Le Forum
Vous n'êtes pas identifié.
#1 14 Sep 2012 16:55:10
- focome
- Affranchi(e)
- Date d'inscription: 14 Sep 2012
- Messages: 3
squid, outlook, et iptables... au secours!! :)
Bonjour 
actuellement, j'ai un proxy squid avec authtification, tout a fait fonctionnel.
le hic, c'est que étant un proxy http, il n'ouvre que le port 80, et pas le 25, 110, 143 ( et autres plus sécurisés...).
j'ai utilisé alors les iptables, mais rien ne semble etre utile si ce n'est la masquarade (NAT) pour mon lan vers le wan. (NB: j'utilise webmin et un console SSH)
je ne joints pas de copie du iptables.up.rules.conf, car il est plein de test ratés, echecs, et prises de tete. 
j'ai repris beacoup d'exemples, aucun n'a fonctionné.
archi reseau:
WAN eth0>>>>proxy<<<<eth1 LAN (avec cet outlook).
la question est la pour d autres logiciel, a venir, peut etre?
quel est la methode?
un script est plus simple?
Merci!!!!
Hors ligne
#2 14 Sep 2012 18:17:29
Re: squid, outlook, et iptables... au secours!! :)
Hello,
Tu essaies donc de t'en servir en proxy transparent, avec iptables ?
Evidemment, les autres ports ne transportent habituellement pas du http, donc squid ne sera pas capable de les relayer. Si tu as besoin de relayer du traffic arbitraire à la place, tu peux utiliser un proxy socks, comme par exemple dante, mais ça ne sera pas transparent.
Si tu veux une redirection transparente, tu ne pourras pas, de manière générale, insérer une authentification dans un protocole arbitraire. Mais à la place d'avoir un proxy, tu peux autoriser des machines vers l'extérieur en bricolant un script web quelconque qui appelera iptables.
Mais ceci ne protège pas d'un attaquant local qui spooferait son addresse. Si c'est pour controler l'accès a un LAN dont l'accès physique n'est pas protégé, tu peux soit demander a tes clients de passer par un VPN, soit utiliser un switch qui supporte l'authentification 802.1x.
Ca serait plus facile de t'aider si tu expliquais en détail pourquoi tu veux le faire.
Hors ligne
#3 14 Sep 2012 19:08:27
- focome
- Affranchi(e)
- Date d'inscription: 14 Sep 2012
- Messages: 3
Re: squid, outlook, et iptables... au secours!! :)
Merci de prendre le temps de me répondre!
mon but est simplement de pouvoir mémoriser les actions et visites sur internet, dans un log, avec un materiel.
>remplace un systeme "ucopia".(mandriva, systeme log/pass, avec script js de verification de connection au serveur, log des visites.)
j'ai choisi un proxy, car gratuit, et modulable.
donc un squid, avec authentification. un DHCP par dessus, pour etre logique, et soulager le modem belkin qui tombe regulierement...
la navigation est fonctionnelle, avec login/pass, horaires..
dropbox, skype, msn passent a travers car possibilité de renseigner le proxy +id's, mais pas outlook (merci 'crosoft, en passant! )
le but du systeme est uniquement d'etre en mesure de savoir qui a téléchargé, pour savoir qui allez voir, grace au log de squid3.
Que du reseau cablé ethernet et wifi, en LAN. SSH pour l'admin (cad moi 
), 60 connexion/chambres et acces dans un batiment.
jesprere avoir été a peu pres clair :S
Merci!
Hors ligne
#4 14 Sep 2012 19:58:10
Re: squid, outlook, et iptables... au secours!! :)
Si le but est juste de mesurer le volume de traffic, pas besoin de proxy; il suffit d'avoir un outil comme ntop, couplé à un système de comptabilisation comme ulog-acctd ou nflog. De toutes façons, la plupart du traffic p2p (torrent, ed2k, etc) ne passe pas en http.
Pour le reste du traffic, le plus simple est certainement de le router normalement, et de bloquer le port 80 en sortie pour inciter les gens à utiliser le proxy. ça ne résoud pas le problème de comment les authentifier, mais les seules solutions qui résisteraient a une falsification des IP ou des MAC seraient, à ma connaissance, soit un vpn, soit une combinaison de 802.1x pour le réseau cablé et de wpa-eap pour le wifi (les deux sur le meme serveur radius, c'est possible). FreeRadius est un serveur radius ouvert, et il est possible de restreindre l'accès en fonction des horaires.
Tout ceci est bien beau, mais il suffit d'un seul service chiffré a l'extérieur pour faire un trou dans ton filtrage. Par exemple, si tu autorises le traffic https, n'importe qui pourra échapper à ton filtrage en passant par tor.
Hors ligne
#5 14 Sep 2012 20:50:21
- focome
- Affranchi(e)
- Date d'inscription: 14 Sep 2012
- Messages: 3
Re: squid, outlook, et iptables... au secours!! :)
bonsoir,
merci encore de t'interesser a mon post
le but du truc n'est pas de restreindre ou contraindre, mais detre en mesure, au cas ou, de fournir l'info de qui a visiter tel ou tel site.
tous on le droit au https, comme au smtp, pop.
pas de ftp.
d'ou mon probleme de port ouvert et limité sur le proxy.
le radius est une bonne idée, mais permet il de journaliser et stocker les sites avec les login?
j'apprecie la fonction cache de squid
mes utilisateurs sont des newbies, et tous étudiants en théologie.
le risque est minime sur le LAN.
une intrusion par le WAN, je ne conteste pas. mais je vois pas (encore 
).
Hors ligne