PhenIXUS

[rupteur]

Contexte :
30 postes seven
1 ipcop
6 serveurs debian
1 routeur oleane

Besoin :
activation du proxy en mode transparent mais avec un accès direct au proxy toujours fonctionnel
j'utilise ipcop depuis plusieurs années. (notamment en 1.4 et cela fonctionnait sur ce schéma)

Schéma :


Modem/Routeur/Box :
oleane

Firewall/Serveur-passerelle multifonctions :
ipcop 2.11

Adressages :

Lan 192.168.200.0

interface ipcop green 192.168.200.6
interface ipcop red 192.168.1.4

interface routeur 192.168.1.1

Question :
certains de mes postes seven ont "droit" à un accès internet complet. pour ceux là la passerelle est déclarée.
mais d'autres (connecté à des machines en milieu industriel) ne doivent pas être mis à jour sauf pour l'antivirus et/ou pour certains un accès "surf"

Je m 'aperçois qu'en activant le mode transparent pour les postes sans passerelle, le proxy déclaré dans l'antivirus ou dans firefox cela ne fonctionne plus.

Pistes imaginées :
actuellement pas de mode transparent, tous les postes avec ou sans passerelle ont le proxy de défini dans l'antivirus et dans le navigateur.
cela fonctionne mais ce qui me gène c'est la possibilité de "débrancher" le proxy (pour ceux avec la passerelle déclarée) et de passer-outre le filtre "parental"
(on peut avoir des stagiaires mineurs dans l'entreprise)


J'espère avoir été suffisamment clair.

Merci de m'avoir lu et merci d'avance pour vos suggestions.

[jdh]

A partir d'un certain volume, il est à conseiller de mettre en place un proxy dédié.
Sauf à disposer d'un pc surpuissant, la fonction proxy et la fonction firewall étant de nature TRES différente, elles doivent à un certain moment être séparée.

Bien sur, créer un proxy de toute pièce demande du temps mais cela permet aussi d'affiner les fonctionnalités.

Indiquer ou non la passerelle signifie que la configuration ip de chaque machine est manuelle ... ce qui est très bizarre aujourd'hui.
Au contraire, jouer sur un serveur DHCP pour affecter des ip précises à certaines machines et permettre ainsi de créer des "groupes" dans le proxy parait plus prometteur.

En utilisant le couple Squid + SquidGuard, on peut définir des groupes, basés sur des ip ou mieux des ranges d'ip, dont on peut ajuster le fonctionnement
- accès full (aevc blacklist)
- accès whitelist

Ce n'est ni super simple ni super compliqué à réaliser ...


NB : un proxy dédié permet de respecter l'obligation légale (ce qui n'est pas le cas du proxy embarqué dans ipcop). De plus le proxy transparent est une fausse bonne idée. Enfin il est assez aisé de trouver le proxy avec WPAD.

[rupteur]

Bonsoir,
le poste qui heberge ipcop est un serveur xeon. avec 8g de ram.
la passerelle est indiquée via l'option dhcp sur un serveur windows et les ip concernées sont des adresses réservées.
(serveur windows que j'ai oublié de mentionner plus haut, je m'en rend compte maintenant )

rien de manuel dans tout cela (heureusement )

ce que je ne comprend pas c'est la "régression" de Squid dans le fonctionnement du mode transparent.
pourquoi ne peut-on plus accéder au proxy en 8080 si le mode transparent est activé ?

Merci de vous être pencher sur mon cas.

[jdh]

Evidemment un Xeon ...
Cela n'empêche : je préconise toujours firewall et proxy séparé, avec des hardware moins puissants
Avis perso : pfSense et ses packages Squid/SquidGuard/LightSquid me paraissent "plus configurables" si j'en crois l'interface web.


Squid écoute sur un port (par défaut 3128 pour un Squid standard).
Le proxy transparent est juste une règle iptables de "détournement" de flux.
De facto, Squid continue TOUJOURS a écouter sur le port défini.

[rupteur]

Entièrement d'accord sur le principe de la séparation des taches.

Malgré tout je ne comprend pas pourquoi le proxy ne réponds plus lors du mode transparent.
cela n'est, pour moi pas normal.

je vais retourner le problème.
pas de mode transparent, mais alors comment obliger les postes à utiliser le proxy ?

mes serveurs doivent passer sans proxy. les autres non.
je pense m'orienter vers une régle iptable qui filtrera suivant l'adresse ip.

[jdh]

Il faut d'abord vérifier que le service Squid continue à tourner.
Piste :
- lire le fichier de conf (généré) de Squid et trouver le port d'écoute
- regarder l'instruction iptables qui renvoie vers le port
Une fois le port trouvé, vérifier que Squid reste à l'écoute, proxy transparent ou pas.

Ensuite, il y a le protocole WPAD qui permet de faire trouver le proxy.
Préférer la voie DNS et bien pensez que chaque navigateur lit à sa façon le proxy.pac !
cf http://irp.nain-t.net/doku.php/220squid:050_wpad et http://en.wikipedia.org/wiki/Web_Proxy_ ... y_Protocol

[rupteur]

ah irp-nain-t , la bible selon mr Calecca, (ma référence depuis les années 2000)

Bon je vais mettre les main dans le cambouis et voir ce que fait squid.

[ShelbyGT500]

Bonjour,

j'ai eu le même problème lors de mes tests de la version de Copfilter pour IPCOP 2.1.1, à cause du fichier makesquidconf.pl

Quels sont les messages d'erreur dans le journal du proxy ?

Lorsque vous vous surfez sur un site avec un des postes concernés , avez vous un message d'erreur de type "invalid URL" ?

Merci par ailleurs de vérifer dans votre fichier /var/ipcop/proxy/squid.conf, lorsque squid est en mod transparent, si vous avez :

http_port 192.168.200.6:8080 transparent

ou

http_port 192.168.200.6:8080
http_port 127.0.0.1:8080 intercept

ou

http_port 192.168.200.6:8080 intercept ?

Cordialement

[rupteur]

Bonjour,

je n'ai pas eu le temps de m'y repencher mais je vais contrôler tout cela.


Merci pour ces infos. !

[ShelbyGT500]

Bonjour,

La mise à jour 2.1.2 qui va être publiée dans le courant de la semaine devrait résoudre votre problème (et d'autres).

Cordialement.