mode transparent et proxy

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

mode transparent et proxy

Message par rupteur » 26 Fév 2014 16:41

Contexte :
30 postes seven
1 ipcop
6 serveurs debian
1 routeur oleane

Besoin :
activation du proxy en mode transparent mais avec un accès direct au proxy toujours fonctionnel
j'utilise ipcop depuis plusieurs années. (notamment en 1.4 et cela fonctionnait sur ce schéma)

Schéma :


Modem/Routeur/Box :
oleane

Firewall/Serveur-passerelle multifonctions :
ipcop 2.11

Adressages :

Lan 192.168.200.0

interface ipcop green 192.168.200.6
interface ipcop red 192.168.1.4

interface routeur 192.168.1.1

Question :
certains de mes postes seven ont "droit" à un accès internet complet. pour ceux là la passerelle est déclarée.
mais d'autres (connecté à des machines en milieu industriel) ne doivent pas être mis à jour sauf pour l'antivirus et/ou pour certains un accès "surf"

Je m 'aperçois qu'en activant le mode transparent pour les postes sans passerelle, le proxy déclaré dans l'antivirus ou dans firefox cela ne fonctionne plus.

Pistes imaginées :
actuellement pas de mode transparent, tous les postes avec ou sans passerelle ont le proxy de défini dans l'antivirus et dans le navigateur.
cela fonctionne mais ce qui me gène c'est la possibilité de "débrancher" le proxy (pour ceux avec la passerelle déclarée) et de passer-outre le filtre "parental"
(on peut avoir des stagiaires mineurs dans l'entreprise)


J'espère avoir été suffisamment clair.

Merci de m'avoir lu et merci d'avance pour vos suggestions.
rupteur
 
Message(s) : 7
Inscription : 26 Fév 2014 14:39

Re: mode transparent et proxy

Message par jdh » 26 Fév 2014 18:06

A partir d'un certain volume, il est à conseiller de mettre en place un proxy dédié.
Sauf à disposer d'un pc surpuissant, la fonction proxy et la fonction firewall étant de nature TRES différente, elles doivent à un certain moment être séparée.

Bien sur, créer un proxy de toute pièce demande du temps mais cela permet aussi d'affiner les fonctionnalités.

Indiquer ou non la passerelle signifie que la configuration ip de chaque machine est manuelle ... ce qui est très bizarre aujourd'hui.
Au contraire, jouer sur un serveur DHCP pour affecter des ip précises à certaines machines et permettre ainsi de créer des "groupes" dans le proxy parait plus prometteur.

En utilisant le couple Squid + SquidGuard, on peut définir des groupes, basés sur des ip ou mieux des ranges d'ip, dont on peut ajuster le fonctionnement
- accès full (aevc blacklist)
- accès whitelist

Ce n'est ni super simple ni super compliqué à réaliser ...


NB : un proxy dédié permet de respecter l'obligation légale (ce qui n'est pas le cas du proxy embarqué dans ipcop). De plus le proxy transparent est une fausse bonne idée. Enfin il est assez aisé de trouver le proxy avec WPAD.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: mode transparent et proxy

Message par rupteur » 26 Fév 2014 21:18

Bonsoir,
le poste qui heberge ipcop est un serveur xeon. avec 8g de ram.
la passerelle est indiquée via l'option dhcp sur un serveur windows et les ip concernées sont des adresses réservées.
(serveur windows que j'ai oublié de mentionner plus haut, je m'en rend compte maintenant :oops: )

rien de manuel dans tout cela (heureusement :D )

ce que je ne comprend pas c'est la "régression" de Squid dans le fonctionnement du mode transparent.
pourquoi ne peut-on plus accéder au proxy en 8080 si le mode transparent est activé ?

Merci de vous être pencher sur mon cas.
rupteur
 
Message(s) : 7
Inscription : 26 Fév 2014 14:39

Re: mode transparent et proxy

Message par jdh » 27 Fév 2014 12:06

Evidemment un Xeon ...
Cela n'empêche : je préconise toujours firewall et proxy séparé, avec des hardware moins puissants
Avis perso : pfSense et ses packages Squid/SquidGuard/LightSquid me paraissent "plus configurables" si j'en crois l'interface web.


Squid écoute sur un port (par défaut 3128 pour un Squid standard).
Le proxy transparent est juste une règle iptables de "détournement" de flux.
De facto, Squid continue TOUJOURS a écouter sur le port défini.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: mode transparent et proxy

Message par rupteur » 27 Fév 2014 12:26

Entièrement d'accord sur le principe de la séparation des taches.

Malgré tout je ne comprend pas pourquoi le proxy ne réponds plus lors du mode transparent.
cela n'est, pour moi pas normal.

je vais retourner le problème.
pas de mode transparent, mais alors comment obliger les postes à utiliser le proxy ?

mes serveurs doivent passer sans proxy. les autres non.
je pense m'orienter vers une régle iptable qui filtrera suivant l'adresse ip.
rupteur
 
Message(s) : 7
Inscription : 26 Fév 2014 14:39

Re: mode transparent et proxy

Message par jdh » 27 Fév 2014 13:52

Il faut d'abord vérifier que le service Squid continue à tourner.
Piste :
- lire le fichier de conf (généré) de Squid et trouver le port d'écoute
- regarder l'instruction iptables qui renvoie vers le port
Une fois le port trouvé, vérifier que Squid reste à l'écoute, proxy transparent ou pas.

Ensuite, il y a le protocole WPAD qui permet de faire trouver le proxy.
Préférer la voie DNS et bien pensez que chaque navigateur lit à sa façon le proxy.pac !
cf http://irp.nain-t.net/doku.php/220squid:050_wpad et http://en.wikipedia.org/wiki/Web_Proxy_ ... y_Protocol
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: mode transparent et proxy

Message par rupteur » 27 Fév 2014 14:51

ah irp-nain-t , la bible selon mr Calecca, (ma référence depuis les années 2000)

Bon je vais mettre les main dans le cambouis et voir ce que fait squid.
rupteur
 
Message(s) : 7
Inscription : 26 Fév 2014 14:39

Re: mode transparent et proxy

Message par ShelbyGT500 » 28 Fév 2014 20:49

Bonjour,

j'ai eu le même problème lors de mes tests de la version de Copfilter pour IPCOP 2.1.1, à cause du fichier makesquidconf.pl

Quels sont les messages d'erreur dans le journal du proxy ?

Lorsque vous vous surfez sur un site avec un des postes concernés , avez vous un message d'erreur de type "invalid URL" ?

Merci par ailleurs de vérifer dans votre fichier /var/ipcop/proxy/squid.conf, lorsque squid est en mod transparent, si vous avez :

http_port 192.168.200.6:8080 transparent

ou

http_port 192.168.200.6:8080
http_port 127.0.0.1:8080 intercept

ou

http_port 192.168.200.6:8080 intercept ?

Cordialement
Dernière édition par ShelbyGT500 le 02 Mars 2014 09:38, édité 1 fois.
ShelbyGT500
 
Message(s) : 21
Inscription : 25 Fév 2012 18:37

Re: mode transparent et proxy

Message par rupteur » 01 Mars 2014 09:22

Bonjour,

je n'ai pas eu le temps de m'y repencher mais je vais contrôler tout cela.


Merci pour ces infos. !
rupteur
 
Message(s) : 7
Inscription : 26 Fév 2014 14:39

Re: mode transparent et proxy

Message par ShelbyGT500 » 03 Mars 2014 13:19

Bonjour,

La mise à jour 2.1.2 qui va être publiée dans le courant de la semaine devrait résoudre votre problème (et d'autres). ;)

Cordialement.
ShelbyGT500
 
Message(s) : 21
Inscription : 25 Fév 2012 18:37

Suivant

Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron