Le Forum
Vous n'êtes pas identifié.
#1 16 Feb 2012 22:43:24
- tymop
- Affranchi(e)
- Date d'inscription: 16 Feb 2012
- Messages: 2
[IPTABLES] squid, squid et dansguardian
Bonjour,
Je viens poster ici car je ne trouve pas de solution à mon problème:
Je veux sécuriser l'internet de mes enfants.J'ai pour cela installé squid et dansguardian.
Squid écoute le port 3129 et authentifie (pas de proxy transparent). Dansguardian écoute le port 8080.
Après une guerre acharnée avec les fichiers de config, ça marche. Mais j'ai encore un souci : si le couple squid/dansguardian marche bien quand je dis à mon navigateur de l'utiliser, quand je lui dit de ne pas utiliser de proxy, j'ai un accès direct à tout internet !!!! Normal !
Je souhaite donc rediriger (ou bloquer) le flux sortant ne provenant pas de dansguardian/squid vers le port 8080. Cela pour qu'il n'y ait pas moyen d'outre passer les protections.
j'ai essayé ça, mais ça ne fonctionne pas ?
iptables -t filter -I OUTPUT -p tcp --dport 80 -m owner --uid-owner dansguardian -j DROP
Est ce que vous avez une idée de ce qui cloche dans cette ligne ?
MErci d'avance de votre aide.
Hors ligne
#2 20 Feb 2012 15:07:56
- sebseb01
- Président de Swisslinux.org
- Date d'inscription: 25 Apr 2007
- Messages: 417
Re: [IPTABLES] squid, squid et dansguardian
Je ne suis pas sûr que nos réseau soit comparable(nat,..), mais voici la règle NAT que j'ai mis en place sur mon routeur pour rediriger le trafic vers le proxy.
Code:
/sbin/iptables -t nat -A PREROUTING -p tcp -i <interface interne> --destination-port 80 -j DNAT --to-destination <ip du serveur proxy>:<port>
Si non, pour simplement bloquer le trafic qui n'est pas passé par squid/dansguardian, DROP toutes les connexions qui provienne de ton réseau interne à destination du port 80 (sauf l'ip de ton squid, si c'est une machine du même réseau)
J’espère avoir été utile.
Hors ligne
#3 22 Feb 2012 18:20:01
- tymop
- Affranchi(e)
- Date d'inscription: 16 Feb 2012
- Messages: 2
Re: [IPTABLES] squid, squid et dansguardian
sebseb01 a écrit:
Si non, pour simplement bloquer le trafic qui n'est pas passé par squid/dansguardian, DROP toutes les connexions qui provienne de ton réseau interne à destination du port 80 (sauf l'ip de ton squid, si c'est une machine du même réseau)
J’espère avoir été utile.
En fait tout est sur la même machine : il n'y a pas de sous réseau.
à l'aide de ta ligne, j'en ai créé 3:
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner proxy -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 3129 -m owner --uid-owner proxy -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner proxy -j REDIRECT --to-port 8080
dans un sens, c'est bon car il n'y a plus de trafic direct (passage par le proxy obligatoir).
En revanche, la dernière ne fonctionne pas : lorsque je configure mon navigateur dans firewall, ça ne marche pas.
C'est un détail, mais que faudrait il mettre pour que lorsque je tente de de passer par le port 80, je sois redirigé vers le 8080 (dansguardian) ?
Hors ligne