Squid transparent fonctionne mal

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar svart » 24 Sep 2003 18:28

Salut, <BR> <BR>A posteriori, le mode transparent pour ProxyWeb (Squid) dans MNF ne marche pas. <BR> <BR>J'ai fait une recherche sur les forums et j'ai trouvé un message de Jacques expliquant que pour bien vérifier le problème, il fallait aller regarder /var/log/squid/access.log <BR> <BR>J'ai laissé Squid tourner en mode transparent. <BR> <BR>Je tapes une adresse bidon en .com, comme ça je vais retomber chez verisign, et j'ai bloqué verisign.com dans le controle d'url => Si je vois verisign, Squid ne fait pas son boulot. Si je vois la page access denied, Squid fonctionne. <BR> <BR>A chaque essai, je vais également regarder le log access.log et je fais l'essai avec IE 6, Netscape 6 et Mozilla je sais plus combien. <BR> <BR>Résultat des courses : si je laisse les navigateurs trouver le proxy eux-même (ou le proxy intercepter les requêtes, plus certainement!) rien n'apparait dans le log et les url ne sont pas filtrés. Pas de proxy en fait. Ca passe parce que shorewall est éteint. <BR> <BR>Si je précise IP et port 3328 dans les paramètres proxy des navigateurs, les urls sont filtrés, verisign perd une requête (yes!) et mon journal s'ajoute de deux lignes : la première de reception de la requête, la seconde de renvoi vers 127.0.0.1 (la page d'acces denied). <BR> <BR>Voilà le souci, <BR> <BR>1) mon test est-il valide ? <BR>2) S'il est valide, existe-t-il un moyen de paramétrer les navigateurs client 'automatiquement' sans se taper chaque poste à la main, par un script ou par DHCP ? <BR> <BR>Simon <IMG SRC="images/smiles/icon_cry.gif">
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar Jacques- » 24 Sep 2003 20:21

Si shorewall est en mode clear, aucun paquet n'est intercepté par netfilter, et donc rien n'est rerouté vers le proxy. <BR>Le mode transparent est en fait une redirection du port 80 (qui doit être bloqué LAN -> WAN) vers le port interne du proxy. Ensuite squid fait la requête (FW -> WAN ouvert pour le 80) et retourne la réponse. <BR> <BR>Vérifie déjà cela en gestion. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar svart » 25 Sep 2003 11:09

C'est tout à fait juste Jacques, merci. Mille fois. Si,si, c'est ton influence qui m'a décidé à lancer shorewall pour voir si ça marchait bien tout ça. J'avais eu des mauvaises surprises alors j'ai ajouté deux regles basées sur l'IP de mon poste, le port SSH et tcp:8843 pour être bien sur d'accéder à l'interface ou à la console. <BR> <BR>Après avoir ajouté des regles : <BR>fw > WAN tcp et udp domain <BR>WAN > fw tcp et udp domain (quatres règles en tout, est-ce correct ?) <BR> <BR>Après un temps de latence et quelques shorewall restart, j'ai vu la première page web apparaitre. J'ai testé Squid qui marche à merveille. <BR> <BR>Une question : n'est-ce pas ci dessous la même règles (l'une est crée par mnf, l'autre par moi) <BR> <BR>ACCEPT:info fw wan tcp http <BR>ACCEPT fw wan tcp www <BR> <BR>Merci à tous car entre mes questions (idiotes parfois) et la lecture intensive des posts du forum, MNF marche comme je l'espérais (DNS et DHCP mis à part, mais je ne désespère pas de trouver les fichiers de config !). <BR> <BR>Merci Inux et participants. <BR>
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron