Question de proxy.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar 1ternet » 07 Nov 2003 14:52

J'aimerais savoir si quelqu'un peux m'expliquer plus en détails la fonctionnalitées du proxy transparent à défaut du proxy normal. <BR> <BR>Merci.
Pas de bras, pas de chocolat !!!
Avatar de l’utilisateur
1ternet
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 05 Nov 2003 01:00

Messagepar hb » 07 Nov 2003 14:59

je ne voudrais pas trop m'avancer, mais : <BR>un proxy "normal" tu le defini dans le browserde ton client pour t'en servir. <BR>un proxy "transparent" est utilisé QQ soit ta config dans ton browser, puisque c'est ta passerelle, tu passes forcement par lui, donc tu ne peux pas l'eviter, et ainsi tout est loggué !
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar Gesp » 07 Nov 2003 15:07

Pas tout à fait. <BR>- non transparent, il faut configurer une adresse de proxy <BR>- transparent, il ne faut pas configurer d'adresse de proxy <BR> mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar hb » 07 Nov 2003 15:10

Ah ! et comment qu'on fait pou eviter un proxy transparent ?
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar tomtom » 07 Nov 2003 15:22

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-11-07 14:07, Gesp a écrit: <BR>Pas tout à fait. <BR>- non transparent, il faut configurer une adresse de proxy <BR>- transparent, il ne faut pas configurer d'adresse de proxy <BR> mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>En transparent, c'est impossible de contourner le proxy ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar 1ternet » 07 Nov 2003 16:10

Merci de votre aide pour avoir éclairé ma lanterne. Je vais donc installé un proxy transparent.
Pas de bras, pas de chocolat !!!
Avatar de l’utilisateur
1ternet
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 05 Nov 2003 01:00

Messagepar carbone » 07 Nov 2003 16:18

En transparant, i lest possible d'éviter le proxy!! <BR>il suffit d'en spécifier un autre dans son browser et on passera par celui-là et non par le transparent (sauf en cas d'utilisation de Dans je pense)
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar Gesp » 07 Nov 2003 16:19

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>mais les gens peuvent passer en dehors du proxy sauf quand Dansguardian est installé ou il bloque ce genre de manip </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>j'étais sùr que tu me corrigerais si je disais une bétise <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>alors je reformule : <BR>mais dans le cas de Dansguardian, les gens peuvent adresser directement le proxy (port 800), ce qu'une installation correcte de Dansguardian interdit de faire. <BR> <BR>/sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -p tcp --dport 80 -j REDIRECT --to-port 8080 <=redirige le port 80 vers Dansguardian <BR>/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 800 -j DROP <=interdit l'accès direct à Squid <BR>/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 3128 -j DROP <BR>/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8000 -j DROP <BR>/sbin/iptables -A INPUT -p tcp -i $GREEN_DEV --dport 8001 -j DROP <BR>concernant les 3 derniers ports, je ne sais pas à quoi cela sert
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 07 Nov 2003 17:29

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-11-07 15:18, carbone a écrit: <BR>En transparant, i lest possible d'éviter le proxy!! <BR>il suffit d'en spécifier un autre dans son browser et on passera par celui-là et non par le transparent (sauf en cas d'utilisation de Dans je pense) <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Sauf que le proxy doit lui mêem passer par ton proxy pour aller sur le net (en supposant bien sur que tu controles le lien vers le net !!) donc dans tout les cas tu peux exercer ton controle ! <BR> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Gesp » 07 Nov 2003 20:59

ce ne serait pas possible de rerouter localement vers un autre port qui ne serait pas écouté par le proxy à la sortie du domaine (dans la mesure ou tous les ports en dehors du proxy ne sont pas filtrés) puis d'utiliser un proxy externe qui ferait la translation inverse? <BR> <BR>C'est juste pour le coté sport cérébral <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Je sais qu'il y a des stagiaires qui se sont fait virés dans ma boite pour avoir tenté de contourner les protections mises en place.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar hb » 07 Nov 2003 21:28

et bien quand je fait du DL en FTP, j'ai aucune trace dans IPCOP. <BR>donc ton raisonnement tient la route... <BR>Mais attaquer un proxy externe, en port autre chose qu'un HTTP, faut voir ! <BR>c'est surtout qu'IPCOP laisse passer se qu'il ne connait pas (telnet, ftp, smtp, ...) <BR>au boulot, par exemple, mon proxy (pas ipcop) ne laisse passer que le http, https et le ftp, tout le reste est dropé. <BR>
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar grome » 07 Nov 2003 21:37

Salut à tous <BR> <BR>J'ai peur tout d'un coup. Hb quand tu dis que Ipcop laisse passer ce qu'il ne connait pas, cà signifie quoi ? Qu'ipcop n'est pas une solution sécurisante. <BR> <BR>J'ai compris que de l'interieur vers l'exterieur il laisse passer ce qu'il ne connait pas. On parle bien du module Proxy ? <BR> <BR>Je suis débutant en matière de sécurité et pour l'instant j'utilise Ipcop chez moi avec une connexion rtc. <BR> <BR>
L'important n'est pas de construire seul une montagne, mais d'apporter à l'édifice humain sa contribution, ne serait ce qu'un caillou. St Exupéry
Avatar de l’utilisateur
grome
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 27 Oct 2003 01:00
Localisation: france

Messagepar Gesp » 07 Nov 2003 22:32

IPcop laisse tout passer <!-- BBCode Start --><B>en sortie</B><!-- BBCode End --> , ce qu'il connait et ce qu'il ne connait pas. <BR> <BR>La seule tentative était de ne laisser sortir que vers des adresses publiques mais c'est difficilement applicable dans tous les cas de configuration (par exemple les modem routeurs ont une adresse privée).
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar hb » 07 Nov 2003 23:24

merci d'avoir préciser Gesp, effectivement je parlais de 'tout laisser sortir' <BR> <BR>le module proxy log ce qui est en protocole http, mais si ce n'est pas du http, le module proxy n'a aucun role, par contre ipcop joue d'autres roles, tel que relayer le pacquet vers la destination, que ce soit du http ou tout autre chose.
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar kagou » 07 Nov 2003 23:39

On doit pouvoir "passer" à travers un proxy transparent, si on utilise un tunnel encrypté avec un proxy situé à la maison par exemple. <BR>Je dis passer car il verra bien le traffic mais n'y comprendra rien non ?! <BR> <BR>Et si je visite des sites en https:// ??? je ne pense pas que le proxy transparent puisse stocker mon numéro de carte bleu non ?!
Forum francophone d'entre aide pour la Debian
Andesi
Avatar de l’utilisateur
kagou
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Nov 2003 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron