Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 14 Sep 2012 16:55:10

focome
Affranchi(e)
 
Date d'inscription: 14 Sep 2012
Messages: 3

squid, outlook, et iptables... au secours!! :)

Bonjour big_smile

actuellement, j'ai un proxy squid avec authtification, tout a fait fonctionnel.

le hic, c'est que étant un proxy http, il n'ouvre que le port 80, et pas le 25, 110, 143 ( et autres plus sécurisés...).

j'ai utilisé alors les iptables, mais rien ne semble etre utile si ce n'est la masquarade (NAT) pour mon lan vers le wan. (NB: j'utilise webmin et un console SSH)

je ne joints pas de copie du iptables.up.rules.conf, car il est plein de test ratés, echecs, et prises de tete. mad

j'ai repris beacoup d'exemples, aucun n'a fonctionné.

archi reseau:

WAN eth0>>>>proxy<<<<eth1 LAN (avec cet outlook).

la question est la pour d autres logiciel, a venir, peut etre?roll
quel est la methode?
un script est plus simple?

Merci!!!!big_smilebig_smile

Hors ligne

 

#2 14 Sep 2012 18:17:29

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: squid, outlook, et iptables... au secours!! :)

Hello,

  Tu essaies donc de t'en servir en proxy transparent, avec iptables ?

  Evidemment, les autres ports ne transportent habituellement pas du http, donc squid ne sera pas capable de les relayer. Si tu as besoin de relayer du traffic arbitraire à la place, tu peux utiliser un proxy socks, comme par exemple dante, mais ça ne sera pas transparent.

  Si tu veux une redirection transparente, tu ne pourras pas, de manière générale, insérer une authentification dans un protocole arbitraire. Mais à la place d'avoir un proxy, tu peux autoriser des machines vers l'extérieur en bricolant un script web quelconque qui appelera iptables.

  Mais ceci ne protège pas d'un attaquant local qui spooferait son addresse. Si c'est pour controler l'accès a un LAN dont l'accès physique n'est pas protégé, tu peux soit demander a tes clients de passer par un VPN, soit utiliser un switch qui supporte l'authentification 802.1x.

  Ca serait plus facile de t'aider si tu expliquais en détail pourquoi tu veux le faire.

Hors ligne

 

#3 14 Sep 2012 19:08:27

focome
Affranchi(e)
 
Date d'inscription: 14 Sep 2012
Messages: 3

Re: squid, outlook, et iptables... au secours!! :)

Merci de prendre le temps de me répondre!big_smile

mon but est simplement de pouvoir mémoriser les actions et visites sur internet, dans un log, avec un materiel.
>remplace un systeme "ucopia".(mandriva, systeme log/pass, avec script js de verification de connection au serveur, log des visites.)

j'ai choisi un proxy, car gratuit, et modulable.
donc un squid, avec authentification. un DHCP par dessus, pour etre logique, et soulager le modem belkin qui tombe regulierement...

la navigation est fonctionnelle, avec login/pass, horaires..

dropbox, skype, msn passent a travers car possibilité de renseigner le proxy +id's, mais pas outlook (merci 'crosoft, en passant! big_smile)


le but du systeme est uniquement d'etre en mesure de savoir qui a téléchargé, pour savoir qui allez voir, grace au log de squid3.

Que du reseau cablé ethernet et wifi, en LAN. SSH pour l'admin (cad moi tongue), 60 connexion/chambres et acces dans un batiment.

jesprere avoir été a peu pres clair :S


Merci!

Hors ligne

 

#4 14 Sep 2012 19:58:10

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: squid, outlook, et iptables... au secours!! :)

Si le but est juste de mesurer le volume de traffic, pas besoin de proxy; il suffit d'avoir un outil comme ntop, couplé à un système de comptabilisation comme ulog-acctd ou nflog. De toutes façons, la plupart du traffic p2p (torrent, ed2k, etc) ne passe pas en http.

Pour le reste du traffic, le plus simple est certainement de le router normalement, et de bloquer le port 80 en sortie pour inciter les gens à utiliser le proxy. ça ne résoud pas le problème de comment les authentifier, mais les seules solutions qui résisteraient a une falsification des IP ou des MAC seraient, à ma connaissance, soit un vpn, soit une combinaison de 802.1x pour le réseau cablé et de wpa-eap pour le wifi (les deux sur le meme serveur radius, c'est possible). FreeRadius est un serveur radius ouvert, et il est possible de restreindre l'accès en fonction des horaires.

Tout ceci est bien beau, mais il suffit d'un seul service chiffré a l'extérieur pour faire un trou dans ton filtrage. Par exemple, si tu autorises le traffic https, n'importe qui pourra échapper à ton filtrage en passant par tor.

Hors ligne

 

#5 14 Sep 2012 20:50:21

focome
Affranchi(e)
 
Date d'inscription: 14 Sep 2012
Messages: 3

Re: squid, outlook, et iptables... au secours!! :)

bonsoir,

merci encore de t'interesser a mon post

le but du truc n'est pas de restreindre ou contraindre, mais detre en mesure, au cas ou, de fournir l'info de qui a visiter tel ou tel site.
tous on le droit au https, comme au smtp, pop.
pas de ftp.
d'ou mon probleme de port ouvert et limité sur le proxy. big_smile

le radius est une bonne idée, mais permet il de journaliser et stocker les sites avec les login?

j'apprecie la fonction cache de squid

mes utilisateurs sont des newbies, et tous étudiants en théologie.
le risque est minime sur le LAN.

une intrusion par le WAN, je ne conteste pas. mais je vois pas (encore smile ).

Hors ligne

 

Pied de page des forums

Powered by FluxBB