Fil de discussion sur les proxy

Pause Café
#1

Voilà une question toute bête après avoir fouiner sur le forum à l’aide de la fonction recherche je n’ai pas réussi à trouver un fil dans pause café nous permettant de discuter sur les différents proxy aux quels nous avons l’habitude de bricoler.

Il y a déjà un tutoriel de Fran.B sur “squid” et “squidguard” fort intéressant mais j’avoue que je serais très intéresser qu’une discussion sur ce forum nous permette de connaître d’autres proxys tel que “privoxy” mais ils y en d’autres :033

Cela serais intéressant de pouvoir discuter sur leurs points fort et faibles ainsi que sur les options qu’ils permettent et d’autres non qu’en pensez vous ?

#2

Je ne suis pas à ta place, mais si je l’étais, je commencerais par décrire ce que tu entends faire et rechercher.
À commencer par expliquer ce qu’est un proxy et surtout, sa fonction.

#3

[quote=“ricardo”]Je ne suis pas à ta place, mais si je l’étais, je commencerais par décrire ce que tu entends faire et rechercher.
À commencer par expliquer ce qu’est un proxy et surtout, sa fonction.[/quote]
+1

Ca permettrait d’aider à se retrouver voire à faire participé les noob dans mon genre :smiley:

#4

Salut,
Surtout qu’il existe des proxy pour tout… http, tcp, apt, imap, jabberd, dns, radius, irc… Et j’en passe.
Pas évident de s’y retrouver.

J’utilise un seul proxy: squid.
La documentation est abondante, et un filtre très complet et très efficace (squidguard) vient le compléter.

#5

Ça sert à quoi ?
.Je me fais l’avocat du Diable :smiling_imp:

#6

Hum…

Ça relaye les requêtes entre le serveur et le client. Ça peut stocker les fichiers (et donc les fournir pour une demande semblable sans aller de nouveau sur le net) dans un cache. Ça peut servir pour l’anonymat du client, et enfin ça peut servir pour filtrer les demandes des clients et ne relayer que celles autorisées.
C’est cette dernière fonction qui est assurée par SquidGuard, je m’en sert beaucoup, c’est utile pour éviter que les “clients” n’aillent sur de sites pourris…

Edit: Ça ne fonctionne pas sur le https pour des raisons de sécurité bien sur (Man in the middle).

#7

C’est pas un boulot pour un parfeu ça ?

#8

[quote=“ricardo”]Je ne suis pas à ta place, mais si je l’étais, je commencerais par décrire ce que tu entends faire et rechercher.
À commencer par expliquer ce qu’est un proxy et surtout, sa fonction.[/quote]

Je tâter déjà le terrain pour savoir si quelques connaisseurs serait parti pour nous faire quelques retours car effectivement le sujets est vaste :whistle:

Dans un premier temps nous pourrions déjà dégrossir le sujets et parler des différentes possibilités déjà évoqué par lol :033

un Proxy ( n’hésitez pas à compléter ou corriger mes lacunes en la question :stuck_out_tongue: ) peut jouer trois rôle :

_ un rôle de gestion du cache
_ un rôle de filtrage
_ un rôle de sécurité sur les informations

Sans trop détailler pour l’instant je suis très intéresser sur le rôle du filtrage et de la gestion de l’anonymat :unamused:
La gestion du cache à été quelques peut aborder par Ed il y a quelques temps avec Varnish, et comme je l’ai dit plus haut une excellent base de travail à été posté par Fran.B dans les trucs & astuces du forum.

Mais je ne suis pas un expert ( loin de là ) et c’est pourquoi j’aurai bien aimé que des gens expérimenté puisse nous en parlé et partager un peut leur connaissances et astuces avec nous sur les différents types de proxy qu’ils ont déjà déployés :083

C’est pas un boulot pour un parfeu ça ?[/quote]

De quoi filtrer les sorties vers des “url” particulières ?

#9

C’est pas un boulot pour un parfeu ça ?[/quote]
Pas forcément. Ca peut, mais le proxy permet des réglages plus fins.

#10

C’est pas un boulot pour un parfeu ça ?[/quote]
De quoi filtrer les sorties vers des “url” particulières ?[/quote]
J’ai réfléchis après coup, en fait si tu fait de l’analyse d’URL voir de contenu (quand le flux est en clair) alors oui c’est interessant.

C’est ce qui est fait à mon travail.

@dric64 > Tout as fait mais si c’est pour simplement bloquer un ensemble d’IP, le parfeu est plus performant.

#11

[quote=“MisterFreez”]
@dric64 > Tout as fait mais si c’est pour simplement bloquer un ensemble d’IP, le parfeu est plus performant.[/quote]

+1 pour un filtrage par IP et je pensais avec du recul confié un filtrage plus poussé sur le contenu par un proxy à ma passerelle actuelle :083

mais maintenant je regarde aussi pour un filtrage en vus de gérer une authentification par un annuaire ldap pour les services privés que j’héberge.

#12

Serais intéressé par fonction anonymat.

#13

Oui, le proxy ne filtre qu’au niveau applicatif. D’ailleurs, c’est le rôle du pare-feu d’obliger les machines du réseau à utiliser le proxy pour les protocoles voulus !

Le proxy peut aussi servir au niveau personnel, pour du cache et/ou pour filtrer les pubs…

Varnish est plutôt fait pour être utilisé au niveau serveur (reverse proxy) : fr.wikipedia.org/wiki/Reverse_proxy
(mais ça doit sûrement être faisable de l’utiliser pour du cache simple au niveau client).

Le principe est que tu utilises un proxy distant pour accéder à tes pages. Vu que c’est le proxy qui fait la requête, c’est son adresse IP qui sera vue par le serveur qui héberge la page.
Tu ne peux donc pas mettre ça en place chez toi (ça serait toujours ton adresse qui sera vue).

#14

@ kna : par contre il me sembler que l’on pouvait choisir les type d’information avec un proxy du coup mise à part l’IP je me demandais ce que l’on pouvais filtrer comme information :083

#15

Re,
Je n’ai pas beaucoup d’expérience, je n’ai travaillé qu’avec squid+squidguard pour l’instant.

Le couple est très efficace.
Le cache est intéressant, il permet même d’accéder à des pages hors connexion (si “offline_mode” est activé).
Le proxy peut lui-même demander une authentification, c’est intéressant aussi si on souhaite en controler l’accès.
On peut limiter le débit, limiter le téléchargement…

Les options sont très nombreuses, je n’ai pas tout testé…

Pour ce qui est de SquidGuarg, là aussi une multitude d’options.
Ce que j’utilise le plus : Le filtrage par “liste noire” et le SafeSearch (permet de forcer les clients à passer les recherches Google en “safe mode”).
Dans les liste, là aussi beaucoup de choix… (C’est généralement porn, sex, agressive, violence, hacking…). La liste “pub” est intéressante aussi. Elle permet de se débarrasser des pubs dans les pages Web :smiley:
Mes enfants ont un ordi à la maison, je ne suis pas toujours derrière, ça permet d’être tranquille…

Et je ne me vois pas faire tout ça avec iptables… :mrgreen:

#16

[quote=“lol”]
Mes enfants ont un ordi à la maison, je ne suis pas toujours derrière, ça permet d’être tranquille…

Et je ne me vois pas faire tout ça avec iptables… :mrgreen:[/quote]

C’est aussi pour ça que je m’y mets :wink: même si il est encore bien trop jeune pour je préfère anticiper afin de maîtriser l’outil le jour ou j’en aurai besoin. :023

D’ailleurs je suis en pleine restructuration de ma passerelle à la maison et vus que je passé par de la virtualisation cela donné pour l’instant ça avec XEN :

Machine 1 :
Dom0 ( pour administrer les différents domU )
DomU 1 firewall
DomU 2 un proxy( sans doute à mettre en place avec le débuts de lecture de ce sujets et mes besoins )
DomU 3 un serveur d’authentification ( j’ai choisi openldap et gérera l’ensemble de tous mes services :whistle: )
DomU 4 espace web sous apache ( rien de bien miraculeux et en cour de migration vers nginx )
DomU 5 espace web sous lighthttp ( pour mettre deux petits blogs en ligne ainsi qu’un petit wiki encore en cour d’écriture )
DomU 6 un espace web de test avec différents type de serveur ( tornado, nginx, cherokee )
DomU 7 une gallery photo accessible pour la famille depuis le web
DomU 8 un espace de partage actuellement en NFS ( je verrai si je laisse ça en NFS ou si je le passe en samba :confused: )

Machine 2 :
Serveur mail
serveur de version ( mercurial ou git j’ai pas encore regardé à ça et j’utilise le SVN d’un ami pour l’instant :blush: )
un espace de back-up hébergé pour l’instant sur cette machine mais à terme il sera transféré sur un NAS

C’est donc pour ça que je me renseigne et demandé des retours d’expérience afin de bien penser la partie sécurité ( filtrage et routage dans un premier temps ) mes autres machines se trouvent derrière la machine 1 relié en ethernet sur plusieurs carte réseaux qui finalement me sert de passerelle :023

#17

[quote=“Clochette”]Machine 1 :
Dom0 ( pour administrer les différents domU )
DomU 1 firewall
DomU 2 un proxy( sans doute à mettre en place avec le débuts de lecture de ce sujets et mes besoins )
DomU 3 un serveur d’authentification ( j’ai choisi openldap et gérera l’ensemble de tous mes services :whistle: )
DomU 4 espace web sous apache ( rien de bien miraculeux et en cour de migration vers nginx )
DomU 5 espace web sous lighthttp ( pour mettre deux petits blogs en ligne ainsi qu’un petit wiki encore en cour d’écriture )
DomU 6 un espace web de test avec différents type de serveur ( tornado, nginx, cherokee )
DomU 7 une gallery photo accessible pour la famille depuis le web
DomU 8 un espace de partage actuellement en NFS ( je verrai si je laisse ça en NFS ou si je le passe en samba :confused: )[/quote]
Tu met tout tes services dans une machine virtuelle chacun ?
Si j’avais vraiment si peu confiance en mes appli et/ou autant besoin de sécurité à ta place je me tournerais vers une BSD avec des jails, c’est toujours plus performant et ça permet de ne pas avoir à surdimensionner sa machine.

#18

[quote=“MisterFreez”][quote=“Clochette”]Machine 1 :
Dom0 ( pour administrer les différents domU )
DomU 1 firewall
DomU 2 un proxy( sans doute à mettre en place avec le débuts de lecture de ce sujets et mes besoins )
DomU 3 un serveur d’authentification ( j’ai choisi openldap et gérera l’ensemble de tous mes services :whistle: )
DomU 4 espace web sous apache ( rien de bien miraculeux et en cour de migration vers nginx )
DomU 5 espace web sous lighthttp ( pour mettre deux petits blogs en ligne ainsi qu’un petit wiki encore en cour d’écriture )
DomU 6 un espace web de test avec différents type de serveur ( tornado, nginx, cherokee )
DomU 7 une gallery photo accessible pour la famille depuis le web
DomU 8 un espace de partage actuellement en NFS ( je verrai si je laisse ça en NFS ou si je le passe en samba :confused: )[/quote]
Tu met tout tes services dans une machine virtuelle chacun ?
Si j’avais vraiment si peu confiance en mes appli et/ou autant besoin de sécurité à ta place je me tournerais vers une BSD avec des jails, c’est toujours plus performant et ça permet de ne pas avoir à surdimensionner sa machine.[/quote]

Mais tu lit dans mes pensées dit donc :005 :005 :005 je pensais justement à me refaire tout le bouzin sous openbsd, le seul hic c’est que j’apprécie bien Debian que je commence à m’y faire ( après c’est juste quelques ajustements ).
Du coup voilà pourquoi j’étais intéressé à discuter de proxy pour flairer la bonne combinaison et pourquoi pas voir deux ou trois trucs que je ne soupçonnais pas.

Malgré tout je précise que la machine était mon ancien gros PC ( du gros quatre coeur avec 6Go de ram ) du coup j’étais à l’aise et j’aimais bien bricoler mes différents services tout en restant clair au niveau installation; mais l’argument principale c’était que je lorgner sur une formation afin de me reconvertir dans l’univers du réseau et ça me permettait à moindre coup de réaliser l’équivalent d’une grosse installation afin de me faire la main.

#19

Salut,

openBSD c’est sympa, mais ça manque de logiciel je trouve. Slackware, Gentoo ou LFS c’est mieux, à mon avis, car plus d’utilisateurs donc plus de retour d’expériences et plus d’exemples de configurations … Mais c’est un choix aussi faisable.

@lol: Tu devrais peut-être essayer un proxy d’anonymisation avec ton squid, à une époque c’était pas mal. :wink: Mais je ne sais plus maintenant car Squid a eu un passage avec failles.
Et, non, si cela ne fonctionne pas en https ce n’est pas à cause d’un MIN mais simplement que ta connexion est cryptée, donc tu peux l’utiliser mais il ne verra rien.

Juste pour ajouter: Le proxy permet (certains seulement ?) de ne pas permettre de savoir le nombre de machine “derrière” et cela aussi sur la machine hôte, pratique pour qui ne veux pas faire dans l’exhibitionnisme. Cela permet aussi de filtrer les en-têtes, certaines étant (trop) loquaces.
(EDIT: C’est d’un proxy anonymisant dont je parle là.)

#20

Le noyau linux ne possède pas de jails, donc ça reviens au même qu’une Debian à devoir utiliser de la virtualisation si on veut isoler les services.