Forcer le proxy

par **scarabaeus** » 13 Fév 2008 12:01

bonjour

je cherche la solution pour forcer les utilisateurs a passer par le proxy. Advanced proxy est celui que j'emploi.

j'ai trouvé ceci :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

mais je ne comprends pas a quoi tout correspond.

merci de votre aide

par **Franck78** » 13 Fév 2008 13:24

Salut,
la solution s'apelle 'proxy transparent' et existe dans IPCop depui très très longtemps.

Une case a cocher seulement.

par **scarabaeus** » 13 Fév 2008 15:16

je coche cette case et les utilisateurs sont obligés de passé par le proxy ?!
Dans IE lorsque je configure le proxy, même si les utilisateurs suppriment l'IP ils passeront par le proxy ?

merci de ton aide

par **scarabaeus** » 13 Fév 2008 16:48

mais du coup a quoi elle sert cette commande :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

par **dsbsystem** » 13 Fév 2008 18:50

scarabaeus a écrit:je coche cette case et les utilisateurs sont obligés de passé par le proxy ?!
Dans IE lorsque je configure le proxy, même si les utilisateurs suppriment l'IP ils passeront par le proxy ?

merci de ton aide

OUI, ce qui passe en flux http à destination du port 80 passera alors par le proxy, même si le proxy est désactivé dans le navigateur

Ce n'est pas le cas du http sécurisé ( https) ou du protocole ftp

Un proxy transparent est un logiciel capable de rediriger les connections TCP arrivant sur un port donné d'une certaine machine vers un port différent d'une autre machine, dans ce cas, votre Ipcop qui utilise par défaut le port 800 lorsque le mode transparent est coché.

Vos utilisateurs ne le savent pas d'où peut-être le terme "transparent" car aucune configuration des PC n'est alors nécessaire.

Faite un essai et regardez le journal du serveur mandataire, vous serez rassuré.

par **scarabaeus** » 13 Fév 2008 23:22

eth0 correspond au green de l'ipcop ??

merci pour ton explication, lorsque j'active la case mode transparent après enregistrement de la config, le proxy me répond :

"Le Proxy Web doit fonctionner en mode non-transparent pour l'authentification "

j'ai choisi LDAP comme authentification.

par **jdh** » 13 Fév 2008 23:41

Cela a été répété à plusieurs reprises sur ce site car c'est indiqué sur le site de Squid :

la méthode du "proxy transparent" est INCOMPATIBLE avec l'authentification.

(C'est d'ailleurs assez évident si on prend la peine d'y réfléchir quelques minutes, à condition de comprendre ce qu'il se passe).

Il y a, par contre, la config automatique des navigateurs à partir du système WPAD qui doit être compatible avec l'authentification. Hélas IPCOP n'incorpore pas cette technique. Mais, de même, si on se donne la peine, on peut y arriver sans trop de difficultés même si ce n'est simple. Deuxième hélas, cela ne fonctionne pas toujours bien avec les différentes versions d'Internet Explorer.

Il y a, encore quelque chose d'aisé à mettre en oeuvre pour ce but, dans un contexte de domaine Windows : l'utilisation des GPO. Cela est documenté sur le site de Microsoft.

par **scarabaeus** » 13 Fév 2008 23:45

ok d'accord merci pour ton info.

j'ai encore une autre question :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

eth0 correspond au Green d'IPCOP ?

après avoir tapé cette commande, j'aimerai obtenir toutes les règles iptables du proxy, j'ai trouvé cette commande sur internet :

iptables -L --line-numbers

mais je ne vois pas la nouvelle règle.

par **jdh** » 13 Fév 2008 23:49

Mais pourquoi s'intéresser à cette ligne qui est générée AUTOMATIQUEMENT quand on coche la case "proxy transparent" ? (Enfin je peux l'imaginer).

eth0 c'est le réseau Green ? Comment répondre à cette question ? Cela dépend du choix d'interface ! Il suffit de faire, en ligne de commande, "ifconfig" pour faire la BONNE association interface <-> adressage ip <-> rôle.

Par ailleurs, encore une fois, sur le site de Squid, tout cela est parfaitement décrit.

Par ailleurs, le PREROUTING fait parti de la table "nat" et non de la table "filter" (donc il y a quelque chose à ajouter). Quand on veut comprendre iptables, un petit tour sur Christian CALECA s'impose .... (forcément)

par **scarabaeus** » 13 Fév 2008 23:53

scarabaeus a écrit:eth0 correspond au green de l'ipcop ??

merci pour ton explication, lorsque j'active la case mode transparent après enregistrement de la config, le proxy me répond :

"Le Proxy Web doit fonctionner en mode non-transparent pour l'authentification "

j'ai choisi LDAP comme authentification.

parceque j'utilise l'authentification.

eth0 peut correspondre au green ou red ca dépend, mais dans la logique ca doit être le green ou le red ??

par **jdh** » 13 Fév 2008 23:58

Mais, que diable, la réponse est évidente ... si on se donne la peine de réfléchir une minute !

Le site de Chistian CALECA t'est inconnu ?

Eh oui : la case donne la réponse !

par **scarabaeus** » 13 Fév 2008 23:59

oui il m'est inconnu.

par **jdh** » 14 Fév 2008 00:04

Alors de suite http://christian.caleca.free.fr/

par **scarabaeus** » 14 Fév 2008 00:15

hyper complet le site mais avant que je trouve mon info j'en ai pour une plombe

par **jdh** » 14 Fév 2008 00:31

Mais on ne peut pas apprendre/comprendre netfilter en 5 minutes !!

Cet outil fondamental est au coeur du noyau Linux depuis la version 2.4.

Inutile d'essayer de comprendre une ligne iptables sans en apprendre les mécanismes !

Et le site de Christian CALECA est assez pédagogique ... pour autant que l'on prenne le temps de lire et de bien réfléchir à chaque phrase. Car le système est complexe par ses enjeux !

Autant prendre le temps nécessaire à bien s'imprégner de la logique du système.

Une fois bien compris les idées, les concepts, on peut instantanément dire quels paquets venant de Red ou Green doivent passer dans la règle PREROUTING ...

Forcer le proxy

Forcer le proxy

Qui est en ligne ?