FAI et Proxys "transparents"

Salut à tous.
J’aurais une tite question, dans quelle mesure les FAIs sont-ils susceptibles de nous mettre derrière un proxy? Doivent-ils nous en avertir? Quid de la législation sur le sujet? Vous en savez quelque chose?
Je suis à la réunion, mon fai est un certain ZEOP qui fait de la fibre optique puis coaxial jusqu’à la maison, ça marche moyennement bien mais surtout, j’ai souvent des réponses d’un proxy, hors on ne m’en a jamais parlé, je trouve tout ça un peu cavalier de leur part. Voir la photo, sur laquelle squid répond cordialement à ma requête.

Je pense que les FAI utilisent un proxy pour, avant tout, optimiser la bande passante.

Techniquement, ce n’est pas reprochable…

Ce qui me dérangerait plus, ça serait l’utilisation de SquiGuard

Je laisse les experts détailler plus ce sujet…

Cela ne me choque pas, fournisseur internet et mobile font souvent cela.
Idem pour les DNS.

Merci pour vos avis.

À la Réunion il y a clairement un goulet d’étranglement pour le trafic, la capacité des câbles sous marins étant limitée, du coup le proxy du FAI pour optimiser l’usage du câble est techniquement justifié. Cela dit, ils pourraient tout au moins nous en avertir.
Pour ce qui est des réseaux mobiles, c’est pire! Il font de la NAT, un client n’a pas son IP sur le net. Lire par exemple:
blog.fdn.fr/?post/2010/03/22/Pou … S-Internet

Tu peux voir si tu es derrière un proxy en cherchant

boisson.homeip.net/cgi-bin/environ.cgi

Tu verras tous les renseignements que tu transmets y compris si tu passes par un proxy (et même l’adresse dans ton LAN).

[quote=“M3t4linux”]Je pense que les FAI utilisent un proxy pour, avant tout, optimiser la bande passante.
Techniquement, ce n’est pas reprochable…[/quote]
Pas d’accord.
Par principe, l’internet est un réseau de couche 3 qui fournit une connectivité de bout en bout. Imposer un proxy, c’est aller à l’encontre de ce principe donc ce n’est pas fournir un véritable accès à internet. Le client devrait en être informé, au minimum.

Que se passe-t-il si on se sert du port 80/TCP pour autre chose que du HTTP ? Ça risque fort de ne pas marcher, si le proxy intercepte la communication en se basant sur le seul port et se rend compte ensuite qu’il ne comprend pas le protocole applicatif utilisé.

[quote=“PascalHambourg”][quote=“M3t4linux”]Je pense que les FAI utilisent un proxy pour, avant tout, optimiser la bande passante.
Techniquement, ce n’est pas reprochable…[/quote]
Pas d’accord.
Par principe, l’internet est un réseau de couche 3 qui fournit une connectivité de bout en bout. Imposer un proxy, c’est aller à l’encontre de ce principe donc ce n’est pas fournir un véritable accès à internet. Le client devrait en être informé, au minimum.

Que se passe-t-il si on se sert du port 80/TCP pour autre chose que du HTTP ? Ça risque fort de ne pas marcher, si le proxy intercepte la communication en se basant sur le seul port et se rend compte ensuite qu’il ne comprend pas le protocole applicatif utilisé.[/quote]

C’est noté!

@fran.b
Je ne vois rien d’anormal en chargeant le cgi présent sur ta page, et je n’ai pas l’adresse de ma machine sur le réseau local. Par contre, lorsque le chargement d’une page échoue, j’arrive sur une page du type de celle que j’ai jointe en capture d’écran (page retournée par node4.cache.zeop.re (squid/3.1.19) )

@PascalHambourg

Je peux tester le port TCP/80 pour faire autre chose? Avec Netcat? Il me faut une autre machine avec laquelle discuter? Je peux faire ça avec la bécane d’un proche derrière une livebox en redirigeant ce port sur sa machine depuis la livebox, idem chez moi avec ma “zeop” box?

Merci pour vos remarques.

[code]http://boisson.homeip.net/cgi-bin/environ.cgi
Origine louche de boisson.homeip.net <-> www.debian-fr.org
Navigateur Mozilla version 5.0
Système d’exploitation rv:10.0.10
Adresse IP: blabla ip publique
SCRIPT_NAME =/cgi-bin/environ.cgi
SERVER_NAME =boisson.homeip.net
HTTP_REFERER =http://www.debian-fr.org/posting.php?mode=reply&f=1&t=41303
SERVER_ADMIN =EFFACÉ
HTTP_ACCEPT_ENCODING =gzip, deflate
HTTP_CONNECTION =keep-alive
REQUEST_METHOD =GET
HTTP_DNT =1
HTTP_ACCEPT =text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
SCRIPT_FILENAME =/usr/lib/cgi-bin/environ.cgi
SERVER_SOFTWARE =Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze8 with Suhosin-Patch mod_ssl/2.2.16 OpenSSL/0.9.8o
QUERY_STRING =
REMOTE_PORT =50546
HTTP_USER_AGENT =Mozilla/5.0 (X11; Linux i686; rv:10.0.10) Gecko/20100101 Firefox/10.0.10 Iceweasel/10.0.10
SERVER_PORT =80
SERVER_SIGNATURE =
Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze8 with Suhosin-Patch mod_ssl/2.2.16 OpenSSL/0.9.8o Server at boisson.homeip.net Port 80

HTTP_ACCEPT_LANGUAGE =fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
REMOTE_ADDR =blabla ip publique
SERVER_PROTOCOL =HTTP/1.1
PATH =/usr/local/bin:/usr/bin:/bin
REQUEST_URI =/cgi-bin/environ.cgi
GATEWAY_INTERFACE =CGI/1.1
SERVER_ADDR =82.66.248.156
DOCUMENT_ROOT =/var/www
REMOTE_HOST =blabla.zeop.re
HTTP_HOST =boisson.homeip.net[/code]

Hum, vraiment curieux. Si tu veux être sûr qu’il y a un proxy, il faudrait que tu passes par le port 80 pour un autre service. Ce serait faisable si tu me donnais ton IP pour te faire une règle spécifique.

PS: Efface mon adresse email, je me fous que les gens connaissent mon IP et autres mais recevant pas loin de 190 spams par jour (193 hier), je n’ai pas envie que ça augmente.

C’est fait, histoire que ça reste visible le moins longtemps possible.

Oui, une machine distante située au-delà du FAI. Si besoin je peux mettre en place quelque chose sur ma machine, comme un service “écho” ou l’envoi d’un texte quelconque.

Pour la livebox, probablement. Pour ta propre box, ce n’est utile que si tu veux vérifier que les connexions entrantes de l’extérieur vers toi sur le port 80 ne sont pas filtrées ni interceptées. Dans ce cas il te faudra tenter la connexion depuis un autre FAI.

@fran.b
Oups, désolé pour l’adresse mail! Merci Syam.
@PascalHambourg
Bon bein quand j’aurais le temps j’irais chez mon père rediriger le TCP/80 et le 22 pour le ssh afin de me connecter chez lui en ssh et utiliser netcat depuis chez lui. Il est chez orange donc pas le même FAI. Mais c’est pas pour tout de suite!