Proxy transparent


#1

Bonjour,

Je voudrais monter un proxy transparent sur mon IPCOP avec authentification.

Pour cella je dois faire je pence un proxy transparent, car IPCOP ne le permet pas.

Sur l’interface graphique, j’ai un message d’erreur : Le Proxy Web doit fonctionner en mode non transparent pour l’authentification

Donc j’ai pensé aux règles IPTABLE pour contourner cela faire passer le port du proxy en transparent.

Le problème c’est que IPTABLE j’y touche depuis pas si longtemps et je ne que je n’ai pas réussi à faire fonctionner le proxy transparent.

Dans SQUID.CONF j’ai rajouté transparent sur le port qui est par défaut le 8080 et j’ai créé 3 règles IPTABLE que j’ai trouvées sur un TUTORIEL pour SQUID.

Mais ça ne fonctionne pas

echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o wan-1 -j MASQUERADE iptables -t nat -A PREROUTING -i Lan-1 -p tcp --dport 80 -j REDIRECT --to-port 8080 iptables -t nat -A PREROUTING -i Lan-1 -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080

Pouvez-vous m’aider ?


#2

J’ai oublié, voici mes interface et j’ai repris mon texte précédent pour une correction gamaticale :slight_smile:

root@Passerelle:~ # ifconfig
lan-1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.4.254 netmask 255.255.255.0 broadcast 0.0.0.0
ether 22:93:22:6a:5c:bb txqueuelen 1000 (Ethernet)
RX packets 8734 bytes 1661787 (1.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14089 bytes 14918461 (14.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 11 base 0xa000

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 16436
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 0 (Local Loopback)
RX packets 117 bytes 14824 (14.4 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 117 bytes 14824 (14.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wan-1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.3.149 netmask 255.255.255.0 broadcast 0.0.0.0
ether aa:ae:d5:11:7e:aa txqueuelen 1000 (Ethernet)
RX packets 13818 bytes 14874425 (14.1 MiB)
RX errors 1089 dropped 219 overruns 0 frame 1089
TX packets 8507 bytes 1735013 (1.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

root@Passerelle:~ #


#3

Bonjour

Ipfire est un fork d’ipcop qui a le proxy intégré.
cette solution ne te convient t elle pas?


#4

Transparent et authentification, c’est un peu contradictoire, non ?
Pourquoi veux-tu monter un proxy transparent ? Cela ne fonctionne qu’avec les sites en HTTP et non les sites en HTTPS.
Tu aurais pu mettre en forme tes commandes pour les rendre lisibles.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o wan-1 -j MASQUERADE

Inutile pour un proxy. Eventuellement pour la résolution DNS si les postes du réseau local interrogent directement des DNS extérieurs.

iptables -t nat -A PREROUTING -i Lan-1 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i Lan-1 -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080

La seconde règle est plus restrictive que la première, elle ne s’applique donc jamais.
Attention à la casse. D’après la sortie d’ifconfig le nom de l’interface doit être lan-1, pas Lan-1.


#5

S’il n’y avait que la grammaire…
Je ne suis pas à cheval sur la belle langue, mais ta créativité orthographique pique un peu les yeux.
Il faudrait penser à te relire, quand même.


#6

Je n’avais même pas fait attention. Soit ma vue baisse, soit je suis distrait, soit je deviens tolérant…


#7

ça va être dur de répondre à tout le monde en même temps, mais je vais essayé.

Salut PascalHambourg

T’aime bien taquiné, je débute sous linux et je viens voir des connaisseurs pour m’aidé.
et plains de fois tu ma aidé et je t’en remercie (dernièrement pour annulé une règle iptable si tu te rapelle)

-D delete
-A ADD
Tout et dans la DOC :wink:

cleloup : ton idée IPFIRE et pas mal de ce que tu ma raconté, je vais regardé.

mattotop : crois moi sans corecteur d’ortographe sa serais 100 fois plus pire et je te demanderais de pas te moqué de mon andicap gramaticale.
je sais qu’avant tout l’ortographe et importante sur le FORUM pour respecté le FORUM et les MEMBRES, je fais des efforts.
:slight_smile:


#8

Non, ce n’était pas moi.
Et sur les éléments techniques de ma réponse ?


#9

Exacte ce n’étais pas toi, mais tu ma aidé sur autre choses (tu porte le même prénom que mon responssable :rofl: c’est pour sa que je me rappelle de ton pseudo et tu ma souvent aidé.

Transparent et authentification, c’est un peu contradictoire, non ?
Pourquoi veux-tu monter un proxy transparent ? Cela ne fonctionne qu’avec les sites en HTTP et non les sites en HTTPS.

Wi tu as raisons sur le fait que c’est contradictoire, le portail captif serais plus adapté a mes besoins.

Pourquoi veux-tu monter un proxy transparent ?

pour moi monté un proxy transparent permmété de passé par le proxy sans aucun paramétrage des postes client , et je pensé que ça sa allé obligé la l’authentification pour accédé a internet.


#10

L’authentification fait partie du dialogue explicite avec le proxy (le client web sait qu’il doit communiquer avec un proxy et s’authentifier). Avec un proxy transparent, le client web ne sait pas qu’il parle à un proxy et croit parler directement avec un serveur web.
Effectivement, un portail captif me semble plus adapté.


#11

j’ai retrouvé l’article ou tu ma aidé : ICI

J’ai lu un article avec le WPAD dans le DHCP pointant sur proxy.pac

option wpad "http://192.168.0.254:81/proxy.pac\n";

je reste sur le portail captif ?


#12

C’était en février, j’ai complètement oublié depuis.

Tu peux utiliser la configuration automatique du proxy si tes postes clients le supportent.
Mais je ne sais pas comment ça fonctionne avec un proxy à authentification obligatoire.


#13

sinon j’avais lu une authenification keberos avec squid .

c’est transparent et identificatif.
par contre il faut aussi penser au traffic https. il risque d’avoir des erreurs.


#14

Je vais rechercher sur internet ce que c’est le KERBEROS
J’ai trouvé sur internet : PFSENS le fais le portail CAPTIF ou UCOPIA mais c’est payent