Forum Linux.debian/ubuntu Squid transparent

Posté par . Licence CC by-sa.
0
17
avr.
2018

Bonjour,

Je souhaiterais mettre en place un proxy transparent, pour que l'IP du proxy et le port ne soient pas renseignés dans chaque navigateur de chaque machine.

Voici mon architecture :
une machine (un routeur) : gateway 1.2.3.4
une machine proxy squid : interface ens… 1.2.3.10
des hôtes : 1.2.3. …

J'ai trouvé des tutos sur internet mais les rédacteurs des articles ont deux interfaces. J'ai aussi vu une histoire d'iptables mais je ne sais pas de quelle machine il faut les modifier.

Quels fichiers de quelle machine dois-je modifier ?

Merci d'avance

  • # Re

    Posté par (page perso) . Évalué à 2.

    Première chose: un proxy transparent c'est "simple" pour les postes clients mais assez complexe pour le reste, et surtout ça n'est pas transparent pour le HTTPS en général.

    Du coup: as-tu regarder plus simplement a mettre en place une auto-detection de proxy via proxy.pac + wpad ?

    pour répondre à ta question:

    Une architecture de proxy transparent nécessite un élément réseau en coupure (firewall bridge ou routeur en général) qui va intercepter et rediriger le trafic a destination du port 80 et dont la source n'est pas le proxy vers un port dédié du proxy web.

    Il te faut donc modifier ton réseau de sorte a pouvoir rediriger tout ce trafic vers ton proxy squid, en laissant le trafic du proxy squid passer.

    Mais encore une fois c'est je pense une mauvaise idée, regarde plutot a activer l'auto-detection et les proxy.pac.

    • [^] # Re: Re

      Posté par . Évalué à 1.

      En effet c'est bien ce que j'avais lu. Le proxy transparent ne supporte pas le HTTPS.
      Je vais me renseigner sur la solution que tu me proposes.
      Disons que je pouvais éviter de modifier toute l'archi réseau, ce serait pas mal.
      Merci pour ta réponse

      • [^] # Re: Re

        Posté par . Évalué à 1.

        Petite précision : mon proxy est squid squidguard !

  • # Idée

    Posté par (page perso) . Évalué à 1.

    Une solution:

    • Ton serveur DHCP doit donner aux client l'adresse de ton proxy comme route par défaut
    • Ton serveur ne doit laisser passer que les paquets provenant du proxy (Règle iptable)

    Je ne suis pas admin réseau, cette solution est sûrement imparfaite: un client pourrait par exemple voler l'IP du proxy et se faire passer pour lui auprès du serveur. L'idéal c'est de séparer les clients et le serveur physiquement.

    Il n'est pas possible de rajouter une interface à ton proxy?

    Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: Idée

      Posté par . Évalué à 1.

      Le problème de modifier l'IP du proxy peut être résolu par GPO en bloquant l'accès IPv4, sur les clients.
      Pour ce qui est de rajouter une interface, ça va être compliqué, car je ne connais que l'IP du réseau LAN et je ne sais pas s'il est possible de créer un nouveau réseau.
      Merci de ta réponse

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.