Mise en place d'un proxy Squid (Debian) avec un client Win10

Tags: #<Tag:0x00007f78b9556de0>

Bonjour à tous!

J’ai un projet maquette pour mes études qui nécessite que je mette en place un proxy.
(Firewall en iptables)

Je manque d’énorme connaissance sur le sujet et j’aurai besoin de quelqu’un qui puisse m’aider dans la procédure afin qu’il soit mis en place correctement.
Pour mon avancement j’ai déjà:
Installer squid3
Modifier un petit peu le squid.conf
Autoriser les connexion https dans mes iptables

Merci d’avance :wink:

salut,
projet maquette => definition du projet et architecture? :wink:

Tu veux un proxy transparent ou pas?
Sinon juste ouverture du port 3128 coté utilisateur.
pas oublier le NAT sur la gateway
Avec authentification ou pas pour le proxy?

Salut merci pour ta réponse!
Le proxy transparent risque d’être plus compliqué à monter ou modifier lors d’une épreuve non ?
Avec authentification oui :slight_smile:

Voilà le premier jet de mon schéma réseau

image

Et pour répondre à ta question, je suis en dernière année de bts système et réseau et pendant ces 2 ans nous avons monté l’archi que tu vois plus haut et à la fin de l’année je dois présenter 2 sujets perso que j’aurai intégré à la maquette commune (donc mon proxy)

la machine Debian sert à simuler Internet je présume?
Dans ce cas ton proxy devrait être sur le parefeu ou sur le commutateur interne.
Si tu le veux en coupure il est entre le parefeu et le commutateur (avec deux interface par exemple, ou pas.

Un proxy transparent c’est tout simplement que le parefeu renvoie les requêtes vers le proxy. Les utilisateurs n’ont aucune configuration à faire. La configuration du proxy elle-même n’est pas plus compliquée, c’est celle du firewall qui est plus complexe.

En aucun cas le proxy ne doit etre dans la DMZ car c’est une zone à sécurité basse (ou plutot pour être précis à risque élevé). Ou alors tu lui créée une DMZ spécifique, où l’extérieur n’a pas d’accès (DROP) et l’interne a accès (LAN ACCEPT).

Pour les flux du proxy transparent, il suffit de renvoyer tous les protocoles http/https vers le proxy (du NAT par port), c’est le coté pas pratique de l’opération.
Si le proxy n’est pas transparent il te faut alors modifier les postes de travail pour configurer le proxy par tout (si ce sont tous des postes windows, il suffit de faire une GPO).

Si tu fait un accès authentifié, tu vas avoir à faire en sorte que ton proxy interroge le DC, donc si le proxy est dans une DMZ il y a un risque de sécurité.

Quelques liens:



Non c’est la win10 qui nous sert pour Internet. La debian sert uniquement pour nos iptables (FW) je crois.

Donc si je comprend bien je dois installer mon proxy sur ma Debian étant donné que c’est là que je chaperonne mes règles iptables ?
Et malheureusement non juste le DC et le client sont des machines Windows…

Voici les premières iptables, je suppose qu’il faut en ajouter
image

Merci beaucoup pour les liens ça va bien m’aider, j’avoue être un peu perdue sur la logique de mise en place ^^

Bonjour,

Donc sur la Debian en effet.
Tu as juste à ouvrir le port d’entrée de ton squid (le port standard est le 3128). n’utilise pas le port 443 pour ton proxy car ce port est réservé à une autre utilisation (port HTTPS).

Ensuite, il faut que tu configure tes client Windows 10 pour qu’ils se connectent sur le proxy (c’est dans les configurations internet).

  • tu peux soit le faire en manuel pour chaque poste
  • soit tu peux le faire vie une GPO dans ton Domaine Controler windows (quelle version de serveur?).

Si tu veux empecher qu’on puisse accéder à internet du réseau local directement sans passer par ton proxy, il faut que tu bloques les accès des utilisateurs (réseau local) à internet. Il te suffit juste soit de supprimer les règles d’accès pour les utilisateurs .
Si tu utilises Shorewall, il te suffit de modifier le fichier policy pour mettre l’équivalent de
REJECT loc net
ou avec des logs pour savoir le cas échéant qui accède directement:
REJECT:$LOG loc net