passage obligé

par **samuelB** » 23 Juin 2003 16:28

bon voici mon probleme à resoudre : (qui pour certain paraitra certainement facile) j'ai configuré squid et squidguard pour avoir un proxy qui filtre et interdit les sites pornos, etc... tout fonctionne correctement (filtrage,rediction vers une page d'interdiction ...) maintenant je souhaite obliger tout le monde à passer par le proxy xx.xx.xx.xx:8080 pour accéder à internet et non directement par le routeur ADSL sachant que je possède deux cartes réseaux , le tout sur mandrake 9.1 j'ai bien entendu parler de NAT mais i l m'en faudrait un peu plus... entendant je cherche encore ... merci d'avance à tous <IMG SRC="images/smiles/icon_up.gif">

par **Rbill** » 23 Juin 2003 16:39

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-23 16:28, samuelB a écrit: maintenant je souhaite obliger tout le monde à passer par le proxy xx.xx.xx.xx:8080 pour accéder à internet et non directement par le routeur ADSL </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Donc 2 pc distinct! Pourquoi pas une regle à base d'iptable qui interdirait toute connection port 80 de ton reseau local en direction de ton routeur hormis l'adresse de ton proxy.

par **tomtom** » 23 Juin 2003 18:23

Soit tu intercales ta mandrake (ou tu mets ipcop) entre ton reseau et ton routeur, tu fais effectivement du nat (ce que fait par ailleurs deja ton routeur adsl je suppose), et tu utilises une redirection (proxy transparent). Soit effectivement tu bloques au niveau du routeur tout ce que ne provient pas du proxy sur le port 80 (impose que ton routeur fasse egalement firewall). T.

par **remi** » 23 Juin 2003 18:28

le plus facile comme l'a dit tomtom est de faire : internet---routeur---passerelle(mndrake)---réseau tu donne a ta mandrake l'@IP du routeur et tu mets cette regle iptable : /sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

par **samuelB** » 25 Juin 2003 17:33

merci pour les reponses par contre j'ai effectuer la ligne de commande qui m'a été indiquée mais sans succés. mon serveur fait bien office de passerrelle(config d'une station cliente windows) mais pas de redirection vers le proxy eth0 fonctionne bien en interface par acceder au routeur et eth1 comme passerelle pour le réseau local. en passant par la config d'internet explorer sur la station cliente le proxy fonctionne bien. il me manque donc la bonne ligne à inserer au bon endroit pour forcer tout ce qui arrive sur eth1 à passer par le proxy avant d'aller au routeur pour sortir .(nat j'image mais suis pas un expert ) encore merci d'avance. (un autodidacte de linux qui vous est trés reconnaissant ) <IMG SRC="images/smiles/icon_wink.gif">

par **samuelB** » 25 Juin 2003 17:33

merci pour les reponses par contre j'ai effectuer la ligne de commande qui m'a été indiquée mais sans succés. mon serveur fait bien office de passerrelle(config d'une station cliente windows) mais pas de redirection vers le proxy eth0 fonctionne bien en interface par acceder au routeur et eth1 comme passerelle pour le réseau local. en passant par la config d'internet explorer sur la station cliente le proxy fonctionne bien. il me manque donc la bonne ligne à inserer au bon endroit pour forcer tout ce qui arrive sur eth1 à passer par le proxy avant d'aller au routeur pour sortir .(nat j'image mais suis pas un expert ) encore merci d'avance. (un autodidacte de linux qui vous est trés reconnaissant ) <IMG SRC="images/smiles/icon_wink.gif">

par **tomtom** » 25 Juin 2003 17:41

Si c'est eth1 qui est sur le lan alors retapes la ligne donnée par Remi, mais avec eth1 à la place de eth 0;) T.

par **samuelB** » 25 Juin 2003 18:03

c'est bien ce que j'avais pensé et j'avais effectivement changé eth0 en eth1 en saisissant exactement dans une console en tant que root : /sbin/iptables -t nat PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 mais pas de changement suis un peu perdu <IMG SRC="images/smiles/icon_confused.gif">

par **samuelB** » 25 Juin 2003 18:12

j'annule mon précedent message cette fois ci le proxy semble tout bloquer puique j'ai systématiquement une redirection vers ma page personnalisée de refus d'accés au site demandé comme s'il s'agissait d'un site porno et quelque soit le site demandé. et si je reconfigure ie sur le client pour utiliser directement le proxy tout fonctionne normalement. donc actuellement redirection vers le proxy systematique efficace, mais un peu trop puisque bloque tout. ???? <IMG SRC="images/smiles/icon_confused.gif">

par **tomtom** » 25 Juin 2003 19:44

Tu peux me montrer 1- le resultat d'un iptables -t nat -L -v -n 2- ton squid.conf On va voir ce qui bloque <IMG SRC="images/smiles/icon_wink.gif"> T.

par **remi** » 26 Juin 2003 08:22

Oui, cette regle fait juste rediriger tout ce qui arrive pour le port 80 cote green vers le ports 8080 que dansguardian utilise

par **samuelB** » 26 Juin 2003 10:05

voici le resultat de la commande : Chain PREROUTING (policy ACCEPT 14728 packets, 1903K bytes) pkts bytes target prot opt in out source destination 105 4880 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080 Chain POSTROUTING (policy ACCEPT 1658 packets, 130K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1529 packets, 134K bytes) pkts bytes target prot opt in out source destination mon fichier squid.conf: #port sur lequel le proxy écoute les clients Web http_port 8080 #port sur lequel le proxy va dialoguer avec les autres proxy du réseau #icp_port 3130 #ne pas utiliser le cache pour ? et .cgi hierarchy_stoplist cgi-bin ? .cgi #mémoire RAM allouée au proxy cache_mem 50 MB #taille maximale des fichiers qui seront enregistrés dans le cache maximum_object_size 4096 KB #répertoire dans lequel seront stockés les fichiers enregistrés. #dans cet exemple, la taille maximale de ce répertoire sera de 1Go - il y aura #16 sous divisions dans /var/spool/squid - et il y aura 256 divisions dans ces #16 sous divisions cache_dir ufs /var/spool/squid 1000 16 256 #fichiers de log nécessaires pour contrôler le fonctionnement du cache cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log #localisation de la table MIME de squid mime_table /etc/squid/mime.conf #informations relatives au processus pid_filename /var/run/squid.pid debug_options ALL,1 #listes d'accès acl allowed_hosts src 10.14.10.0-10.14.10.250/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255 acl manager proto cache_object acl all src 10.14.10.0-10.14.10.250/255.255.255.255 acl SSL_ports port 443 563 acl safe_ports port 80 21 443 563 70 210 1025-65535 acl CONNECT method CONNECT acl porn url_regex "/etc/squid/porn.txt" acl notporn url_regex "/etc/squid/noporn.txt" #autorisation/interdiction des listes définies http_access allow manager localhost http_access allow manager allowed_hosts http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow notporn allowed_hosts http_access deny porn http_access deny !allowed_hosts #email du manager du cache cache_mgr root #nom (virtuel) du cache visible_hostname intranet.eplea.vire #rotation des fichiers log logfile_rotate 2 redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf httpd_accel_with_proxy off httpd_accel_uses_host_header off httpd_accel_single_host off vu le resultat de la commande il me semble bien qu'il y ai un probleme merci pour votre aide précieuse... <IMG SRC="images/smiles/icon_biggrin.gif">

par **tomtom** » 26 Juin 2003 10:26

La redirection a l'air OK... Par contre c'est quoi les adresses / masques sur ton green ? T.

par **remi** » 26 Juin 2003 10:47

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-25 18:12, samuelB a écrit: j'annule mon précedent message cette fois ci le proxy semble tout bloquer puique j'ai systématiquement une redirection vers ma page personnalisée de refus d'accés au site demandé comme s'il s'agissait d'un site porno et quelque soit le site demandé. et si je reconfigure ie sur le client pour utiliser directement le proxy tout fonctionne normalement. donc actuellement redirection vers le proxy systematique efficace, mais un peu trop puisque bloque tout. ???? <IMG SRC="images/smiles/icon_confused.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oui, mais la ca vient de ta configuration dansguardian...

par **samuelB** » 26 Juin 2003 16:15

c'est fort : la passerelle fonctionne , il y a une redirection vers le port 8080 (proxy) lorsque je passe sur un client windows sur lequel je configure la passerelle de maniere à ce qu'elle corresponde à mon eth1 tout est bloqué sauf si je configure internet explorer pour qu'il utilise le proxy , alors tout fonctionne normalement . probleme, je ne veux pas passer par cette manip car elle serait trop facile à contourner pour mes postes clients. par ailleurs pour le filtrage j'utilise squidguard qui fonctionne correctement lorque ie est configuré pour passé par le proxy (même avec la passerelle correspondant à eth1) Bon, si vous étiez plus proches je vous inviterez à prendre une bière bien fraiche pour y voir un peu plus clair !!! <IMG SRC="images/smiles/icon_eek.gif">

passage obligé

Qui est en ligne ?