Monter un serveur proxy Squid trasnsparent

Support Debian
#1

Bonjour à tous :smt006

Voilà aujourd’hui à mon boulot où je suis apprentie, on m’a demandé d’installer un proxy sur le serveur qui sert de passerelle afin de bloquer msn, webmail et toutes autres alternatives…

Pour cela j’ai donc bien sur choisie d’installer Squid, et déjà une première question :

Quelles sont les différences entre Squid version 2 et version 3 ?

Mais surtout donc je voudrai que ce proxy soir totalement transparent, c’est à dire que je n’ai pas besoin de configurer les postes client (navigateurs web), sachant que la passerelle est bien sur fournie.

Donc est ce que cela est possible ? Si oui, est ce que vous pouvez me donner quelques billes ?

Avez vous des bons sites en français si possible… :unamused:

Merci à vous ! :smt002

#2

http://forum.debian-fr.org/viewtopic.php?f=8&t=11658

#3

a ce que je peux voir tu ne connais pas du tt squid je te conseillerais de lire 2 ou 3 truc pour commencer

voici un site qui explique tres bien squid

http://christian.caleca.free.fr/squid.html

je reste a ta disposition pour tt question
ps: squid n ai pas dure a monter

#4

Salut !

Désolée de pas avoir répondu avant car je travail sur d’autres choses…

Donc mon proxy servira de passerelle donc…qui redirigera les requêtes vers la passerelle qui elle est vraiment “connecter au WEB” (passerelle actuel)

Un peut tordu peut être…

Merci à toi Fran.B, toujours sur le qui vive :wink:

Et merci à toi Zyriuse, je vais lire ça et je ne manquerai pas de poser mes questions sur ce sujet !

A bientôt…sans doute ! :smiley:

#5

Salut à tous !

Et oui me revoilà :smiley:

Donc j’ai suivi le tuto : irp.nain-t.net/doku.php/220squid:start

Qui est vraiment pas mal.

Donc pour le moment j’ai seulement installer squid en mode transparent, c’est cool ça fonctionne et tous…

Mais voilà, seulement internet (HTTP) fonctionne, alors je sais, normalement en “mode transparent”, il y a que cel aqui fonctionne…hors pour une fois je ne voulais pas, car tout est bloqué !

  • MSN (super c’était le but…oui mais non je voulais le faire avec SquidGuard)
  • FTP (emmerdant…)
  • HTTPS
  • ssh vers l’extérieur…
  • etc…

Mais le problème aussi, c’est que je ne suis pas une bête en IPTABLES

Donc voilà déjà la règle rentré pour que squid soit transparent :

iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

Pour faire fonctionner le HTTPS par exemple, j’ai voulu tenter un :

iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 443 -j REDIRECT --to-port 3128

Mais non…

Donc voilà si vous pouvez me donner un petit coup de pouce svp :slightly_smiling:

mon squid.conf :

http_port 3128 transparent icp_port 3130 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl LocalNet src 192.168.1.0/24 http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow LocalNet http_access deny all http_reply_access allow all icp_access allow all coredump_dir /var/spool/squid3

Merci :smt006

#6

Up :unamused:

Un peut d’aide svp :slightly_smiling:

#7

Je ne suis pas sur que squid puisse fonctionner en transparent sur du https, c’est à vérifier cependant mais je ne crois pas me tromper. Si c’est possible, il faudrait faire écouter squid sur deux ports ditsincts et faire les redirection en fonction. Je ne crois pas que cela soit prévu

#8

Merci encore Fran.b pour ta réponse, et je t’apport donc la mienne un peut tardivement…

Mais je pense que cela va t’intéresser (si tu ne le savais pas déjà)

En fait ce n’est pas une histoire de problème software, mais tous simplement le “problème” se pose du coté du protocole HTTPS, ce qui est complètement logique après réflexion et quelques recherches :mrgreen:

A lire :

[quote]> je souhaiterai savoir s’il est possible de faire passer le https au

travers ???

Non. Le but d’HTTPS est de sécuriser la communication entre le client et
le serveur de façon à ce que personne ne l’intercepte, soit pour lire
subrepticement le contenu, soit pour le changer de manière transparente
(man in the middle attack).

Ce que tu demandes à ton proxy transparent est exactement ce dont HTTPS
est sensé nous protéger (si un proxy transparent pouvait le faire,
n’importe quel routeur pourrait le faire entre ton navigateur et le
serveur web et HTTPS n’aurait pas d’utilité).

Donc, pour proxyifier HTTPS, point de transparence : il faut définir un
proxy explicitement dans les paramètres du navigateur[/quote]

Source : mail-archive.com/linux-nante … 07321.html

Voilà en tous cas je suis content de l’apprendre !

A voir maintenant pour les autres protocoles…

A bientôt ! :smt006