Iptables redirection de ports

[quote=“psgkiki”]mais est ce qu’on peut faire des règles Iptables par commande (si oui comment) car quand je tape la commande ca ne la prend pas en compte, donc je le fais via Webmin.

Comment fait on donc pour ecrire les iptables en commande et qu’elles soient prises en compte.[/quote]Si tu veux que je t’aide, tu pourrais au moins répondre à mes questions
je réponds au tiennes:
Webmin et les scripts de gestion d’iptables cohabitent trés mal.
/etc/init.d/webmin-iptables fait un iptables-restore d’un fichier situé dans /etc/default, me semble t’il. Or l’interface fonctionne en direct sur ce fichier.
Donc à chaque redémarrage de ta machine, webmin “oublie” les modifs que tu as pu faire autrement que par l’interface.
Si tu veux vraiment utiliser webmin, penses déjà à ne pas le démarrer automatiquement (tu le lances à la main depuis une connection ssh), et pour webmin-iptables, il y a un bouton permettant d’importer la config courante du noyau comme nouvelle configuration de webmin-iptables (je ne retrouve plus son intitulé).

Excuse moi si j’ai oublié de te répondre a ta question.

Oui oui, donc mon fichier dansguardian.conf, jai bien les lignes :

filterport = 8081
proxyip = 192.168.10.190
proxyport = 8080

Je vais tester tes iptables

Attention: les règles iptables que je t’ai données ne concernent que la transparence de ton proxy, pas ton problême de chainage entre dansguardian et squid.
Donc il y a toutes les chances que ça ne fonctionne pas en msnt_auth, même si le REDIRECT ne gène pas pour le diag, puisqu’on sait que ça ne fait que rediriger le traffic sur le port.
Par contre, tu peux essayer aussi proxyip=127.0.0.1.
Autre piste à essayer, ouvrir un peu les acl squid, parceque la provenance apparente des paquets, une fois passé par dansguardian, n’est peut être plus en 192.168.10.X, mais est peut être en 127.0.0.1 (si tu as mis une autre acl sur l’adresse…
il faudrait, avec iptables en loguant ou ethereal ou un autre outil, voir par ou passent les paquets entre dansguardian et squid.
mais bon… a reflechir au symptôme, dansguardian retransmet bien les paquets à squid, sinon, tu n’aurais même pas de demande d’auth…
Il y a aussi un flag dans squid.conf pour faire fonctionner squid si je me souviens bien en accelerateur local, et je sais nque je m’en suis servi pour un couplage avec un autre proxy (je crois que c’etait pour une config avec frox)…
As tu regardé les logs de squid ? As tu essayé de rendre squid plus verbeux pour voir ce qu’il recoit et d’ou, et quelles fonctionnement il dit avoir (il doit bien y avoir une option de verbosité ou de déboguage).
Par ailleurs, je me demande si squid n’essaye pas tout simplement de contacter le service ident en local, en pensant que les requetes transmises par DS sont locales au lieu de prendre l’ident du client distant.

ca me met un message d’erreur lorsque j’exécute les iptables :

Iptables: No chain/target/match by that name

C’est encore un autre problême:
quel noyau utilises tu ?
que donne ‘modprobe ipt_REDIRECT’ ?
et aprés cette commande, si elle s’est executée sans erreur, que donnent les iptables que je t’ai données ?

Quand j’exécute la commande modprobe ipt_REDIRECT, ca ne fais rien.

Après si je retape les iptables que tu m’as donné, il y a toujours la même erreur.

J’ai essayé comme tu m’as dit de met

proxyip = 127.0.0.1

Sur ma machine cliente, ca ne me demande plus de m’authentifier, donc c’est bon. Par contre, si je coupe Ident, j’accède directement et ca c’est pas normal.

Jen ai marre. Lol

Ca, c’est plus qu’une question d’affinage de tes ACL, tu n’es plus trés loin AMA.
Tu as regardé dans les logs, pour voir si squid en mode verbeux te donnait des infos pour comprendre sur des exemples ce qui se passe ?

Sinon, pour la redirection:
Le module noyau ipt_REDIRECT est donc bien présent, donc la cible REDIRECT existe bien pour iptables.
Donc c’est bizarre ce que tu as.
toutes les lignes donnent une erreur ?
Il n’y a pas plus d’info dans l’erreur ?
tu es certain de ne pas avoir fait de fautes de frappe recopiées sur plusieurs lignes ?[/code]

Tiens ba jte donne toutes mes ACL de Squid.conf :

ACL all src 0.0.0.0/0.0.0.0
ACL manager proto cache_object
ACL localhost src 127.0.0.1/255.255.255.0
ACL to_localhost dst 127.0.0.0/8
ACL SSL_ports port 443 563
ACL Safe_ports port 80 21 …
ACL CONNECT method CONNECT
ACL loginPassword proxy_auth REQUIRED

ACL serviceInfo ident remy02 administrateur …
ACL ServerLocaux dst …
ACL TSEVA srcdomain …
ACL Beauregard src …
…

http_access allow informatique
http_access allow ServerLocaux
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow TSEVA
http_access allow Beauregard
http_access allow loginPassword
http_access deny all

Est ce que tu vois un truc qui va pas ?

Oui oui la cible REDIRECT existe bien. Toutes les lignes iptables ont la meme erreur.

T’as installé quelle version de dansguardian? Si tu veux l’utiliser avec l’authentification ntlm, ça ne marche pas avec la version fournie par Debian, il faut une version patchée, et les acls de squid n’y changeront rien.

J’ai la version 2.8. Je ne veux pas utiliser l’authentification ntlm, mais msnt_auth

Si tu passes à travers dansguardian avant d’attaquer squid, ça te laisse pas beaucoup de choix pour l’authentification:

# Username identification methods (used in logging)
# You can have as many methods as you want and not just one.  The first one
# will be used then if no username is found, the next will be used.
# * proxyauth is for when basic proxy authentication is used (no good for
#   transparent proxying).
# * ntlm is for when the proxy supports the MS NTLM authentication
#   protocol.  (Only works with IE5.5 sp1 and later).  **NOT IMPLEMENTED**
# * ident is for when the others don't work.  It will contact the computer
#   that the connection came from and try to connect to an identd server
#   and query it for the user owner of the connection.
usernameidmethodproxyauth = on
usernameidmethodntlm = off # **NOT IMPLEMENTED**
usernameidmethodident = off

Tout le paramétrage de l’authentification doit se faire au niveau de dansguardian, car c’est lui qui discute directement avec le client, et pas squid.

Et il n’y à pas moyen de mettre un autre squid AVANT DG, ou de passer deux fois par le squid (une fois pour l’auth, une fois en esclave de DG) ?

Comment tu compterai faire ceci ?

pour la réutilisation de squid deux fois, je ne sais pas trop si c’est possible, mais ca pourrait fonctionner un peu comme les filtres sur postfix: le mail arrive par le port smtp standard, et postfix sait de fait que c’est une premiere passe, et le transmet ensuite à un ou plusieurs filtres qui quand ils accèptent de transmettre renvoient le mail sur un deuxiême port de postfix qui sait alors qu’il peut faire une desserte locale. Bon, mais là, ça necessite du squid avancé, et une recherche longue.

Par contre, la deuxiême solution n’est pas forcément difficile, il faudrait doublonner la config et les scripts de démarrage, et lancer deux squid en parallèle sur des ports différents: un premier qui fait l’authentification sans utiliser de cache puis relaie sur le DG( squid sait relayer, à vérifier si on peut désactiver le cache), puis le DG valide et relaie au deuxieme squid qui ne fait rien d’autre que du cache.
Vois tu ce à quoi je pense ?

Ouai je vois à peu près.

J’essayerai cela lundi car c’est pour mon stage que je fais cela

Merci a toi pour ton aide

Bon week end

a lundi

Bon retour ! Allez on est lundi, au boulot
bon, alors il me vient à l’esprit que ce n’est pas forcément interessant de desactiver le cache du squid qui est avant le DG, et que ça peut peut être même accélèrer les temps de réponse des pages bloquées par dansguardian.
Par contre je pense qu’il faut configurer deux caches distincts.

Salut MattOTop

Allez c’est reparti pour Squid. Lol

Alors qu’est ce que tu penses qui serait la meilleure soluce ?

TU m’avais proposé :

• lancer 2 squids en parralèle sur des ports différents
• configurer deux caches distincts

Un message a été envoyé vers un nouveau sujet : Iptables, Squid et DNSguardian