[résolu] Proxy transparent pour le réseau sauf site en ajax

[whitewater]

Bonjour à tous,

suite à mon problème que voici, http://forums.ixus.fr/viewtopic.php?t=39973, je me demande...
est il possible d'activer le proxy ipcop en mode transparent pour tout le réseau
ne pas faire passer un poste par le proxy pour aller sur le net. Par une règle de routage avec BOT ou au pire manuellement sur iptable.

à bientôt

[bodhiryu-sama]

inscrire son ip dans ip non restreinte dans le proxy avancé?non?

[whitewater]

Salut bodhiryu-sama,

j'ai essayé de mettre mon ip et en plus mon adresse MAC dans "Adresses IP non restreintes" et "Adresses MAC non restreintes".
çà ne marche pas non plus, l'ordi passe par le proxy. la preuve en regardant "journaux du serveur mandataire".

dans l'aide d'advanced proxy, ces restriction correspondent à :
Unrestricted IP addresses : All client IP addresses in this list will override global restrictions.

je pense que c'est pour que l'adresse en question passe outre les règles de filtrage et non le proxy.
c'est le routage d'ipcop qui reroute le port 80 vers le port 800 du proxy.

apparament ce n'est pas une option pour indiquer de ne pas passer par le proxy. je ne sais pas s'il en existe une sur squid.
j'ai également essayé "Ne pas mettre en cache ces domaines" avec le domaine (meme précédé d'une *), rien

[whitewater]

possible ?

[m2nis]

possible ?

Je ne vois pas bien comment, à moins peut-être de se palucher une règle à la mano dans iptable. Je ne vois pas bien l'intérêt non plus. Ne pas apparaître dans les logs de squid sans doute ?

[whitewater]

Salut m2nis. l'intérêt, pour contourner le problème que j'expose dans :

http://forums.ixus.fr/viewtopic.php?t=39973

cf mon 1er texte
as tu une idée de la règle iptable ?

[m2nis]

as tu une idée de la règle iptable ?

Non, pas franchement. Et le bon positionnement d'une telle règle n'est pas forcément le plus aisé non plus.

Mais personnellement, à la lecture du fil indiqué, je rechercherai l'explication du dysfonctionnement plutôt que d'essayer de le contourner...

[whitewater]

je rechercherai l'explication du dysfonctionnement plutôt que d'essayer de le contourner...

je n'ai pas manqué de le faire, sans succès.
je donne quelques pistes avec quelques liens de personnes qui ont le même problème. j'ai pas mal cherché sur google, de lien en lien... rien. je préfèrerai de loin une modif de la conf du proxy. mais s'il n'y a pas de solution, il me reste iptable.

[whitewater]

j'ai vu dans /etc/rc.d/rc.firewall le code suivant :

Code: Tout sélectionner

   # Custom prerouting chains (for transparent proxy and port forwarding)
   /sbin/iptables -t nat -N SQUID
   /sbin/iptables -t nat -A PREROUTING -j SQUID
   /sbin/iptables -t nat -N PORTFW
   /sbin/iptables -t nat -A PREROUTING -j PORTFW

si je met en commentaire les lignes avec un # devant, le proxy n'est pas activé même s'il est coché dans le webGUI. cette partie agie bien sur le proxy.

j'aimerai savoir :
- est ce que ce fichier en génère un autre pour la liste des règles iptables ?
- dois je modifier ce fichier ou un autre pour mettre une exeption sur une ip pour le proxy transparent ?

merci

[tomtom]

Tu peux le modifier, mais il risque d'etre ecrasé lors de mises à jour/configurations.

En revanche, modifier simplement la seconde ligne :

Code: Tout sélectionner

  /sbin/iptables -t nat -A PREROUTING -s ! ip_a_ne_pas_squider -j SQUID


devrait resoudre ton problème... Cependant, il serait proablement plus intelligent de rajouter des règles spécifiques dans un fichier de règles "utilisatuer" (il doit en exister un, type rc.firewall.local ou autres... )


t.

[whitewater]

merci tomtom. je viens de trouver ceci :

Code: Tout sélectionner

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d siteabypasser.com -j RETURN

çà correspond mieux à ce que je cherche puisque la règle travaille sur le site à atteindre et non sur l'ip source.

j'ai ajouté cette règle juste avant les 4 lignes concernant le proxy dans /etc/rc/rc.firewall.

pour la valider, j'ai :
- fait un /etc/rc/rc.firewall restart
- après cette commande, les sites distant de mon réseau n'ont plus accès à mon intranet alors que le vpn est actif ?
- du coup j'ai désactiver et réactiver un vpn, un transfert de port. puis c'est ok.

et là çà marche :
- les PC passent par le proxy, vérifié par les logs et un filtrage url activé.
- le site en question marche bien

il me reste à redémarrer Ipcop pour voir si c'est bien OK. j'attend le bon moment ou entre midi et 2.
je vous tiens au courant. après ce redémarrage et avant de mettre résolu.

en tout cas, merci quand même tomtom

[whitewater]

je touche presque au but :
un redémarrage m'efface la conf

j'ai essayé en ajoutant la règle dans rc.firewall.local, çà ne marche pas non plus.

pour que la commande fonctionne, voila ce que fait :
- ajout de la règle iptables dans le fichier avant les 4 lignes du proxy
- fait un /etc/rc.d/rc.firewall restart
cette commande annule pas mal de chose :
les sites distant n'ont plus accès à un intranet.
le proxy transparent n'est plus activé

pour remettre çà, je fais ensuite :
- désactiver et réactiver un vpn
- sauvegarder la conf d'Advanced Proxy. sinon, le proxy n'est pas activé.

et là tout est ok jusqu'au prochain redémarrage d'Ipcop.

question ultime :
quelqu'un saurait ce que je dois modifier pour ajouter ma règle iptable (ou la mettre ailleur) pour :
- qu'elle soit prise en compte au démarrage d'ipcop
- ne mette pas "la pagaille" dans mes vpn
- ne désactive pas le proxy

merci

[whitewater]

une idée pour la ligne a rajouter dans le bon fichier pour garder ma conf ? merci

[whitewater]

langue au chat.
j'avais mis la ligne au bon endroit :

Code: Tout sélectionner

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d siteabypasser.com -j RETURN


avant les 4 lignes pour le proxy dans /etc/rc.d/rc.firewall.

la solution :
mettre l'adresse IP au lieu du nom de domaine. normal, puisque le dns ne marche pas encore...

Code: Tout sélectionner

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d <adresseip> -j RETURN


solution pratique pour éviter de planter sur un site en ajax et garder son proxy en mode transparant.
bon surf à tous