Ubuntu-fr

Irmat

Proxy avec SquidGuard en passerelle

Bonjour à tous,

J'ai monté un proxy avec squid et squidguard, j'ai créée toutes mes règles de filtrages et mis tous les sites à blacklister. Quand je vais dans mon navigateur et que je demande de passer par mon proxy, tout se passe comme je le souhaite, tout est filtré correctement.

Mon réseau étant celui d'une école, j'aimerai empêcher que des élèves avec leurs laptops arrivent et se branche sur une prise murale qui traine et ainsi ne passe pas par mon proxy. Ce que j'ai donc fait c'est que j'ai définie l'interface d'entrée du proxy comme passerelle par défaut sur le serveur DHCP, de ce fait, tout mes PCs étant adressés en DHCP passe par mon proxy.

Cependant mon problème est que plus rien n'est filtré si le navigateur n'est pas configuré, ce qui me pose des problèmes car tous les sites blacklistés sont accessibles et l'authentification nécessaire lors de la connexion sur le proxy n'est même plus demandée...
Donc l'ensemble du réseau n'est plus du tout filtré...

Y a t-il une solution pour filtrer en ayant le proxy comme passerelle ?

Merci d'avance
Jason

Santa

Re : Proxy avec SquidGuard en passerelle

Tu cherches a faire un proxy transparent.

Il suffit de rediriger le traffic qui sort vers ton proxy avec iptables par exemple:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 8080

---

S'il n'y a pas de réponse simple, c'est peut-être que le problème est compliqué...

syj

Re : Proxy avec SquidGuard en passerelle

Salut,
Le proxy transparent te permet de limiter le traffic HTTP mais pas le traffic HTTPS.

pour ton problème de connexion pirate, la meilleur solution est de mettre en place une autentification Radius mais çà rajoute de forte contrainte pour le deploiement de postes.

Syj

Irmat

Re : Proxy avec SquidGuard en passerelle

Merci pour vos conseils. J'ai tout d'abord redirigé le port 80 qui arrivait sur mon interface 192.168.0.228/24 vers le port 8080, or rien n'est filtré .

Merci pour tes conseils syj, mais ta solution me parait un peu trop lourde à mettre en place.

Laeris

Re : Proxy avec SquidGuard en passerelle

Salut,

à mon avis, tu peux résoudre facilement ton problème en changeant d'architecture réseau.

D'après ce que tu dis, je suppose que l'architecture actuelle ressemble à ça :

proxy |
pc1    |
pc2    |---- switch ---- routeur----internet
pc3    |
...       |
pcn    |
avec éventuellement des antennes wifi connectées à ton switch ...

c'est clair que si les pc ne sont pas configurés pour passer par le proxy ... ils sortent direct

il faudrait donc que tu passes à ça :
pc1    |
pc2    |---- switch ----proxy---- routeur----internet
pc3    |
...       |
pcn    |
le proxy ayant 2 cartes réseaux (une pour le LAN, une pour le WAN via le routeur ou un modem)
avec éventuellement d'autres cartes réseaux pour séparer le wifi du lan, faire une DMZ etc etc

j'ai installé cette solution pas mal de fois via une distrib linux spécialisée dans le domaine :
ipcop
il existe pas mal d'addon, dont un permettant de gérer les black list (url filter) ou encore le filtrage (sur smtp et/ou pop)
pour les virus et spam (copfilter)

l'interfaçage avec un ldap ou active directory est assez simple à réaliser pour autentifier les user à la volée si nécessaire.

Irmat

Re : Proxy avec SquidGuard en passerelle

Voici mon architecture actuelle :

pc1  |
pc2  |
pc3  |---->switch--->proxy--->firwall--->routeur--->internet
....   |
pcn  |

Les ordinateurs sont bien configurés pour passer par le proxy car ils ont son adresse ip comme passerelle...

Je connais IPcop mais le problème c'est que c'est une version stable avec une kernel 2.4, or le 2.4 ne supporte pas le sata.

Tout ça pour dire que ce n'est pas un problème d'architecture ou encore de configuration des stations.

Merci quand même de ton aide
Jason

Irmat

Re : Proxy avec SquidGuard en passerelle

Est ce que ma solution ne serait pas avec un .pac ?