Question de proxy.

par **1ternet** » 07 Nov 2003 14:52

J'aimerais savoir si quelqu'un peux m'expliquer plus en détails la fonctionnalitées du proxy transparent à défaut du proxy normal. Merci.

par hb » 07 Nov 2003 14:59

je ne voudrais pas trop m'avancer, mais : un proxy "normal" tu le defini dans le browserde ton client pour t'en servir. un proxy "transparent" est utilisé QQ soit ta config dans ton browser, puisque c'est ta passerelle, tu passes forcement par lui, donc tu ne peux pas l'eviter, et ainsi tout est loggué !

par **Gesp** » 07 Nov 2003 15:07

Pas tout à fait. - non transparent, il faut configurer une adresse de proxy - transparent, il ne faut pas configurer d'adresse de proxy mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip

par hb » 07 Nov 2003 15:10

Ah ! et comment qu'on fait pou eviter un proxy transparent ?

par **tomtom** » 07 Nov 2003 15:22

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-07 14:07, Gesp a écrit: Pas tout à fait. - non transparent, il faut configurer une adresse de proxy - transparent, il ne faut pas configurer d'adresse de proxy mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> En transparent, c'est impossible de contourner le proxy ! t.

par **1ternet** » 07 Nov 2003 16:10

Merci de votre aide pour avoir éclairé ma lanterne. Je vais donc installé un proxy transparent.

par **carbone** » 07 Nov 2003 16:18

En transparant, i lest possible d'éviter le proxy!! il suffit d'en spécifier un autre dans son browser et on passera par celui-là et non par le transparent (sauf en cas d'utilisation de Dans je pense)

par **Gesp** » 07 Nov 2003 16:19

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> j'étais sùr que tu me corrigerais si je disais une bétise <IMG SRC="images/smiles/icon_biggrin.gif"> alors je reformule : mais dans le cas de Dansguardian, les gens peuvent adresser directement le proxy (port 800), ce qu'une installation correcte de Dansguardian interdit de faire. /sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -p tcp --dport 80 -j REDIRECT --to-port 8080 <=redirige le port 80 vers Dansguardian /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP <=interdit l'accès direct à Squid /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP /sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP concernant les 3 derniers ports, je ne sais pas à quoi cela sert

par **tomtom** » 07 Nov 2003 17:29

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-11-07 15:18, carbone a écrit: En transparant, i lest possible d'éviter le proxy!! il suffit d'en spécifier un autre dans son browser et on passera par celui-là et non par le transparent (sauf en cas d'utilisation de Dans je pense) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Sauf que le proxy doit lui mêem passer par ton proxy pour aller sur le net (en supposant bien sur que tu controles le lien vers le net !!) donc dans tout les cas tu peux exercer ton controle ! t.

par **Gesp** » 07 Nov 2003 20:59

ce ne serait pas possible de rerouter localement vers un autre port qui ne serait pas écouté par le proxy à la sortie du domaine (dans la mesure ou tous les ports en dehors du proxy ne sont pas filtrés) puis d'utiliser un proxy externe qui ferait la translation inverse? C'est juste pour le coté sport cérébral <IMG SRC="images/smiles/icon_biggrin.gif"> Je sais qu'il y a des stagiaires qui se sont fait virés dans ma boite pour avoir tenté de contourner les protections mises en place.

par hb » 07 Nov 2003 21:28

et bien quand je fait du DL en FTP, j'ai aucune trace dans IPCOP. donc ton raisonnement tient la route... Mais attaquer un proxy externe, en port autre chose qu'un HTTP, faut voir ! c'est surtout qu'IPCOP laisse passer se qu'il ne connait pas (telnet, ftp, smtp, ...) au boulot, par exemple, mon proxy (pas ipcop) ne laisse passer que le http, https et le ftp, tout le reste est dropé.

par **grome** » 07 Nov 2003 21:37

Salut à tous J'ai peur tout d'un coup. Hb quand tu dis que Ipcop laisse passer ce qu'il ne connait pas, cà signifie quoi ? Qu'ipcop n'est pas une solution sécurisante. J'ai compris que de l'interieur vers l'exterieur il laisse passer ce qu'il ne connait pas. On parle bien du module Proxy ? Je suis débutant en matière de sécurité et pour l'instant j'utilise Ipcop chez moi avec une connexion rtc.

par **Gesp** » 07 Nov 2003 22:32

IPcop laisse tout passer en sortie , ce qu'il connait et ce qu'il ne connait pas. La seule tentative était de ne laisser sortir que vers des adresses publiques mais c'est difficilement applicable dans tous les cas de configuration (par exemple les modem routeurs ont une adresse privée).

par hb » 07 Nov 2003 23:24

merci d'avoir préciser Gesp, effectivement je parlais de 'tout laisser sortir' le module proxy log ce qui est en protocole http, mais si ce n'est pas du http, le module proxy n'a aucun role, par contre ipcop joue d'autres roles, tel que relayer le pacquet vers la destination, que ce soit du http ou tout autre chose.

par **kagou** » 07 Nov 2003 23:39

On doit pouvoir "passer" à travers un proxy transparent, si on utilise un tunnel encrypté avec un proxy situé à la maison par exemple. Je dis passer car il verra bien le traffic mais n'y comprendra rien non ?! Et si je visite des sites en https:// ??? je ne pense pas que le proxy transparent puisse stocker mon numéro de carte bleu non ?!

Question de proxy.

Qui est en ligne ?