Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 05/01/2021, à 08:05

khaled01

[Squid] bloquer les sites web sans configurer le proxy sur le client

Bonjour,

Dans l'entreprise ou je bosse j'ai installé Squid sur le serveur qui roule sous Ubuntu 20.04 tout marche bien sauf que pour que les sites que je veux bloquer ne soient pas accessible depuis un poste client (windows 10) faut que je configure le proxy sur ce dernier pour que ça marche!

C'est pas terrible car ce que je veux c'est que les sites que j'ai bloqué ne soient plus accessibles sur les clients sans configurer le proxy.

J'ai entendu parler de cette histoire de "TRANSPArent" que je dois rajouter à coté de la ligne "http_port 3128" dans le fichier squid.conf je l'ai fais on suivant le cours officiel mais ça n'a rien donné.

Pouvez vous m'aider svp ?

Cdt.

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#2 Le 06/01/2021, à 10:43

bruno

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Bonjour,

Voir le point 2.7 de la doc squid (à adapter).

Pour avoir un proxy transparent il faut que le routeur/pare-feu de l'entreprise redirige tous le trafic à destination du web, ports 80 et 443, vers les ports du serveur Squid.

https://tektab.com/2012/09/28/squid-tra … l-traffic/
https://wiki.archlinux.org/index.php/Sq … _web_proxy

Hors ligne

#3 Le 06/01/2021, à 11:07

NicoApi73

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Bonjour,

La notion de proxy transparent est relative. Avec ce type de configuration, tu vas avoir ton proxy en situation de "man in the middle". De plus tu auras des messages d'alertes sur tes postes client. Et, de plus, ça ne résoudra pas ton problème comme l'a décrit bruno

Hors ligne

#4 Le 09/01/2021, à 13:50

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Re,

J'ai la version 4 de squid la 4.10 très exactement j'ai fais des recherches sur internet la transparence du proxy marche juste avec la version 3 et inférieur sad !!!

Y aurai t'il un moyen de la faire fonctionner sur la version 4.10 ?

Cdt.

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#5 Le 09/01/2021, à 16:59

bruno

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

C'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.

Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.

Hors ligne

#6 Le 09/01/2021, à 20:50

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

bruno a écrit :

C'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.

Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.

Pourriez vous me montrer comment faire svp ?
Cdt.

Update :

j'ai essayé ces deux possibilités mais ça n'a rien donné sad 

iptables -t nat -I PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i enp0s8 --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i enp0s8 --dport 443 -j DNAT --to-destination 192.168.1.1:3128

mais ça n'a rien donné!

Avez vous une idée svp ?

Cdt

Dernière modification par khaled01 (Le 11/01/2021, à 00:15)

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#7 Le 18/01/2021, à 19:17

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Petit up

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#8 Le 18/01/2021, à 20:39

NicoApi73

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Comment est organisé ton réseau?

Hors ligne

#9 Le 18/01/2021, à 23:08

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

NicoApi73 a écrit :

Comment est organisé ton réseau?

Le serveur ubuntu a deux cartes réseaux une branché au modem et la deuxième carte distribue l'internet aux client via un switch (les clients sont branchés au switch) un réseau en étoile.

Le serveur dhcp donne les adresses ip aux clients

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#10 Le 19/01/2021, à 08:31

NicoApi73

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

ok, ton réseau est correct. Sur ce type de réseau, j'ai monté mon serveur en bridge.

Tu peux soit utiliser le couple ebtables iptables ou utiliser nftables. Au final ça revient au même, ebtables et iptables étant maintenant remplacés par nftables.

Voici de la doc pour monter un bridge : https://wiki.debian.org/fr/BridgeNetworkConnections Attention, la table BROUTING de ebtables n'existe plus. A remplacer par la table PREROUTING

Tu dois d'abord monter ton serveur en bridge. Chacun des ports physiques n'auront plus d'adresse IP, seul le bridge (qui est un port virtuel) en aura un, visible des 2 côtés. Ensuite, il faut rediriger les paquets (port 80 et 443) en entrée du bridge vers le bridge lui même pour qu'il les traite et les redirigent vers le port 3128

Hors ligne

#11 Le 19/01/2021, à 11:46

bruno

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Il n'y aucune nécessité de « monter le serveur en bridge », c'est à dire créer un pont réseau entre les deux interfaces.
Il suffit de rediriger le trafic web (port 80 et 443) arrivant sur l'interface reliée au switch vers les ports du serveur SQUID, cf. la doc de SQUID :
https://wiki.squid-cache.org/ConfigExam … olicyRoute

Hors ligne

#12 Le 19/01/2021, à 16:54

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Ça ne marche pas hmm

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

#13 Le 19/01/2021, à 17:20

bruno

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Ça ne marche pas ne donne aucune indication sur les problèmes rencontrés et ne permet donc pas de t'aider.
Personnellement je n'ai pas mis en place ce type de configuration depuis des années et uniquement en HTTP. Ce qui simplifie largement les choses mais n'est plus envisageable aujourd'hui où la majorité du trafic se fait en HTTPS. Je ne pourrais donc t'aider davantage

Hors ligne

#14 Le 20/01/2021, à 13:51

khaled01

Re : [Squid] bloquer les sites web sans configurer le proxy sur le client

Bonjour ,

Y aurai t'il une autre alternative pour bloquer les sites web sur les machines clientes depuis le serveur ubuntu sans rien toucher comme configuration sur ces dernières ?

Cdt.

Il ne faut jamais sous estimer la puissance de Linux ;)

Hors ligne

Pages : 1