fév 2008 18:13

Salut bodhiryu-sama,

j'ai essayé de mettre mon ip et en plus mon adresse MAC dans "Adresses IP non restreintes" et "Adresses MAC non restreintes".
çà ne marche pas non plus, l'ordi passe par le proxy. la preuve en regardant "journaux du serveur mandataire".

dans l'aide d'advanced proxy, ces restriction correspondent à :
Unrestricted IP addresses : All client IP addresses in this list will override global restrictions.

je pense que c'est pour que l'adresse en question passe outre les règles de filtrage et non le proxy.
c'est le routage d'ipcop qui reroute le port 80 vers le port 800 du proxy.

apparament ce n'est pas une option pour indiquer de ne pas passer par le proxy. je ne sais pas s'il en existe une sur squid.
j'ai également essayé "Ne pas mettre en cache ces domaines" avec le domaine (meme précédé d'une *), rien :cry:
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar whitewater » 25 Fév 2008 18:00

possible ?
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar m2nis » 26 Fév 2008 08:54

whitewater a écrit:possible ?

Je ne vois pas bien comment, à moins peut-être de se palucher une règle à la mano dans iptable. Je ne vois pas bien l'intérêt non plus. Ne pas apparaître dans les logs de squid sans doute ?
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Re: Proxy transparent - tout le réseau sauf 1 poste. possibl

Messagepar whitewater » 26 Fév 2008 09:10

Salut m2nis. l'intérêt, pour contourner le problème que j'expose dans :



cf mon 1er texte ;-)
as tu une idée de la règle iptable ?
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Re: Proxy transparent - tout le réseau sauf 1 poste. possibl

Messagepar m2nis » 26 Fév 2008 09:46

whitewater a écrit:as tu une idée de la règle iptable ?

Non, pas franchement. Et le bon positionnement d'une telle règle n'est pas forcément le plus aisé non plus.

Mais personnellement, à la lecture du fil indiqué, je rechercherai l'explication du dysfonctionnement plutôt que d'essayer de le contourner...
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Re: Proxy transparent - tout le réseau sauf 1 poste. possibl

Messagepar whitewater » 26 Fév 2008 15:10

m2nis a écrit:je rechercherai l'explication du dysfonctionnement plutôt que d'essayer de le contourner...


je n'ai pas manqué de le faire, sans succès.
je donne quelques pistes avec quelques liens de personnes qui ont le même problème. j'ai pas mal cherché sur google, de lien en lien... rien. je préfèrerai de loin une modif de la conf du proxy. mais s'il n'y a pas de solution, il me reste iptable.
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar whitewater » 29 Fév 2008 09:27

j'ai vu dans /etc/rc.d/rc.firewall le code suivant :

Code: Tout sélectionner
   # Custom prerouting chains (for transparent proxy and port forwarding)
   /sbin/iptables -t nat -N SQUID
   /sbin/iptables -t nat -A PREROUTING -j SQUID
   /sbin/iptables -t nat -N PORTFW
   /sbin/iptables -t nat -A PREROUTING -j PORTFW


si je met en commentaire les lignes avec un # devant, le proxy n'est pas activé même s'il est coché dans le webGUI. cette partie agie bien sur le proxy.

j'aimerai savoir :
- est ce que ce fichier en génère un autre pour la liste des règles iptables ?
- dois je modifier ce fichier ou un autre pour mettre une exeption sur une ip pour le proxy transparent ?

merci
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar tomtom » 29 Fév 2008 10:00

Tu peux le modifier, mais il risque d'etre ecrasé lors de mises à jour/configurations.

En revanche, modifier simplement la seconde ligne :

Code: Tout sélectionner
  /sbin/iptables -t nat -A PREROUTING -s ! ip_a_ne_pas_squider -j SQUID

devrait resoudre ton problème... Cependant, il serait proablement plus intelligent de rajouter des règles spécifiques dans un fichier de règles "utilisatuer" (il doit en exister un, type rc.firewall.local ou autres... )


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar whitewater » 29 Fév 2008 10:37

merci tomtom. je viens de trouver ceci :
Code: Tout sélectionner
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d siteabypasser.com -j RETURN

çà correspond mieux à ce que je cherche puisque la règle travaille sur le site à atteindre et non sur l'ip source.

j'ai ajouté cette règle juste avant les 4 lignes concernant le proxy dans /etc/rc/rc.firewall.

pour la valider, j'ai :
- fait un /etc/rc/rc.firewall restart
- après cette commande, les sites distant de mon réseau n'ont plus accès à mon intranet alors que le vpn est actif ?
- du coup j'ai désactiver et réactiver un vpn, un transfert de port. puis c'est ok.

et là çà marche :
- les PC passent par le proxy, vérifié par les logs et un filtrage url activé.
- le site en question marche bien :D

il me reste à redémarrer Ipcop pour voir si c'est bien OK. j'attend le bon moment ou entre midi et 2.
je vous tiens au courant. après ce redémarrage et avant de mettre résolu.

en tout cas, merci quand même tomtom :wink:
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

ou mettre ma règle iptable ?

Messagepar whitewater » 29 Fév 2008 12:24

je touche presque au but :
un redémarrage m'efface la conf :(

j'ai essayé en ajoutant la règle dans rc.firewall.local, çà ne marche pas non plus.

pour que la commande fonctionne, voila ce que fait :
- ajout de la règle iptables dans le fichier avant les 4 lignes du proxy
- fait un /etc/rc.d/rc.firewall restart
cette commande annule pas mal de chose :
les sites distant n'ont plus accès à un intranet.
le proxy transparent n'est plus activé

pour remettre çà, je fais ensuite :
- désactiver et réactiver un vpn
- sauvegarder la conf d'Advanced Proxy. sinon, le proxy n'est pas activé.

et là tout est ok jusqu'au prochain redémarrage d'Ipcop.

question ultime :
quelqu'un saurait ce que je dois modifier pour ajouter ma règle iptable (ou la mettre ailleur) pour :
- qu'elle soit prise en compte au démarrage d'ipcop
- ne mette pas "la pagaille" dans mes vpn
- ne désactive pas le proxy

merci :D
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar whitewater » 07 Mars 2008 11:22

une idée pour la ligne a rajouter dans le bon fichier pour garder ma conf ? merci
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00

Messagepar whitewater » 21 Mars 2008 17:30

langue au chat.
j'avais mis la ligne au bon endroit :
Code: Tout sélectionner
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d siteabypasser.com -j RETURN


avant les 4 lignes pour le proxy dans /etc/rc.d/rc.firewall.

la solution :
mettre l'adresse IP au lieu du nom de domaine. normal, puisque le dns ne marche pas encore...

Code: Tout sélectionner
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d <adresseip> -j RETURN


solution pratique pour éviter de planter sur un site en ajax et garder son proxy en mode transparant.
bon surf à tous ;-)
Avatar de l’utilisateur
whitewater
Major
Major
 
Messages: 78
Inscrit le: 09 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité