Redirection de tout le traffic sauf le http(80)

rdemont · Février 21, 2016, 4:06am

Bonjour,

Voilà mon problème, J’ai un serveur sur lequel j’ai installé squid/dansguardian qui écoute sur le port 80. Jusqu’la tout fonctionne à merveille, je configure le proxy dans les navigateurs du réseau et il passe bien par le proxy.

Maintenant je voudrais forcer l’utilisation du proxy pour tous les clients. J’ai modifié le dhcp pour que le la passerelle par défaut soit le proxy (sauf sur le proxy lui-même). ça fonctionne bien pour le http, mais pas pour le reste imap/http/… il faudrait redirigé sur le serveur/proxy tout le traffic qui n’est pas pour lui ou qui n’est pas du http. C’est possible ?

un petit schéma:

client dhcp1(gw 192.168.1.10) ----
----routeur 192.168.1.1 — internet
client dhcp2(gw 192.168.1.10) ----

serveur proxy 192.168.1.10(gw 192.168.1.1) ----

Un des problème c’est que sur le serveur proxy j’ai qu’une seul carte réseau.

Merci pour votre aide.
Rdemont

PascalHambourg · Février 21, 2016, 4:06am

Le schéma n’est pas bien visible, je pense qu’il faudrait le mettre entre balises code pour préserver les espacements.
La machine proxy peut fonctionner en routeur IP pour le trafic qui ne lui est pas destiné.
Très classiquement, il suffit de mettre le sysctl net.ipv4.ip_forward à 1, par exemple dans /etc/sysctl.conf (prise en compte au démarrage) ou par tout autre moyen.

Par contre il faut l’empêcher d’émettre des messages ICMP “Redirect” (émis car le routeur est sur le même réseau) car cela pourrait avoir comme conséquence de la court-circuiter. C’est réalisable soit en bloquant ces paquets avec iptables, soit en mettant les sysctls net.ipv4.conf.{all,interface}.send_redirects à 0. Si c’est réalisé avec /etc/sysctl.conf, il faut faire attention à ce que l’interface existe déjà au moment où le fichier est lu. Si ce n’est pas le cas, remplacer le nom de l’interface par ‘default’.

Néanmoins il faut être conscient que définir le proxy comme passerelle par défaut dans le DHCP ne force pas à passer par le proxy, c’est contournable en modifiant la route par défaut sur un poste. Il faudrait aussi bloquer le trafic HTTP sur le routeur sauf s’il provient du proxy.

rdemont · Février 21, 2016, 4:06am

[quote=“PascalHambourg”]Le schéma n’est pas bien visible, je pense qu’il faudrait le mettre entre balises code pour préserver les espacements.
La machine proxy peut fonctionner en routeur IP pour le trafic qui ne lui est pas destiné.
Très classiquement, il suffit de mettre le sysctl net.ipv4.ip_forward à 1, par exemple dans /etc/sysctl.conf (prise en compte au démarrage) ou par tout autre moyen.
[/quote]
bon sang mais c’est bien sur C’est toujours la même chose quand on cherche midi à 14h. j’ai cherché du coté des règles de iptables
Merci

ça on est bien d’accord, mais c’est pour mes enfants. Et je trouvais que de supprimer le proxy dans la config du navigateur c’était trop facile (et je pouvais aussi oublier de la mettre du coup c’est par défaut). Ils sont pas encore à l’age de pouvoir redéfinir un nouveau gw. Et de toute manière je me fais pas d’illusion c’est pour les protéger de truc qu’ils ne veulent pas voir. Le jours ou ils voudront les voir ils trouveront bien une solution.

Merci A+ R

xps · Février 21, 2016, 4:06am

[quote=“rdemont”]
ça on est bien d’accord, mais c’est pour mes enfants. Et je trouvais que de supprimer le proxy dans la config du navigateur c’était trop facile (et je pouvais aussi oublier de la mettre du coup c’est par défaut). Ils sont pas encore à l’age de pouvoir redéfinir un nouveau gw. Et de toute manière je me fais pas d’illusion c’est pour les protéger de truc qu’ils ne veulent pas voir. Le jours ou ils voudront les voir ils trouveront bien une solution.
Merci A+ R[/quote]

la tu à tout à fait raison… je travail dans une école et malgré proxy transparent et autre sécurité ya toujours un ou 2 malin qui passent xD