Proxy Filtrage... help me...

as_clown · Le 06/09/2010, à 23:47

Bonjour,

Je débute en Linux... et j'ai vraiment besoin de votre aide.
Je pose des questions surement idiote pour vous mais pas pour un débutant...
C'est pour une installation à l'export, et je me tourne vers lLinux la stabilité face au virus.

La situation, un environnement AD Win 2003 serveur (fichier / DHCP).
Une connexion internet.
Un poste avec ubuntu Serveur 10 comme proxy.

J'ai mis en place et configurer Squid comme proxy, pour les postes appartenant à l'AD, pas de problème la GPO me permet de configurer le navigateur IE.
Par contre, pour les autres navigateurs problème! les GPO passe pas... normal .

Aujourd'hui, si je renseigne le proxy dans les différents navigateurs ('même si ma config n'est pas totalement terminé) il bloque ou pas l'accès au page.
Mais s'il n'est pas configuré, tu accèdes au web complétement.

Questions :

Comment faire pour qu'une machine ne puisse pas accéder au web si le proxy n'est pas configuré?
D'après ce que j'ai cherché il semble q'il faille utiliser IPTABLE et 2 cartes réseaux.
Pouvez-vous confirmer ?
Si comment faire pour configurer ?

Si oui comment ajouter une 2ème carte réseau?
Il ne faut pas reprendre toute l'installation du serveur depuis le début, j'imagine?

Pour exemple plan d'adressage :

Routeur en 128.244.40.1

Serveur AD 128.244.5.1
Proxy 128.244.5.255

Imprimante 128.244.6.1 à 128.244.6.50
Les postes 128.244.7.1 à 128.244.7.255

Par avance merci, j'ai vraiment besoin d'un coups de main,

Bruno

chopinhauer · Le 07/09/2010, à 00:54

as_clown a écrit :

Comment faire pour qu'une machine ne puisse pas accéder au web si le proxy n'est pas configuré?

Il faut déployer un proxy transparent (transparent proxy) entre le réseau local et Internet.

Dans ton cas cela se réduit à utiliser ta machine Ubuntu comme passerelle (donc deux cartes réseau, une vers Internet et l'autre vers le réseau local) et une petite règle du firewall (iptables) pour rediriger tout le traffic sortant à destination du web vers ton serveur proxy.

Je n'ai pas de tutoriels à te conseiller, mais une recherche “squid transparents” en renvoie beaucoup.

Remarque: si ta passerelle/routeur est bien configurable, tu peux avoir le serveur proxy sur ta machine Ubuntu et la règle firewall sur la passerelle. C'est peut-être moins performant (plus de traffic réseau), mais efficace.

as_clown · Le 07/09/2010, à 01:09

Merci pour ta réponse...

Ah oui précisions importante, je souhaite pouvoir savoir qui fait quoi sur le net.
donc avoir des utilisateurs authentifiés sur le proxy.

Il me faut donc 2 cartes réseaux pour IP tables. c'est bien cela afin de faire un masquarade ?
j'entrevois la solution mais pour l'écrire je ne vois pas vraiment.

Quelqu'un peut-il me donner un exemple concret de config IP table dans une architecture.

Et non, je n'ai pas la main sur le modem / routeur.
Il faut que je filtre sans proxy tu ne sors pas ! avec oui !
mais comment faire la config mystére !

Merci à tous,

chopinhauer · Le 07/09/2010, à 01:35

as_clown a écrit :

Il me faut donc 2 cartes réseaux pour IP tables. c'est bien cela afin de faire un masquarade ?
j'entrevois la solution mais pour l'écrire je ne vois pas vraiment.

Le masquerading (aka NAT) est une technique pour cacher les adresses IP du réseau local depuis l'extérieur. Si tu n'as pas assez de adresses IP pour toutes tes machines, alors le modem va faire du NAT pour toi. Ce n'est pas la peine d'en ajouter un autre.

as_clown a écrit :

Quelqu'un peut-il me donner un exemple concret de config IP table dans une architecture.

Supposons que ton modem soit connecté à l'interface réseau eth0 et le réseau local à eth1. Alors

iptables -A FORWARD -p tcp -o eth0 --dport http -j REJECT

va bloquer tout le trafic web destiné vers l'extérieur forwardé par la machine Ubuntu (et l'expéditeur sera notifié de l'erreur). Le trafic web engendré par la machine même (donc celui effectué par le serveur proxy) ne sera pas perturbé.

as_clown · Le 07/09/2010, à 10:11

Ok Merci, je vais tester... et te dis comment cela se passe.

J'ai actuellement une seule carte réseau, si j'ajoute une carte notre bon Linux au boot reconnaitra ma nouvelle carte?

Eth 1 est l'adresse de passerelle sur mon réseau local ?

chopinhauer · Le 07/09/2010, à 12:47

as_clown a écrit :

J'ai actuellement une seule carte réseau, si j'ajoute une carte notre bon Linux au boot reconnaitra ma nouvelle carte?

Oui, il reconnaîtra la carte. Par contre seulement la carte connecté au modem aura son adresse configuré automatiquement.

Il faudra apprendre un minimum de configuration réseau sous Ubuntu. Il y a une page dans le Ubuntu Server Guide, mais il y a beaucoup de documentation (comment configurer une passerelle, routage, serveur DHCP) dans le Linux Documentation Project (souvent en anglais) et pour les outils qui sont utilisés dans Ubuntu il y a aussi le Guide Debian.

Si vous connaissait la gestion réseau sous Windows et vous avez une idée de comment organiser votre réseau, on peut vous donner l'équivalent en configuration Ubuntu.

À priori vous devez diviser votre réseau (par exemple 192.168.1.0/24) en deux morceau: 192.168.1.0/25 sera le morceau entre la boîte Ubuntu (une interface réseau) et le modem, tandis que 192.168.1.128/25 contiendra la boîte Ubuntu (l'autre interface réseau) et le reste du réseau. Si vous voulez garder une configuration automatique sur les machines Windows, il faudra avoir un Proxy DHCP sur la machine Ubuntu.

Vous avez déjà quoi comme modem/passerelle?

as_clown a écrit :

Eth 1 est l'adresse de passerelle sur mon réseau local ?

Non, c'est le nom symbolique de l'interface réseau, sous Linux elles portent des noms comme eth0, eth1, etc.

as_clown · Le 07/09/2010, à 13:20

C'est ma faute ma réponse n'était pas assez précise.

Oui pour la 1er carte j'ai mis une IP fixe dans le fichier interface et cela fonctionne, Squid tourne déjà.
Sans le Squidguard au moment ou j'écris.

L'adresse de mon modem (livebox ici) 128.244.40.1

Server Proxy : 128.244.5.2 pour eth0
128.244.5.3 pour eth1

Serveur AD (DHCP / Fichier) 128.244.5.1

Imprimante 128.244.6.1 à 128.244.6.50 (Ip Fixe)
Les postes 128.244.7.1 à 128.244.7.255 alloué par le DHCP.

Je vais acheter un carte réseau pour serveur ce soir car j'ai rien en stock. lol

Merci pour ton aide.

chopinhauer · Le 07/09/2010, à 14:02

as_clown a écrit :

C'est ma faute ma réponse n'était pas assez précise.

C'était juste difficile de comprendre si vous étiez un utilisateur “je débute en Linux, mais je connais bien les réseaux et Windows” ou un utilisateur “je débute en Linux et dans mon réseau tout marche automatiquement”. Dans mes réponses je préfère assumer le moins possible (donc la deuxième).

as_clown a écrit :

L'adresse de mon modem (livebox ici) 128.244.40.1
Server Proxy : 128.244.5.2 pour eth0
128.244.5.3 pour eth1
Serveur AD (DHCP / Fichier) 128.244.5.1
Imprimante 128.244.6.1 à 128.244.6.50 (Ip Fixe)
Les postes 128.244.7.1 à 128.244.7.255 alloué par le DHCP.

Avec ce nombre de machine, j'imagine que vous savez bien faire un subnetting pour simplifier les tables de routage des machines. Par contre, vu que vous avez dit que la Livebox ne se touche pas, je ne sais pas comment faire pour lui dire d'envoyer tout le trafic de Internet vers la passerelle Ubuntu.

Pour la gestion du réseau sur la machine Ubuntu vous aurez besoin d'apprendre la commande route pour configurer des tables de routage non triviales et activer le routage des paquets avec:

echo 1 /proc/sys/net/ipv4/ip_forward

(par exemple dans le script /etc/rc.local exécuté au démarrage, la commande 'iptables' devrait aussi être dans ce script)

Dernière modification par chopinhauer (Le 07/09/2010, à 14:03)

as_clown · Le 07/09/2010, à 15:12

Pour le projet proxy, je travaille en France sur une maquette avec une livebox mais cette config est destiné à l'export.

J'ai là bas un connexion internet avec peu de débit qui se fait "bouffer" par les users qui font n'importe quoi sur le réseau.

Je veux donc attribué un login proxy à chacun, et des droits par groupes (3).
Avoir une tracabilité de l'usage qui est fait.
Et interdire aussi... d'ou squid et squidgaurd, webalizer,
je m'attaque à squidguard aujourd'hui.

Pour les machines dans l'AD pas de problème une GPO et hop c'est bon!
Par contre, pour les postes personnels, pour le personnel de passage, les postes clients je ne souhaite pas une config automatique c'est pas le souci.
je souhaite surtout que personne ne sorte si le proxy n'est pas configurer sur la machine.
Donc soit obligé de faire appel à nous pour la config... Trop de monde... actuellement vient avec le PC perso et fait ce qu'il veut là bas...

Linux peut semsible au virus (pas du tout), me parait le meilleur choix, je connais l'administration de réseau sous windows 2003 serveur.
LEs GPOs mais pour tous ce qui est routage c'est géré par d'autres.

Je peux modifié la config de la livebox en france mais je ne pourrait pas modifier la config du routeur de notre fournisseur (SAT3).

je dois dons faire le filtrage en amont du routeur et renvoyer ou pas les requêtes dessus.

IPTABLE, NETFILTER, pour moi c'est de la découverte complète.

Linux j'ai découvert il y a 2 ou 3 mois, j'ai mis un poste en libre service accès web et bloqué les applis, rien de bien difficiles.

ceci doit répondre à mon usage non ???

Supposons que ton modem soit connecté à l'interface réseau eth0 et le réseau local à eth1. Alors
Code:
iptables -A FORWARD -p tcp -o eth0 --dport http -j REJECT

je pourrais tester demain j'espère.

Dernière modification par as_clown (Le 07/09/2010, à 15:14)

chopinhauer · Le 07/09/2010, à 16:06

as_clown a écrit :

Linux peut semsible au virus (pas du tout), me parait le meilleur choix, je connais l'administration de réseau sous windows 2003 serveur.
LEs GPOs mais pour tous ce qui est routage c'est géré par d'autres.
Je peux modifié la config de la livebox en france mais je ne pourrait pas modifier la config du routeur de notre fournisseur (SAT3).

Si on ne peut pas toucher à la configuration du routeur externe, il faut chercher une solution qui ne partage pas le réseau local en deux sous-réseaux.

Je pense que la meilleure solution est un Proxy ARP: avec cette solution la machine Ubuntu peut s'entreposer physiquement entre réseau local et routeur et filtrer les trafic. Au même temps le reste des machines peut être configuré comme si la machine Ubuntu n'existait pas.

Dernière modification par chopinhauer (Le 07/09/2010, à 16:06)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/09/2010, à 23:47

Proxy Filtrage... help me...

#2 Le 07/09/2010, à 00:54

Re : Proxy Filtrage... help me...

#3 Le 07/09/2010, à 01:09

Re : Proxy Filtrage... help me...

#4 Le 07/09/2010, à 01:35

Re : Proxy Filtrage... help me...

#5 Le 07/09/2010, à 10:11

Re : Proxy Filtrage... help me...

#6 Le 07/09/2010, à 12:47

Re : Proxy Filtrage... help me...

#7 Le 07/09/2010, à 13:20

Re : Proxy Filtrage... help me...

#8 Le 07/09/2010, à 14:02

Re : Proxy Filtrage... help me...

#9 Le 07/09/2010, à 15:12

Re : Proxy Filtrage... help me...

#10 Le 07/09/2010, à 16:06

Re : Proxy Filtrage... help me...

Pied de page des forums