Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1520 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Squid transparent

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Squid transparent

n°99117
hlokin
Posté le 25-07-2012 à 16:04:52  profilanswer
 

Bonjour,
 
Je souhaite installer un proxy Squid en mode transparent afin d'obliger tout utilisateur du réseau à se connecter par le proxy afin d'y appliquer des règles de filtrage URL avec blacklist et pouvoir surveiller l'activité des requêtes.
Je me pose quelques questions à savoir quel est le meilleur endroit pour le positionner (juste avant le routeur ?) et par quels moyens (redirection de port...) ?
 
Architecture :
 
pc1--
pc2--
...          ---switch--firewall (Netasq f60)--Routeur(Livebox Business 1000)--Internet
pcn--
 
En vous remerciant.

mood
Publicité
Posté le 25-07-2012 à 16:04:52  profilanswer
 

n°99153
didj4y
Posté le 26-07-2012 à 13:32:20  profilanswer
 

Bonjour,
 
Voici comment cela fonctionne :
 
http://www.certa.ssi.gouv.fr/site/ [...] parent.png
 
Il faudrait créer une DMZ sur le firewall Netasq (si vous avez assez de port) et ne pas oublier d'installer un DNS (qui sera configuré sur les machines) qui redirigera les requêtes http (port 80) sur le proxy transparent.
 
En suite c'est de la configuration au niveau du squid.
 
Bonne journée.

n°99159
hlokin
Posté le 26-07-2012 à 14:42:31  profilanswer
 

Merci. Le problème est que, comme il n'y a pas de serveur DHCP, il suffit qu'un petit malin modifie l'adresse du DNS pour mettre le DNS du FAI pour qu'il évite de passer par le proxy.
 
N'y a t-il pas un autre moyen ?

n°99163
trictrac
Posté le 26-07-2012 à 14:59:01  profilanswer
 

Le moyen le plus simple :  
1) ne pas le mettre en transparent
2) pusher la config proxy par GPO.
3) bloquer TOUT accès à internet quel qu'il soit aux postes.
T'inkiète, les utilisateurs feront l'effort de configurer le proxy.
 
PS: ne fonctionne que si tu fais l'étape 3).
PPS : avantage: dans ce cas, tu pourras même envisager du AAA basé sur ldap/AD

n°99165
hlokin
Posté le 26-07-2012 à 15:01:25  profilanswer
 

Il n'y a pas d'Active Directory sur le parc :(

n°99166
didj4y
Posté le 26-07-2012 à 15:06:29  profilanswer
 

Filtre au niveau du firewall pour rediriger tous les flux dns de ton LAN vers le bon DNS de ta DMZ.

n°99168
trictrac
Posté le 26-07-2012 à 15:47:11  profilanswer
 

oui, fait ca, ou alors du policy-base routing, pour router automatiquement le trafic web vers le proxy .; sinon WCP, c'est bien aussi.
Ou alors, tu te dis qu'une usine à gaz te pompera tout ton temps en maintenance et debug, et tu lis mon post pour monter un truc simplissime, compatible avec tous browsers, touts routers, et évolutif, et dont tu oublieras l'existence une fois en place...

n°99181
hlokin
Posté le 26-07-2012 à 17:45:33  profilanswer
 

Merci pour vos réponses. Je viens de m'apercevoir que le pare-feu dont je vous parlais (Netasq f60) n'est plus en fonction.
Pas d'AD, de pare-feu. Il n'y a donc pas d'autre choix que d'acheter du matériel ?

n°99182
aniki8
Posté le 26-07-2012 à 17:48:37  profilanswer
 

Le problème avec le squid transparent, c'est que tu ne pourras pas intercepter le traffic https sans avoir d'alertes de certificats (sauf si squid sait gérer un CA et que tu l'installes sur chaque pc).

n°99194
ShonGail
En phase de calmitude ...
Posté le 26-07-2012 à 23:35:22  profilanswer
 

Bah le plus simple c'est que le proxy transparent soit au niveau du routeur/firewall.
Impossible de le contourner sauf à sortir par une autre passerelle.

mood
Publicité
Posté le 26-07-2012 à 23:35:22  profilanswer
 

n°99712
nocoz
Posté le 09-08-2012 à 17:26:44  profilanswer
 

Plus 1 pour ShonGail

n°99714
trictrac
Posté le 09-08-2012 à 19:23:03  profilanswer
 

Pourquoi personne me lit :(
Est ce tellement dur de faire simple :(


Message édité par trictrac le 09-08-2012 à 19:23:30
n°99722
Hanka
Posté le 10-08-2012 à 06:57:27  profilanswer
 

Bonjour,

 

Nous l'utilisons de cette façon chez nous.

 

Tu places la machine sur laquelle tu as installée squid avant le routeur qui donne accès à internet et tu le configure en tant que passerelle. De cette façon, personne ne peut le contourner.

 

Après une règle de firewall sur le proxy qui redirige le trafic à destination du port 80 vers le port 8080 de squid.
 


 iptablest -t nat -A PREROUTING -p tcp --dport 80 --source 10.10.0.0/24 -j REDIRECT --to-port 8080


Message cité 1 fois
Message édité par Hanka le 10-08-2012 à 09:33:46
n°99725
aniki8
Posté le 10-08-2012 à 09:45:12  profilanswer
 
n°99728
supernina
Posté le 10-08-2012 à 10:06:47  profilanswer
 

Hanka a écrit :

Bonjour,
 
Nous l'utilisons de cette façon chez nous.  
 
Tu places la machine sur laquelle tu as installée squid avant le routeur qui donne accès à internet et tu le configure en tant que passerelle. De cette façon, personne ne peut le contourner.  
 
Après une règle de firewall sur le proxy qui redirige le trafic à destination du port 80 vers le port 8080 de squid.  
 


 iptablest -t nat -A PREROUTING -p tcp --dport 80 --source 10.10.0.0/24 -j REDIRECT --to-port 8080




 
Et pour le 443 ?

n°99729
Hanka
Posté le 10-08-2012 à 10:42:08  profilanswer
 

même principe. tu rediriges les requêtes à destination du port 443 vers le 8080 local.

n°99730
Hanka
Posté le 10-08-2012 à 10:42:28  profilanswer
 
n°99732
supernina
Posté le 10-08-2012 à 10:48:07  profilanswer
 

Hanka a écrit :

même principe. tu rediriges les requêtes à destination du port 443 vers le 8080 local.


ok, mais pour le filtrage URL ?

n°99737
aniki8
Posté le 10-08-2012 à 11:11:22  profilanswer
 

 

man in the middle
t'as pas d'alerte de sécurité dans le navigateur sur le https?


Message édité par aniki8 le 10-08-2012 à 11:13:22
n°99739
Hanka
Posté le 10-08-2012 à 11:50:37  profilanswer
 

pas sur des sites importants. Le https est filtré pour éviter que des comiques n'utilisent ce protocole pour contourner le proxy et lorqu'il y a un problème avec un site https, on lui donne comme directive direct_connect et jusqu'à présent, ça fonctionne très bien comme ça.

 

Voir dans certains cas bien déterminés (banques, institutions officielles), nous ajoutons des règles de routage qui contournent le proxy.


Message édité par Hanka le 10-08-2012 à 11:50:56
n°100286
djalex
Ancien Modérateur
Posté le 30-08-2012 à 11:53:52  profilanswer
 

Autre solution plus sécurisé on va dire  
 
2 proxy, l'un demande une authentification, il est sur le lan,
le deuxieme est en dmz et est transparent.
 
Tu fais des regles de changement de port entre les 2 via ton Firewall et zou !!!

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Squid transparent

 

Sujets relatifs
Proxy transparent multi domainesiptables sur un proxy squid transparent
Proxy SQUID avec authentification ADProxy SQUID avec authentification AD
Squid et VPNPousser l'authentification Squid-LDAP
Règles iptables pour Squid/SSLStripIPTABLES pour intégration de SQUID transparent avec HTTPS
Squid transparent HTTPS + Squid lent 
Plus de sujets relatifs à : Squid transparent


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR