Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 02/06/2021, à 14:50

Pending...

[Résolu] Proxy Squid

Bonjour,

Je souhaite configurer un proxy sur mon propre ordinateur afin de pouvoir m'y connecter et utiliser ma propre adresse IP lorsque je travaille depuis l'étranger. J'ai besoin d'utiliser un proxy anonyme (pas d'indication de l'IP d'origine, ni d'info sur le fait que l'IP finale est celle d'un proxy).

J'ai donc installé Squid et j'ai décoché les lignes suivantes :

forwarded_for delete
via off

J'ai également autorisé Squid sur UFW :

sudo ufw allow 'Squid'

J'ai ensuite configuré les connexions réseaux du navigateur (Firefox) sur mon second ordinateur pour utiliser ma propre adresse IP au port 3128. Bien entendu, ça ne fonctionne pas car je suis derrière ma box. Or, tout ça, ce sont des choses que je n'utilise jamais et donc ne maîtrise absolument pas. Malgré pas mal de recherches sur le net, je ne trouve pas la solution.

A toutes fins utiles :

sudo ufw status
État : actif

Vers                       Action      De
----                       ------      --
Squid                      ALLOW       Anywhere                  
Squid (v6)                 ALLOW       Anywhere (v6)  
sudo netstat -tulpn | grep LISTEN
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      642/systemd-resolve 
tcp6       0      0 :::3128                 :::*                    LISTEN      2110581/(squid-1)  
sudo systemctl status squid
● squid.service - Squid Web Proxy Server
     Loaded: loaded (/lib/systemd/system/squid.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2021-06-02 12:55:35 CEST; 1h 47min ago
       Docs: man:squid(8)
   Main PID: 2110579 (squid)
      Tasks: 4 (limit: 4478)
     Memory: 15.4M
     CGroup: /system.slice/squid.service
             ├─2110579 /usr/sbin/squid -sYC
             ├─2110581 (squid-1) --kid squid-1 -sYC
             ├─2110582 (logfile-daemon) /var/log/squid/access.log
             └─2110583 (pinger)

juin 02 12:55:35 laptop squid[2110581]: Finished loading MIME types and icons.
juin 02 12:55:35 laptop squid[2110581]: HTCP Disabled.
juin 02 12:55:35 laptop squid[2110581]: Pinger socket opened on FD 14
juin 02 12:55:35 laptop squid[2110581]: Squid plugin modules loaded: 0
juin 02 12:55:35 laptop squid[2110581]: Adaptation support is off.
juin 02 12:55:35 laptop squid[2110581]: Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 12 flags=9
juin 02 12:55:36 laptop squid[2110581]: storeLateRelease: released 0 objects
juin 02 13:41:01 laptop squid[2110581]: Logfile: opening log stdio:/var/spool/squid/netdb.state
juin 02 13:41:01 laptop squid[2110581]: Logfile: closing log stdio:/var/spool/squid/netdb.state
juin 02 13:41:01 laptop squid[2110581]: NETDB state saved; 0 entries, 22 msec

Vos pistes sont les bienvenues. Merci d'avance !

Dernière modification par Pending... (Le 03/06/2021, à 01:08)

Ubuntu / Mint / Windows 10

Hors ligne

#2 Le 02/06/2021, à 17:04

Vobul

Re : [Résolu] Proxy Squid

Pending... a écrit :

Je souhaite configurer un proxy sur mon propre ordinateur afin de pouvoir m'y connecter et utiliser ma propre adresse IP lorsque je travaille depuis l'étranger.

Pour moi ta solution n'est pas la bonne. Ce que tu veux c'est avoir un vpn chez toi en fait, et le moyen le plus facile, sûr et efficace de faire ça, c'est simplement de ssh sur ton ordi avec un socks proxy.

Donc :

1. sur ta box, redirige port XYZ (443 peut être un bon choix pour bypass certains firewalls qui vont bloquer le port 22, voir le traffic ssh) sur le port 22 de ton ordi
2. depuis l'extérieur, tu peux maintenant ssh toi@ton-ip-publique
3. fais un proxy avec ssh -D 1337 -q -C -N toi@ton-ip-publique (voir man ssh pour les flags)

Donc maintenant sur ton port 1337 t'as un proxy socks que tu peux utiliser, pour ça va dans la config firefox et utilise le socks proxy 127.1:1337

Va sur whatismyip.com et vérifie que t'as bien l'ip de chez toi.

C'est simple, efficace et t'évite de te lancer dans des trucs galère genre configurer squid, qui est un cache web et n'a donc pas grand chose à voir avec ce que tu souhaites faire (à ma connaissance).

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 02/06/2021, à 17:35

Pending...

Re : [Résolu] Proxy Squid

Oui, effectivement, ça sonne mieux, j'avais zappé la possibilité ssh. Je vais regarder ça.

Merci pour les infos !

Ubuntu / Mint / Windows 10

Hors ligne

#4 Le 03/06/2021, à 01:09

Pending...

Re : [Résolu] Proxy Squid

Bon, effectivement, ça fonctionne et c'est parfaitement invisible. Net et sans bavure.

Encore merci !

Ubuntu / Mint / Windows 10

Hors ligne

#5 Le 03/06/2021, à 02:35

NicoApi73

Re : [Résolu] Proxy Squid

Bonjour,

Si tu es passé par ssh, interdis l'accès par mot de passe (uniquement par clé) et mets en place un monitoring avec fail2ban.

Quitte à passer par du VPN, utilise le complètement : passe par openvpn ou équivalent. Et pareil, accès par clé + fail2ban

+ dans les 2 cas une mise à jour très régulière du système (perso, c'est quotidien)

Dernière modification par NicoApi73 (Le 03/06/2021, à 02:38)

Hors ligne

#6 Le 03/06/2021, à 07:14

iznobe

Re : [Résolu] Proxy Squid

Bonjour , a savoir que si le FAI ne donne pas une IP fixe , ce qui est tres souvent le cas , il vaut mieux utiliser un DDNS pour se retrouver avec un nom fixe et facile a retenir , plutot que des numeros qui change tout le temps ...

retour COMPLET et utilisable de commandescript montage partitions | script install auto BROTHER]

MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#7 Le 03/06/2021, à 16:15

Pending...

Re : [Résolu] Proxy Squid

C'est marrant, c'est exactement ce que j'ai fait dans la foulée : installer fail2ban (3 tentatives et 24h de ban), ainsi que passer par les clés publiques / privées et interdiction de connexion par mot de passe. J’étudierai plus tard la possibilité d'activer ou pas SSH à partir d'un code envoyé sur une page php perso (pour l'activer ou le désactiver à distance) : quand j'ai besoin du tunnel ssh, j'envoie un code sur une page cachée de mon site perso, idem quand je n'en ai plus besoin : avec un script qui "wget" une adresse précise toutes les 5 minutes par exemple.

Pour les IP dynamiques, j'ai ma solution également pour la connaître, toujours avec un script (soit via la connexion à ma boite email soit encore une fois via un site perso en php. Par exemple : récupérer l'IP de la commande wget passée plus haut). Limite, je préfère même comme ça : ça évite les attaques ciblées et répétées.

Du coup, je pourrais même automatiser la connexion coté client avec un énième script qui récupérerait l'IP du serveur sur ce même site en php.

Dernière modification par Pending... (Le 03/06/2021, à 16:21)

Ubuntu / Mint / Windows 10

Hors ligne

#8 Le 03/06/2021, à 16:50

Vobul

Re : [Résolu] Proxy Squid

Tiens, un outil pas mal : https://www.sshaudit.com/

Franchement pas besoin d'aller trop loin non plus (dans le hardening), un ssh c'est pas un rdp/vpn, y'a pas 12 failles critiques par mois. Pour rappel, openssh provient de openbsd, et ils sont reconnus pour écrire du code de bonne qualité et audité.

De mon point de vue, clé + changement de port (bruno si tu me lis wink ) c'est largement suffisant. Vraiment.

Alors oui, ce n'est pas gênant de faire du port knocking ou autre bizarrerie (je faisais ça en 2007), mais franchement c'est un peu "too much".

Pense à mettre un mot de passe sur ta clé ssh par contre wink

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#9 Le 03/06/2021, à 16:53

soshy

Re : [Résolu] Proxy Squid

Si tu veux garder l'auth par mot de passe, tu peux la doubler avec un code roulant TOTP.
Personnellement, je trouve ça pas mal.

Hors ligne

#10 Le 03/06/2021, à 17:02

Vobul

Re : [Résolu] Proxy Squid

soshy a écrit :

Si tu veux garder l'auth par mot de passe

Euh non, ne pas faire ça. (la 2FA oui, mais pas l'auth par mot de passe).

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#11 Le 03/06/2021, à 18:18

soshy

Re : [Résolu] Proxy Squid

Pourquoi tronquer mon commentaire ? Je parle de cumuler mot de passe et le code TOTP. Ce qui donne une authentification 2FA. Pas de laisser l'auth par mot de passe uniquement...

Hors ligne

#12 Le 03/06/2021, à 19:25

iznobe

Re : [Résolu] Proxy Squid

Bonsoir , le DDNS n ' empeche pas de changer d' ip , et evite de faire un script , toutes les box font ca nativement aujourd hui . certains proposent des scripts tout pret , apres ca peut etre amusant de coder via PHP , mais si tu ne connais pas ton ip a la base , je vois mal comment tu peux la recuperer en etant a l' exterieur , sauf a t ' envoyer un mail via crontab par exemple , mais bon si tu as du temps pourquoi pas .

retour COMPLET et utilisable de commandescript montage partitions | script install auto BROTHER]

MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#13 Le 03/06/2021, à 22:27

Pending...

Re : [Résolu] Proxy Squid

Vobul a écrit :

Tiens, un outil pas mal : https://www.sshaudit.com/

Franchement pas besoin d'aller trop loin non plus (dans le hardening), un ssh c'est pas un rdp/vpn, y'a pas 12 failles critiques par mois. Pour rappel, openssh provient de openbsd, et ils sont reconnus pour écrire du code de bonne qualité et audité.

De mon point de vue, clé + changement de port (bruno si tu me lis wink ) c'est largement suffisant. Vraiment.

Alors oui, ce n'est pas gênant de faire du port knocking ou autre bizarrerie (je faisais ça en 2007), mais franchement c'est un peu "too much".

Pense à mettre un mot de passe sur ta clé ssh par contre wink

En fait, c'était surtout si j'oubliais d'activer ssh en partant de chez moi ! Je n'ai aucune raison de l'activer si je n'en ai pas besoin en restant en France... et toutes les raisons du monde d'oublier de l'activer si je devais partir à l'étranger ! smile 2 lignes dans le crontab root :

*/10 * * * * wget --spider url/monfichier | grep OK && [ ! -e /tmp/fichier-temoin ] && service ssh restart && touch /tmp/fichier-temoin
*/10 * * * * ! wget --spider url/monfichier | grep OK && [ -e /tmp/fichier-temoin ] && service ssh stop && rm /tmp/fichier-temoin

J'enlève et remets (ou renomme) le fichier /monfichier suivant que je souhaite activer ou non ssh. Et comme ma boite email propose un petit espace de stockage accessible depuis le web, je peux même activer ssh depuis mon tel.


soshy a écrit :

Pourquoi tronquer mon commentaire ? Je parle de cumuler mot de passe et le code TOTP. Ce qui donne une authentification 2FA. Pas de laisser l'auth par mot de passe uniquement...

Je ne connais pas, je regarderai.


iznobe a écrit :

Bonsoir , le DDNS n ' empeche pas de changer d' ip , et evite de faire un script , toutes les box font ca nativement aujourd hui . certains proposent des scripts tout pret , apres ca peut etre amusant de coder via PHP , mais si tu ne connais pas ton ip a la base , je vois mal comment tu peux la recuperer en etant a l' exterieur , sauf a t ' envoyer un mail via crontab par exemple , mais bon si tu as du temps pourquoi pas .

Si, si. Je mets quelques lignes de code php (que je reprends de mes précédents bricolages) dans la page url/monfichier de la commande wget plus haut et le tour est joué. Je récupère l'IP enregistrée dans la bdd sur une autre page (url/stats par ex), voire même j'automatise ça dans un script avec la commande proposée plus haut depuis mon client :

ssh -D 1337 -q -C -N toi@$(wget -O - url/stats)

PS : je mettrais à jour les commandes, car tout ne fonctionne pas...

Dernière modification par Pending... (Le 03/06/2021, à 22:58)

Ubuntu / Mint / Windows 10

Hors ligne

Pages : 1