Bonjour à tous !
En pre requis, je sais la place du proxy n'est pas sur l ipcop, mais faute de place, structure je dois tout mettre sur une seule machine.
Le but de l ipcop est de filtrer 3 salles informatique d'un CFA, jusque là pas de probleme. Mon seul soucis est que le filtrage n'est pas effectué sur les requetes en https
J'ai lu plusieurs doc et autre sur squid et l'iptable ...
et je souhaiterais savoir s'il est possible de forcer le passage par le proxy pour http/https/ftp.
Car les eleves sont pas si bete et connaisse la technique de https, et le second probleme est que c est un reseau p2p (en plus ipcop est dhcp et "dns"), donc pas moyen d appliquer un gpo pour les parametres du proxy soit recuperer automatique.
Donc est il possible de forcer le passage des requetes (http/https/ftp) sur le port 800 de l Ipcop (squid).
D avance merci
probleme filtrage https
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
probleme filtrage https
par chromfr » 25 Mars 2010 19:42
- chromfr
- Matelot
- Messages: 8
- Inscrit le: 25 Mars 2010 19:23
par chromfr » 25 Mars 2010 20:15
Bonjour,
on a bien essayer en enlevant le mod transparent, et la rien n'est filtré ce qui est normale.
Dite moi si je me trompe, donc je dois appliquer les regles suivante :
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to-destination 192.168.0.254:800
Si j'applique c est 3 regles, normalement tout devrait passer par le proxy ?
Merci
on a bien essayer en enlevant le mod transparent, et la rien n'est filtré ce qui est normale.
Dite moi si je me trompe, donc je dois appliquer les regles suivante :
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to-destination 192.168.0.254:800
Si j'applique c est 3 regles, normalement tout devrait passer par le proxy ?
Merci
- chromfr
- Matelot
- Messages: 8
- Inscrit le: 25 Mars 2010 19:23
par Titofe » 25 Mars 2010 20:44
Non,
Quand je dit enlevé le proxy transparent, il faut comprend qu'il faut désactivé le proxy transparent sur IPCop mais aussi qu'il faut après rentrer sur tout les navigateur les paramètres du proxy, sinon il n'y aura plus de filtrage et encore moins pour HTTPS.
Quand je dit enlevé le proxy transparent, il faut comprend qu'il faut désactivé le proxy transparent sur IPCop mais aussi qu'il faut après rentrer sur tout les navigateur les paramètres du proxy, sinon il n'y aura plus de filtrage et encore moins pour HTTPS.
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par chromfr » 25 Mars 2010 21:24
ok, merci de ta réponse.
Je vais surtout faire. On va installer BOT et bloquer le traffic https tout simplement, car en vue de nos obligations en terme d établissement scolaire je ne peux pas prendre un tel risque, car il y a aussi des élevés qui viennent avec des ordinateurs portables il doivent également être filtrer.
Donc je dois en conclure qu'il est également impossible de redirigé les port 443 pour le forcer à passer sur le port 800 ?
Je vais surtout faire. On va installer BOT et bloquer le traffic https tout simplement, car en vue de nos obligations en terme d établissement scolaire je ne peux pas prendre un tel risque, car il y a aussi des élevés qui viennent avec des ordinateurs portables il doivent également être filtrer.
Donc je dois en conclure qu'il est également impossible de redirigé les port 443 pour le forcer à passer sur le port 800 ?
- chromfr
- Matelot
- Messages: 8
- Inscrit le: 25 Mars 2010 19:23
par Titofe » 25 Mars 2010 21:48
Aucun souci, si comme vous l'avez dit vous installer BOT et donc bloquer tout trafic sortant à part l'accès au port du proxy sur l'IPCop.chromfr a écrit:... car il y a aussi des élevés qui viennent avec des ordinateurs portables il doivent également être filtrer.
Quelle est la différence entre le port 443 tcp et https?chromfr a écrit:... Donc je dois en conclure qu'il est également impossible de redirigé les port 443 pour le forcer à passer sur le port 800 ?
Sinon oui il est possible de forcé le https à passer par le proxy comme je vous l'ai indiquez plus haut.
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par jdh » 26 Mars 2010 09:11
Comment fonctionne un proxy transparent ? Pourquoi un proxy transparent ne fonctionne qu'avec http ?
* Comment fonctionne un proxy transparent ?
Chaque paquet http sont de la forme : ip source=lan, ip dest=internet, proto=tcp, port dest=80.
Ces paquets sont "déroutés" en changeant ip dest=127.0.0.1 c'est à dire ipcop et port dest=800 c'est à dire squid.
Ces paquets arrivent donc dans squid.
Or dans le contenu du premier paquet, il y a explicitement la requête réelle GET http://www.google.fr.
Squid a quelques paramètres précis qui lui permettent de lire cette demande et de faire lui-même la requête.
Au retour, il suffit d'envoyer le résultat à ip source = le pc qui faisait la requête.
Bingo !
* Pourquoi un proxy transparent ne fonctionne qu'avec http ?
La réussite repose sur le fait que dans le premier paquet, la requête réelle soit présente en clair.
(Donc l'ip dest a pu être changé sans que cela pose problème.)
Ce n'est pas le cas pour ftp (pas de requête en clair), ni en http avec authentification (requête différente pour simplifier), ni en https (c'est forcément crypté).
Point barre.
BOT est une nécessité car les politiques par défaut d'ipcop sont laxistes (tout autorisé de Green vers Red par exemple !).
* Comment fonctionne un proxy transparent ?
Chaque paquet http sont de la forme : ip source=lan, ip dest=internet, proto=tcp, port dest=80.
Ces paquets sont "déroutés" en changeant ip dest=127.0.0.1 c'est à dire ipcop et port dest=800 c'est à dire squid.
Ces paquets arrivent donc dans squid.
Or dans le contenu du premier paquet, il y a explicitement la requête réelle GET http://www.google.fr.
Squid a quelques paramètres précis qui lui permettent de lire cette demande et de faire lui-même la requête.
Au retour, il suffit d'envoyer le résultat à ip source = le pc qui faisait la requête.
Bingo !
* Pourquoi un proxy transparent ne fonctionne qu'avec http ?
La réussite repose sur le fait que dans le premier paquet, la requête réelle soit présente en clair.
(Donc l'ip dest a pu être changé sans que cela pose problème.)
Ce n'est pas le cas pour ftp (pas de requête en clair), ni en http avec authentification (requête différente pour simplifier), ni en https (c'est forcément crypté).
Point barre.
BOT est une nécessité car les politiques par défaut d'ipcop sont laxistes (tout autorisé de Green vers Red par exemple !).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par chromfr » 27 Mars 2010 12:44
Merci a tous pour vos reponses.
Après lecteur de plusieurs doc et vos messages voici la solution que je vais employé.
- Installation de bot sur l'IPCOP.
- Bloquer tous le traffic sortant.
- Supprimer le proxy transparent.
- Mise en place sur le serveur web de l'IPCOP du wpad, pour permettre la detection automatique du proxy.
Que pensez vous de cette solution ?
Après lecteur de plusieurs doc et vos messages voici la solution que je vais employé.
- Installation de bot sur l'IPCOP.
- Bloquer tous le traffic sortant.
- Supprimer le proxy transparent.
- Mise en place sur le serveur web de l'IPCOP du wpad, pour permettre la detection automatique du proxy.
Que pensez vous de cette solution ?
- chromfr
- Matelot
- Messages: 8
- Inscrit le: 25 Mars 2010 19:23
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité