probleme d'accés aux pages https

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

probleme d'accés aux pages https

Messagepar mdany » 03 Fév 2009 19:01

Bonjour

j ai installé ipcop 1.4.21 avec la configuration par défaut , mais j arrive pas à accéder aux pages web utilisant https .

Sachant que lorsque je configure le proxy sur mon navigateur web ,tout marche bien , une fois je passe en mode transparent les pages https ne s'affichent pas. sa rame pour 5 min et il m'affiche "impossible de se connecter au serveur"

j ai cherché sur les fichiers log de mon ipcop mais en vain, voici un extrai des log pour les bons voyants :roll:








Code: Tout sélectionner

1233585647.919    238 192.168.0.216 TCP_MISS/302 742 GET http://fr.yahoo.com/_ylt=AhZtPs0S25AWPl5H7oq9a0.hVM8F;_ylv=9/SIG=13358a3di/**https%3A//login.yahoo.com/config/mail%3F%26.src=ym%26.intl=fr%26.done=http%3A//fr.mail.yahoo.com - DIRECT/217.146.186.51 text/html
1233585649.163   2055 192.168.0.216 TCP_MISS/200 1509 GET http://eur.a1.yimg.com/java.europe.yahoo.com/eu/any/yadframework103min.js - DIRECT/88.221.222.8 application/x-javascript
1233585649.169   2921 192.168.0.216 TCP_MISS/200 2025 GET http://l.yimg.com/i/i/fr/mu/j/jenni5.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.176   2927 192.168.0.216 TCP_MISS/200 1104 GET http://l.yimg.com/i/i/fr/ne/g/devil1.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.182   2932 192.168.0.216 TCP_MISS/200 1245 GET http://l.yimg.com/i/i/fr/hp/x/micha5.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.184   2965 192.168.0.216 TCP_MISS/200 1001 GET http://l.yimg.com/i/i/fr/ne/gi/neige.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.192   3008 192.168.0.216 TCP_MISS/200 1521 GET http://l.yimg.com/i/i/fr/ne/g/neige8.jpg - DIRECT/88.221.222.59 image/jpeg
1233585649.203   2951 192.168.0.216 TCP_MISS/200 1682 GET http://l.yimg.com/i/i/fr/hp/x/polic33.jpg - DIRECT/88.221.222.65 image/jpeg
1233585649.205   2925 192.168.0.216 TCP_MISS/200 1189 GET http://l.yimg.com/i/i/fr/sp/steel.jpg - DIRECT/88.221.222.59 image/jpeg



Merci de votre aide
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar mdany » 06 Fév 2009 11:31

bonjour

allooo il y quelq'un , je veux seulement savoir est ce le https ne fonctionne pas en mode transparent dans ipcop ?

Merci
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar ccnet » 06 Fév 2009 11:45

Ne donnant aucune information sur votre configuration, ne vous étonnez pas de ne pas avoir de réponse. En gros pour le moment vous dites "j'ai ipcop avec le proxy activé et ça ne marche pas en https".
Il y a quand même ce morceau de log où l'on voit que vous essayez de vous authentifier chez Yahoo ...
Avec vous tenté d'autres sites en https ?
Ce post vous donner quelques infos. Honnêtement je ne ferai pas le travail de recherche à votre place.
http://forums.ixus.fr/viewtopic.php?t=3 ... s&start=15
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mdany » 09 Fév 2009 12:41

Merci pour votre réponse

mais j ai toujours le même probléme, j ai essayé avec d'autre site https , mais toujours rien, voila le message de firefox "Connexion interrompue
La connexion avec le serveur a été réinitialisée pendant le chargement de la page.


j ai compris que en mode transparent , le https ne doit pas passer par proxy , comment je peux le vérifier ?

voici le logs de mon firewall


Code: Tout sélectionner
10:00:18  TCP  eth0   NEW not SYN?   192.168.0.216  69.147.112.160  1274  :::::     443(HTTPS)
10:00:18  TCP  eth0   NEW not SYN?   192.168.0.216  69.147.112.160  1284  :::: 443(HTTPS)            


Config de rc.firewall.local

Code: Tout sélectionner
case "$1" in
  start)
        ## add your 'start' rules here
        #Added for BlockOutTraffic start - BEGIN
        /sbin/iptables -N BOT_INPUT
        /sbin/iptables -N BOT_FORWARD
        /sbin/iptables -A CUSTOMINPUT -j BOT_INPUT
        /sbin/iptables -A CUSTOMFORWARD -j BOT_FORWARD
        /usr/local/bin/setfwrules
stop)
        ## add your 'stop' rules here
        #Added for BlockOutTraffic stop - BEGIN
        /sbin/iptables -D CUSTOMINPUT -j BOT_INPUT
        /sbin/iptables -D CUSTOMFORWARD -j BOT_FORWARD
        /sbin/iptables -F BOT_INPUT
        /sbin/iptables -F BOT_FORWARD
        /sbin/iptables -X BOT_INPUT
        /sbin/iptables -X BOT_FORWARD


mon architecture

lan --> ipcop ---> routeur --> internet

Merci si vous avez des solutiosn j en suis preneur
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar jdh » 09 Fév 2009 13:19

est ce le https ne fonctionne pas en mode transparent (dans ipcop) ?


Cette question revient très fréquemment !

Le mode "transparent" NE PEUT fonctionner QU'AVEC le protocole http !
Il ne fonctionne pas avec https, ftp, pop, ...
J'ai mis ipcop entre parenthèse car c'est valable pour tous les firewalls, bien sur.


Un bon exercice serait de comprendre pourquoi ...

Un deuxième exercice consiste à choisir entre
- contraindre ses utilisateurs à utiliser le proxy (pour http, https, ftp),
- autoriser n'importe qui à faire du https.

Entre ces 2 maux, je ne sais lequel choisir !
Le premier est, semble-t-il, assez naturel mais difficile à mettre en oeuvre pour les portables qui, une fois à l'extérieur de l'entreprise, ne doivent plus avoir de proxy !
Le deuxième est de l'inconscience, évidemment !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar mdany » 09 Fév 2009 13:47

merci pour votre réponse, donc ce que j 'obtiens lorsque j'active le mode transparent est tout a fait normal, c'est pas un probleme de configuration.

mais je me demande est ce que on peut pas créer des règles dans le firewall , pour autoriser les sites https à ne passer par le proxy .

Si c'est le cas c 'est quoi cette règle?
:wink:
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar jdh » 09 Fév 2009 13:55

J'ai écrit quelques lignes ... et je n'ai pas été compris.


Un bon exercice est de trouver pourquoi on peut faire du http transparent et pourquoi on ne peut pas le faire avec https.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar mdany » 09 Fév 2009 14:34

je crois que je suis dans un forum ,je suis sensé décrire mon problème afin de trouver des solutions et no pas des exercices :)

mais cela n'empêche de chercher dans ton exercice une fois j aurais le tepms ;) mais maintenant si je suis pressé par des délais et je dois mettre ipcop en production dans deux jours

Merci
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar ccnet » 09 Fév 2009 14:39

mais maintenant si je suis pressé par des délais et je dois mettre ipcop en production dans deux jours

Pas de maquette, pas de tests avant de prendre cette décision et de fixer une date de mise en production ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mdany » 09 Fév 2009 16:38

mise en production ca veut pas dire que tt sera nickel chrome ;)

mais ne pas avoir l' accées aux webmail, site de la banque ... (https en général ) , ça c'est une autre histoire et un autre exercice.

Pour ne pas diverger de mon porbleme , je vous demande s'il n y a pas une solution pour les https avec le proxy transaperent

Merci encore
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar mdany » 09 Fév 2009 16:39

mise en production ca veut pas dire que tt sera nickel chrome ;)

mais ne pas avoir l' accées aux webmail, site de la banque ... (https en général ) , ça c'est une autre histoire et un autre exercice.

Pour ne pas diverger de mon porbleme , je vous demande s'il n y a pas une solution pour les https avec le proxy transaperent

Merci encore
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20

Messagepar jdh » 09 Fév 2009 19:00

Je vois mal ce que je peux répondre de plus !


Soit tu configures TOUS tes postes avec le comme proxy l'ipcop et cela fonctionne pour http, https, ftp.

Soit tu autorises (par une règle BOT par exemple), TOUT le monde à faire du https en direct.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar mdany » 09 Fév 2009 19:20

merci amiral jdh
mdany
Matelot
Matelot
 
Messages: 8
Inscrit le: 03 Fév 2009 18:20


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité