Tiens, c'est rigolo, tu fais la même erreur que guigui69 dans le fil que je cite : tu confonds redirection NAT (modification de l'adresse destination) et simple routage (retransmission) vers une autre passerelle. Cette règle dit que le firewall est la nouvelle destination [b]finale[/b] de la connexion, ce qui n'est probablement pas ce que tu veux.
Si la machine A fait du masquerading, il est d'autant plus impératif que tu lises ce fil à partir du messsage dont j'ai mis le lien. Je signale que je n'ai pas de préférence masquerading / routage asymétrique / ICMP redirect, le tout est de faire un choix et qu'au final la configuration soit cohérente.
Je ne vois pas le réglage des politiques par défaut des chaînes filter. Si c'est la valeur par défaut ACCEPT, alors les règles ACCEPT dans la chaînes INPUT ne servent à rien. Accessoirement, dans le cas contraire c'est le port 3128 qu'il aurait fallu autoriser et non le port 80 car la chaîne INPUT est parcourue après la chaîne PREROUTING et donc après que la redirection par la cible REDIRECT ait eu lieu.
[quote]Sinon y'aurait t'il une autre topologie réseau que je pourrais faire, en ayant le proxy comme n'importe quel PC dans le réseau et qu'il n'y ait rien à changer sur les postes clients ?
[/quote]
Garder "le proxy comme n'importe quel PC dans le réseau", c'est la même topologie. Si je comprends bien, la machine A est un proxy HTTP transparent. Tu aurais pu en faire aussi un pont semi-transparent avec deux interfaces intercalé entre les postes et le firewall, ce qui aurait évité de modifier le plan d'adressage. Mais je reconnais que cette solution est un peu délicate à mettre en oeuvre.
Une autre solution, si le firewall le permet (c'est quoi au fait ?), consiste à laisser le firewall comme passerelle par défaut pour les postes et à rediriger (au sens NAT) ou rerouter (au sens routage) les connexions HTTP vers le proxy (sauf celles qui viennent du proxy évidemment).
Enfin, l'utilisation de VLAN si le matériel (switch, firewall, proxy) le supporte permettrait de modifier la topologie logique sans modifier les liaisons physiques.
[quote]En faite le LAN est composé d'un peu plus d'une centaine de PC, pour ne pas modifier les configurations réseaux de chaque PC je voulais changer la passerelle (firewall) par le proxy HTTP.[/quote]
Mais pour cela tu dois bien modifier la passerelle par défaut sur tous les postes, non ?
Ce ne serait pas plus simple de donner l'adresse IP du firewall au proxy et de déplacer le firewall derrière le proxy, dans un autre sous-réseau ?
Tiens, c’est rigolo, tu fais la même erreur que guigui69 dans le fil que je cite : tu confonds redirection NAT (modification de l’adresse destination) et simple routage (retransmission) vers une autre passerelle. Cette règle dit que le firewall est la nouvelle destination finale de la connexion, ce qui n’est probablement pas ce que tu veux.
Si la machine A fait du masquerading, il est d’autant plus impératif que tu lises ce fil à partir du messsage dont j’ai mis le lien. Je signale que je n’ai pas de préférence masquerading / routage asymétrique / ICMP redirect, le tout est de faire un choix et qu’au final la configuration soit cohérente.
Je ne vois pas le réglage des politiques par défaut des chaînes filter. Si c’est la valeur par défaut ACCEPT, alors les règles ACCEPT dans la chaînes INPUT ne servent à rien. Accessoirement, dans le cas contraire c’est le port 3128 qu’il aurait fallu autoriser et non le port 80 car la chaîne INPUT est parcourue après la chaîne PREROUTING et donc après que la redirection par la cible REDIRECT ait eu lieu.
[quote]Sinon y’aurait t’il une autre topologie réseau que je pourrais faire, en ayant le proxy comme n’importe quel PC dans le réseau et qu’il n’y ait rien à changer sur les postes clients ?
[/quote]
Garder “le proxy comme n’importe quel PC dans le réseau”, c’est la même topologie. Si je comprends bien, la machine A est un proxy HTTP transparent. Tu aurais pu en faire aussi un pont semi-transparent avec deux interfaces intercalé entre les postes et le firewall, ce qui aurait évité de modifier le plan d’adressage. Mais je reconnais que cette solution est un peu délicate à mettre en oeuvre.
Une autre solution, si le firewall le permet (c’est quoi au fait ?), consiste à laisser le firewall comme passerelle par défaut pour les postes et à rediriger (au sens NAT) ou rerouter (au sens routage) les connexions HTTP vers le proxy (sauf celles qui viennent du proxy évidemment).
Enfin, l’utilisation de VLAN si le matériel (switch, firewall, proxy) le supporte permettrait de modifier la topologie logique sans modifier les liaisons physiques.
Mais pour cela tu dois bien modifier la passerelle par défaut sur tous les postes, non ?
Ce ne serait pas plus simple de donner l’adresse IP du firewall au proxy et de déplacer le firewall derrière le proxy, dans un autre sous-réseau ?