PhenIXUS

[molter85]

Bon j'ai réussi, j'utilise SmoothWall avec Advproxy et URL filter en mode transparent, j'ai juste un souci, en mode transparent il n'y a que le http qui passe (pas de https, ftp...), comment autoriser le reste ?

[jdh]

Je m'auto cite :

Les "naifs" (=ceux qui n'ont pas vraiment réfléchi) pensent que la méthode du "proxy transparent" n'a que des avantages.
Elle semble avoir l'avantage de la non configuration des postes MAIS elle a pas mal de défauts : ne fonctionne que pour http et sans authentification.

On n'est pas dans la recherche très lacunaire, c'est juste la lecture qui ne va pas ...

[molter85]

http://www.system-linux.net/blog/2013/0 ... us-debian/

[Franck78]

bah, si tu as bien saisi que tu as intercalé un intrus (squid) dans la discussion HTTPS....

tes navigateurs clients ne verront jamais le certificat du site visité, encore moins le vérifier. A ce compte là, autant y aller en http....

Dès fois je me demande si les gens saisissent la portée de leur 'solution'.


Donc non, Filtrage URL transparent n'est pas RESOLU.

comment autoriser le reste ?

No way.

Franck

[molter85]

bah, si tu as bien saisi que tu as intercalé un intrus (squid) dans la discussion HTTPS....

En quoi ?

tes navigateurs clients ne verront jamais le certificat du site visité, encore moins le vérifier. A ce compte là, autant y aller en http....

Et alors, il passe par le mien ?

[jdh]

Si le fonctionnement (et les règles réelles) d'un proxy transparent était connu, le problème serait compris.
Et ce n'est absolument pas le cas !

L'exemple du protocole "https" est excellent et parfaitement démonstratif :
- entre le serveur et le client, l'échange est totalement crypté (depuis le premier paquet), d'où le S (=secure) de https.
- il est donc IMPOSSIBLE d'intercaler une machine entre serveur et client.
- cela s'appellerait MIM (MITM) : "man in the middle".
(NB : il y aurait lieu de comprendre comment on peut accéder à un site en https via un proxy explicite, et en quoi on est plus dans un MIM !)

Dans un proxy transparent, il y a une règle de "redirection" de traffic : le flux http (80/tcp) vers n'importe quel serveur web est redirigé vers le proxy (en général sur 3128 car c'est le port standard de Squid). Le proxy analyse le paquet initial sans connaitre l'ip de destination réelle puisque la règle de redirection l'a changé. Or, avec le protocole http, le premier paquet contient, en texte, l'instruction "GET /" ainsi que le site de destination (http://www.trucmuche.com). Le proxy peut donc faire la demande réelle vers le serveur indiqué et renvoyer le résultat vers la machine source réelle (dont l'ip est restée dans le premier paquet !).
On voit que cela ne peut fonctionner que pour le protocole http et grâce au fait que, dans le paquet "requête", il y a en clair la requête elle-même. Ce n'est pas le cas pour ftp, et encore moins pour https puisque crypté.

Mais comme, vous NE connaissez PAS le fonctionnement (décrit rapidement ici), vous nous prenez pour des charlots.
Alors que, si vous aviez juste cherché, par exemple sur le site de Squid, vous auriez compris que Franck78 ou moi ne faisont que dire la simple réalité.
En fait, comme les réponses ne vous conviennent pas, vous ne pensez pas un instant que c'est vous qui êtes dans l'erreur.
Les charlots sont toujours ceux qui ne commencent pas par lire, se documenter ...

Dès fois je me demande si les gens saisissent la portée de leur 'solution'.

Oh combien exact !

[molter85]

Je crois que nous nous ne comprenons pas du tout, de plus je ne pense pas que vous êtes des charlots, j'ai trouvé ce tuto, c'est tout.

[Franck78]

Si tu peux regarder droit dans les yeux la secrétaire du patron, le comptable, le directeur financier et leurs dire que tu as fais sauter le moyen plus ou moins efficace qu'ils avaient encore (le truc vert dans la barre de navigation, le cadenas) de vérifier qu'ils naviguaient bien sur le site qu'ils pensaient, c'est tout bon.

j'ai trouvé ce tuto, c'est tout.

Enfin moi, je ne prendrais pas ce risque. Assure bien ton arrière train

Je verrouille préventivement assez facilement. Pas la peine de chercher à justifier, tu sais (maintenant) ce que tu as mis en place.

[jdh]

Je crois que nous nous ne comprenons pas du tout,

Non !
Il est certain (on constate) que vous ne savez pas du tout comment fonctionne le "proxy transparent".
Du fait de votre non-compréhension de la mécanique, vous attribuez des possibilités à ce mécanisme qui ... n'existent pas !

Je me donne la peine de décrire le processus.
Et vous ne prenez pas même la peine de lire et de comprendre ...

Je répète, nous répétons, le proxy transparent ne fonctionne QUE pour http et sans authentification.
Cela ne fonctionne ni pour https, ni pour ftp.

Point barre.

Edit/
Le tuto comporte au minimum une erreur à la première ligne iptables !
D'autres tutos décrivent la même méthode ... qui est dangereuse AMPSHA !!
Un lien http://wiki.squid-cache.org/Features/SslBump indique clairement la limitation de cette méthode : les certificats annoncés par le site sont systématiquement approuvés ... ce qui est très grave (et que je refuse !)
Et je n'ai pas parlé des 2 premières limites données à la section Détail qui sont tous aussi claires !
Il y a suffisamment de "SECURITY WARNING" dans cette page pour ne pas dire que vous n'avez pas été prévenu !

Par ailleurs, la méthode WPAD, simple à mettre en oeuvre, autour d'un proxy dédié (car il ne faudrait pas oublier que le proxy sur le firewall est une aberration) est une solution logique et fiable !

[molter85]

J'avais bien compris cela mais je pensais que ça restais possible en https (bancale, pas propre, pas sécurisé... ok). Je souhaite utiliser un proxy transparent car pour ceux qui ont des portables, je ne vais pas leurs demander d’enlever le proxy quand ils sont chez eux ou à l’hôtel et également que le proxy filtre toute la machine et non que le navigateur.