Forum Linux.général Un peu d'aide pour mettre en place un serveur proxy en entreprise =D

Posté par .
2
13
avr.
2012

Bonjour à la communauté !

Voilà, je vous explique rapidement la problématique : Mon entreprise ne dispose que de très peu de bande passante vers internet, du fait le lien est souvent saturé. J'aimerais mettre en place un proxy transparent (squid) dans l'objectif de réduire la bande passante consommée via les fonctionnalités de cache mais aussi contrôler l'activité via des logs ou pourquoi pas une interface de gestion.

Les postes clients sont configurés pour utiliser une passerelle X pour sortir du réseau local sur laquelle je n'ai ABSOLUMENT PAS la main.

J'aimerais faire transiter le trafic de cette manière :

POSTE -> PROXY -> PASSERELLE -> INTERNET
INTERNET -> PASSERELLE -> PROXY -> POSTE

  • Dois-je obligatoirement partir sur une configuration PROXY à deux cartes réseaux ?
    POSTE -> | ETH0 -> PROXY -> ETH1 | -> PASSERELLE -> INTERNET

  • Quelle distribution me conseillez vous ?

Merci à vous tous, en vous souhaitant un excellent week-end !!

  • # c'est plus propre mais pas obligatoire

    Posté par . Évalué à 2.

    les postes sont sont configurer pour passer par X

    mais tu n'as pas la main sur X ou pas la main sur la configuration des postes ?

    Dans le cas ou tu peux changer la configuration des postes, suffit de les envoyer sur ton proxy P, qui recoit le trafic, le traite et les renvoie à X.

    Idealement ton proxy viendrait remplacer la passerelle et aurait 2 cartes reseaux, la premiere sur ton LAN, la 2e vers X (X n'etant plus connectée qu'à ton proxy).

    Ton proxy peut alors compter, filtrer, reduire le debit, afin que tout le monde ait son bout de connexion.

  • # Pourquoi pas Artica ?

    Posté par . Évalué à 1.

    Dans le genre Squid avec une belle interface, Artica, l'inconvénient est que c'est une surcouche assez lourde, bien que le développeur soit très actif et à l'écoute des demandes (je lui avais demandé d'implémenter la fonction proxy parent et il l'a fait très rapidement).

    Sinon, une Debian avec Webmin peut suffire si tu maitrises un minimum Squid. Webmin peut aider pour faciliter la gestion de l'ensemble mais la partie proxy ne dispense pas de connaître Squid.

    Comme rapport, tu peux utiliser Sarg ou Webalizer (pour Sarg, si tu as beaucoup de trafic, les rapports peuvent prendre une place non négligeable en volume et en inodes).

    Comme dit dans le commentaire précédent, tu dois pouvoir renseigner ton proxy comme passerelle par défaut pour les postes clients.

    Bon courage dans ton projet.

  • # C'est faisable avec une seule carte, mais ça augmente la complexité.

    Posté par (page perso) . Évalué à 2.

    Un routeur sous Debian ( qui redirige le traffic pour le port 80 vers le proxy sauf le traffic du proxy :-; ) ainsi que le proxy squid.
    Deux cartes c'est mieux si tu veux observer le traffic amont/aval du proxy. ( cacti , mrtg ).
    Un dns interne qui fait cache, ça peut être utile.

    Système - Réseau - Sécurité Open Source

  • # Le projet avance mais il me faut maintenant rediriger les flux ! Merci.

    Posté par . Évalué à 0. Dernière modification le 23/04/12 à 16:22.

    J'ai suivi vos conseils et je vous en remercie.

    Je viens de mettre en place une redirection NAT depuis le trafic de mon LAN:80 vers le port 3128 de mon proxy !

    eth0 = LAN // eth1 = vers passerelle (routeur cisco)
    a.a.a.a = @IP LAN du proxy
    b.b.b.b = @IP WAN (utile ?)
    c.c.c.c = @IP Routeur CISCO (passerelle)

    voici la commande :

    • iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination a.a.a.a:3128

    Le trafic est bien redirigé et ça marche coté client !

    Seulement le reste des protocoles de type DNS, SMTP (tout le reste) ne passe plus.

    Pourtant j'ai bien spécifié la route par défaut sur mon proxy :

    • route add default gw c.c.c.c

    Deux questions donc :

    • Quel moyen me permet de rediriger tout le trafic vers mon routeur CISCO excepté celui provenant du port 80 ?

    • Est ce que l'ETH1, autrement dit ma deuxième carte réseau est nécessaire ?

    Merci pour vos conseils et bon après midi !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.