proxyweb + passerelle

[lilouk]

salut à tous, <BR> <BR>voila ma config : <BR> <BR>j'utilise mnf comme passerelle ( 192.168.1.6), <BR> <BR>au niveau des clients windows j'ai configurer les cartes reseau comme suit: <BR> <BR>exemple: 192.168.1.10 avec comme passerelle 192.168.1.6 (MNF) <BR> <BR>et au niveau d'intenet explorer j'ai configurer la connexion avec un proxy : <BR> <BR>192.168.1.6 port 3328 <BR> <BR>donc tout fonctionne parfaitement ( le web et le mail), mais mon soucis c que certains clients de mon reseau arrive à surfer (web) sans configurer de proxy <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>la question : est-il possible d'empecher les clients qui n'ont pas configurer de proxy d'aller surfer (web) ? <BR> <BR>merci d'avance <BR> <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">

[nemesis]

il est en mode transparent?

[lilouk]

non manuel

[remi]

est ce que ca ne viendrai pas de la detection parametres proxy automatiques ??

[FJ]

effectue un filtrage de paquets

[lilouk]

je n'utilise pas la detection des parametres de proxy,

[tomtom]

Ben oui, il faut que tu bloques le forward des paquets ! <BR> <BR>Ex : pour bloquer uniquement le web : <BR> <BR>iptables -I forward -p tcp --dport 80 -j DROP <BR> <BR>pour tout bloquer : <BR> <BR>iptables -I forward -j DROP <BR>(aye aye <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR> <BR>Bon, sinon, IPCop n'etant pas fait pour ce genre de manip, je te conseille de mettre ton proxy en transparent : Cela redirigera tous les paquets pour le web vers le proxy, sans aucune configuration des clients ! <BR> <BR>Tom

[lilouk]

merci pour les reponses, alors comment je bloque le forward des paquets avec mnf tout en gardant le proxy manuel ? <BR> <BR>merci

[Jacques-]

Toute machine qui connait l'adresse du routeur, dont les paquets ne sont pas filtrés en 80 et qui est capable de résoudre l'adresse des sites elle-même (requête DNS autorisées) est capable de se débrouiller toute seule sans passer par le proxy. <BR>La solution est de bloquer le port 80 (et le 443) du Lan vers le Wan et de n'autoriser que le FW à accéder au Wan sur le 80. Cela devrait régler ton problème. <BR> <BR>Jacques <BR> <BR>Autre méthode, bloquer les requêtes DNS mais tu n'empêcheras pas d'utiliser le fichier hosts.

[lilouk]

jaques, <BR>en mnf tu fais ça comment ? <BR> <BR> <BR>merci

[tomtom]

J'ai donné la reponse 2 postes plus haut pour bloquer tous les transferts vers le port 80 !!! <BR> <BR>Jaques, je ne suis pas tout à fait d'accord, la solution consistant à mettre le proxy en transparent et à faire du redirect est également très efficace ! <BR> <BR>Tom

[lilouk]

ça marche en utilisant la methode de jaques, <BR> <BR>j'ai fait les choses suivantes: <BR> <BR>lan wan http reject <BR>lan wan https reject <BR> <BR>fw wan http accept <BR>fw wan https accept <BR> <BR>et ça marche nikel <BR> <BR> <BR>merci à vous tous, <BR> <BR>ce forum est vraiment super genial (reactif, riche)

[Jacques-]

TomTom, entièrement d'accord sur l'efficacité du redirect pour faire du proxy transparent. <BR>Le gros avantage du proxy transparent est qu'il évite de devoir modifier le paramétrage des postes clients. <BR>Son gros inconvénient (en entreprise) est qu'il est perçu comme une tentative d'espionnage à l'insu des utilisateurs, puisqu'ils ignorent qu'ils sont filtrés. C'est pour cela qu'il est souvent inutilisé dans les grosses boites (pressions syndicales, ou envie de ne pas devoir affronter le risque d'une contestation). <BR> <BR>A priori, sa configuration était déjà faite en mode non transparent, il suffisait donc de bloquer le http, pour qu'il n'ait pas besoin de repasser sur toutes ces machines. <BR> <BR>Jacques