Forum Linux.débutant Configuration proxy transparent Squid3 DEBIAN 8

0
19
avr.
2016

Tout d'abord je tiens à préciser que mes connaissances de Linux sont très limitées et en dehors de apt-get update et install, je suis vite dépassé. En outre j'avoue que je ne connais rien en matière de réseau.

J'ai réussi à installer tant bien que mal squid3. Je suis sous Debian Jessie 8.4 (3.16.0-4-amd64) et ma version de squid est la 3.4.8. Squid fonctionne puisqu'il bloque la liste de domaines que j'ai créé en suivant plusieurs tutos (je me suis arrêté à squid et je n'ai pas installé squidguard).

Mon problème c'est qu'il fonctionne uniquement en paramétrant iceweasel. Je suis obligé de cocher "configuration manuelle du proxy" et de renseigner l'adresse ip et le port 3128. Quant à Chromium j'ai le message suivant "Lorsque vous exécutez chrome […] les paramètres proxy du système sont utilisés. Cependant, soit votre système n'est pas compatible, soit un problème est survenu lors du lancement de votre configuration système."

J'ai vu alors qu'il fallait rendre le proxy transparent en rajoutant d'une part "transparent" après le port 3128 dans le fichier squid.conf puis en rajoutant des règles iptables.

Malheureusement, après plusieurs tentatives je n'arrive pas à rediriger le trafic internet vers le port 3128 en "transparent".

Est ce que quelqu'un aurait l'amabilité de m'aider et de m'expliquer comment procéder (si possible simplement) ? J'ai vu que le sujet était déjà abordé mais j'ai l'impression que cela concerne plusieurs "machines" en entreprise avec un serveur. Pour ma par il s'agit de deux ordinateurs personnels branchés derrière une freebox.

Merci d'avance.

  • # alternative

    Posté par . Évalué à 1.

    Si le but est l'apprentissage, je n'ajoute rien.
    (car je n'ai pas de réponse technique pertinente)

    Si le but est d'obtenir un proxy fonctionnel, je te conseille de jeter un œil à pfSense.
    Cela intègre tout ce qu'il faut et reste gérable plutôt facilement. Il faut tout de même avoir un minimum de connaissance réseau.
    C'est du BSD pas du Debian sous le capot mais squid et toutes ses configs sont accessibles par un panel.

    Bon courage.

  • # Utiliser la config du système

    Posté par . Évalué à 0.

    Bonjour,

    • Dans les préférences réseau de ton environnement de bureau, tu peux configurer le proxy par défaut de celui-ci (dans gnome 3, c'est l'onglet "Serveur mandataire"), et ensuite utiliser la config "Proxy système" dans les navigateurs.
    • pour les applications CLI, tu peux ajouter les lignes suivantes à la fin de ton .bashrc:
    $ nano ~/.bashrs
    
    ...
    export http_proxy="http://<proxy_addr>:3128/"
    export https_proxy="https://<proxy_addr>:3128/"
    
    

    … sinon, pour la configuration du proxy lui-même, je n'y connais rien :)

  • # C'est pas faux

    Posté par (page perso) . Évalué à 2.

    Le proxy transparent se met en général sur le routeur, mais c'est pas obligatoire ( et plus complexe à mettre en oeuvre ).

    Oublie le fait d'utiliser la machine qui fait office de proxy comme client web transparent. Par contre pour les autres ça fonctionne bien.

    Système - Réseau - Sécurité Open Source

  • # Besoin de plus de précisions

    Posté par . Évalué à 1.

    Tout d'abord merci pour vos réponses, en ce qui concerne pfSense je vais voir ce que s'est, c'est vrai qu'en réseau je ne m'y connais pas. Vous me conseillez de configurer le proxy par défaut mais je suis sur LXDE et je ne vois pas l'onglet "Serveur mandataire". En outre je ne veux pas passer par la config du navigateur car d'une part sur iceweasel c'est un jeu d'enfant pour la désactiver et sur chrome je n'y accède même pas (en tout cas je n'ai pas compris comment procéder).
    Quant aux applications CLI, je ne sais pas si je suis concerné car mon but est de tout simplement faire transiter mon trafic internet par le port 3128 en transparent afin que Squid3 bloque certains contenus.
    En effet il s'agit de deux ordinateurs dans la chambre d'un pré-adolescent et d'un adolescent qui sont reliés à une free-box. Donc à priori pas de serveur ou de routeur hors mis la freebox.

  • # Freebox trop limitée ?

    Posté par . Évalué à 1.

    Donc si j'ai bien compris ce que j'essaye de faire est impossible ? Je comprends donc pourquoi malgré toutes mes tentatives ça ne fonctionnait pas. Il faut donc un routeur sur lequel j'installe squid, c'est bien ça ? et qui sera ensuite lui même relié à la freebox ?
    J'ai a peu près compris ?

    • [^] # Re: Freebox trop limitée ?

      Posté par (page perso) . Évalué à 2.

      Tu devrais utiliser le lien "Répondre" pour ne pas casser le fil.

      oui, c'est ça

      Internet <=> freebox <=> nouveau routeur/proxy transparent <=> pc client

      Bien entendu, c'est un réseau physique séparé, pour ne pas pouvoir shunter le proxy/nouveau routeur.

      Système - Réseau - Sécurité Open Source

      • [^] # Re: Freebox trop limitée ?

        Posté par . Évalué à 1.

        Ok, merci beaucoup pour l'explication. Du coup j'envisageais la choses beaucoup plus simplement or là il faut mettre en place un routeur. Est ce qu'il y a une autre alternative beaucoup plus simple pour installer un contrôle parental efficace sur des PC sous Debian pour éviter que des enfants ne consultent des contenus dangereux ? Et si oui, y a-t-il un tuto disponible ?

        • [^] # Re: Freebox trop limitée ?

          Posté par (page perso) . Évalué à 2.

          Je pense pas car si tu maitrises pas la machine cliente, tu peux contourner les mesures de sécurité.

          Sinon, un profil utilisateur figé ( proxy non désactivable + squidguard / et firewall ) ça pourrait être une solution.

          Système - Réseau - Sécurité Open Source

          • [^] # Re: Freebox trop limitée ?

            Posté par . Évalué à -7. Dernière modification le 25/04/16 à 23:52.

            lut j'y bitte rien en réseau mais il me semble que le mode dmz de la freebox devrait convenir pour rediriger ton traffic vers la machine squid que tu as installée.

            http://www.astuces-pratiques.fr/informatique/freebox-revolution-activer-la-dmz

            par contre je suis pas non plus sur de leur définition de DMZ, car en fait il semble que leur DMZ ressemble juste a un routage des paquets sortant et entrant d'internet à une machine du réseau local.

            Alors que dans mon esprit une DMZ renvoit vers un sous réseau entier afin de l'isoler pour appliquer un filtrage sur le traffic.

            Il me semble que la nuance est importante et que dans ton cas c'est bien le fonctionnement du mode DMZ de la freebox qui conviendrait sans avoir a rajouter d'autres règles au niveau du pare feu.

            Après je ne veux pas t'induire en erreur.

  • # Si on a besoin de rien...

    Posté par . Évalué à -1.

    Je vois que l’ambiance est chaleureuse. Et dire que ça s'appelle "Forum Linux Débutant"…mais apparemment il fait pas bon être débutant dans le monde de Linux. Vous posez une question et personne ne vous répond. Sympa.
    Bonne continuation à ceux qui savent, quant à ceux qui ne savent pas eh bien passez votre chemin.

    Cordialement.

    • [^] # Re: Si on a besoin de rien...

      Posté par (page perso) . Évalué à 3.

      au revoir :-)

      Sinon, sur Mageia, tu aurais le contrôle parental : https://doc.mageia.org/mcc/5/fr/content/drakguard.html

      • [^] # Re: Si on a besoin de rien...

        Posté par . Évalué à 1.

        Merci à BAud pour ton lien, le dernier intervenant a tellement pollué le sujet que je n'avais même pas vu ton lien (et dire qu'il ne voulait pas répondre "je ne sais pas" pour "ne pas polluer le sujet", je crois que c'est raté). Je vais voir ce que donne Mageia. au revoir :-)

    • [^] # Re: Si on a besoin de rien...

      Posté par (page perso) . Évalué à 3.

      Vous posez une question et personne ne vous répond. Sympa.

      Des réponses, tu en as eu. Des gens ont pris du temps pour regarder ton problème et essayer d'y répondre ou apporter des éléments d'information.

      Maintenant, la question que tu poses concerne un aspect assez spécifique qui nécessiterait à mon avis plus qu'une simple connaissance de linux (linux, configuration squid, connaissance réseau).

      Personnellement, je ne savais même pas ce qu'était un proxy transparent (bon en fait si, mais je ne connaissais pas la terminologie). Quand je suis ignare sur un sujet, j'évite de répondre en disant "désolé, je ne sais pas". Ca ne sert à rien, sinon à polluer le sujet.

      Ensuite, il ne faut pas oublier que les gens sont bénévoles. On a une vie, des hobbies, de la famille, des occupations. Il ne faut pas croire que parce qu'on parle linux ici nous sommes tous des geeks barbues ne décollant pas de leur PC. En plus, selon la zone où on se trouve, on peut être en vacances. Donc voilà, on fait tous ça sur notre temps libre. L'accueil qui t'a été fait est des plus respectables. Tu as eu des suggestions sur des manières éventuellement alternatives, sur l'impossibilité de réaliser la configuration que tu souhaitais en utilisant la Freebox comme routeur. Que veux-tu de plus ? Si tu trouves que l'accueil ici n'était pas "sympa", il y a une réponse type que j'ai toujours détestée pour son usage intempestif mais qui collerait bien ici : RTFM.

      A bon entendeur

    • [^] # Re: Si on a besoin de rien...

      Posté par . Évalué à -5.

      Ne le prend pas mal mais pour être tout a fait franc avec toi 19commentaires c'est beaucoup pour un post sur le forum.

      Par exemple sur un journal de seconde pages ici :
      https://linuxfr.org/users/thatoo/journaux/olympe-a-besoin-d-un-coup-de-main
      on est bien moins nombreux et les solutions ne se bousculent pas :( .

  • # Que d'excuses...chapeau

    Posté par . Évalué à 1.

    En fait j'ai compris, c'est un forum pour apprendre des excuses pour ne pas répondre. Moi par politesse je réponds, même si c'est pour dire que je ne sais pas. Je ne vois pas du tout en quoi cela peut polluer ? Ou alors c'est qu'on a du mal à admettre qu'on ne sait pas et il est alors honteux de le dire. D'autant que ma question n'avait rien d'extraordinaire. On me dit c'est pas possible et je demande alors si il y a un autre moyen et si oui un tuto. Wow, trop dur.

    • [^] # Re: Que d'excuses...chapeau

      Posté par (page perso) . Évalué à 3.

      En fait j'ai compris, c'est un forum pour apprendre des excuses pour ne pas répondre.

      spa faux (si tu es un fan de kaamelott)

      En vrai, tu es à côté de la plaque : tu peux relire l'historique de https://linuxfr.org/forums/linux-debutant/posts/resolu-wp-le-fichier-n-a-pas-pu-etre-deplace-vers-wp-content-uploads-2016-04#comment-1654446 et lire aussi https://linuxfr.org/forums/linux-debian-ubuntu/posts/resolu-localhost-connexion-impossible

      Tu pourras éventuellement comprendre que toi non plus tu n'as pas toutes les réponses que tu attends (c'est un forum, j'ai les solutions ?!), ceux qui répondent n'ont pas la solution non plus (rho la bande de branques !? ou pas, ou si, 'fin souvent, mais plus souvent sur ubuntu que sur archlinux on va dire, sur gentoo ils ne prennent pas le temps de répondre, à raison).

      Bref, tu veux une réponse : montre que tu as cherché sans trouver, si tu veux motiver quelqu'un à te répondre, tu crois que c'est en l'insultant qu'il te répondra ensuite et dans la durée ? Nous aussi ça nous a pris du temps de démarrer, revoir toujours les mêmes trucs documentés de partout, tu crois que ça nous fait plaisir d'y répondre ?

      En clair : ça nous gave, spa ta faute, c'est tombé sur toi, tu verras ce sera pareil dans 2-3 ans quand tu verras le même genre de tes questions actuelles… ya de la doc' de partout, tu devrais la retrouver facilement avec un peu de recherche.

      Finalement : bah, reste, tu n'es pas à l'abri de trouver de l'aide au final, pas celle que tu attendais effectivement, tu découvrivras des trucs que tu n'imaginais pas, ça te servira ou pas, l'important est de s'intégrer, être consommac'teur plutôt que demandeur et rendre la pareille.

      Bienviendu !

    • [^] # Re: Que d'excuses...chapeau

      Posté par (page perso) . Évalué à 3.

      Je ne vois pas du tout en quoi cela peut polluer ?

      Imagine. Ici, c'est un forum où traine de nombreux utilisateurs de linux. Si TOUS les utilisateurs répondaient "je ne sais pas", tu aurais 50x un message du style "je ne peux pas t'aider" ou "j'en sais rien". En ça, c'est polluer le sujet (et encore, 50x, je suis gentil car il y a plus d'utilisateurs que cela ici je pense !)

      Pour le reste (forum pour apprendre des excuses, honteux de dire qu'on ne sait pas, etc…), ce n'est qu'un appel au troll (auquel je ne répondrais pas) agrémenté d'une pincée d'incorrection (pour quelqu'un qui parle de politesse, c'est un comble). Le respect, c'est dans les deux sens, et ce message montre ton manque total de considération.

      Maintenant, comme tu n'as semble-t-il pas compris l'objectif de mon précédent message, je ne suis pas sur que tu comprennes la finalité de celui-ci. Par avance, je te présente donc mes excuses pour ne pas répondre à tes futurs messages dans la mesure où cela ne servirait à rien. Je préfère consacrer le peu de temps de libre que j'ai à aider des personnes qui sauront apprécier le temps que nous pouvons leur consacrer.

      • [^] # Re: Que d'excuses...chapeau

        Posté par . Évalué à 1.

        "Ca ne sert à rien, sinon à polluer le sujet." Si ce que tu fais depuis quelques posts ce n'est pas polluer le sujet, je ne sais pas alors comment ça s'appelle. Je dirai même qu'il est plus que pourri, un vrai massacre, tout ça pour faire la leçon à un vilain débutant en lui disant que monsieur a une vie en dehors du forum. C'est bien tout le monde a une vie. Si tu avais pu être aussi prolifique pour me répondre que pour faire le cowboy, je pense que nous aurions pu bien avancé. Heureusement que l'intervention de BAud était constructive grâce à son lien : https://doc.mageia.org/mcc/5/fr/content/drakguard.html
        D'autant que le but c'est de ne pas me renseigner moi en particulier, mais peut être d'autres personnes qui cherchent une solution aussi et qui seraient ravis de la trouver. Je pense que c'est à ça que sert un forum non ? Etre constructif et répondre quand on pose une question d'autant que je ne me suis pas excité. J'ai attendu trois jours sans aucune réponse avant de réagir.
        Désormais je vais voir du coté de Mageia grace à notre ami BAud et je te laisse finir de massacrer le post. Bonne continuation. ET adieu….

      • [^] # Re: Que d'excuses...chapeau

        Posté par (page perso) . Évalué à 2.

        Maintenant, comme tu n'as semble-t-il pas compris l'objectif de mon précédent message, je ne suis pas sur que tu comprennes la finalité de celui-ci. Par avance, je te présente donc mes excuses pour ne pas répondre à tes futurs messages dans la mesure où cela ne servirait à rien

        toi, comme moi, nous aurons oublié (ainsi que le demandeur)

        je te présente donc mes excuses pour ne pas répondre à tes futurs messages dans la mesure où cela ne servirait à rien. Je préfère consacrer le peu de temps de libre que j'ai à aider des personnes qui sauront apprécier le temps que nous pouvons leur consacrer.

        c'est parce que nous n'avons pas encore atteint ce niveau de débilitude qu'il reste des gens pour aider les autres :-)
        même si ce serait la solution de facilité, mais pourquoi laisser quelqu'un perdu quand lui tendre la main est si facile ?

        J'avais commis https://linuxfr.org/users/baud/journaux/de-l-accueil-dans-la-communaute-linuxfr sans peu de participation des modos de l'époque. Je ne vois pas comment capitaliser sur le wiki non plus, ni en rédaction, bref, si ça motive quelqu'un, bah ya moyen de moyenner (l'absence de commentaires sur ce journal des admodérolecteurs étant représentative du manque d'expression publique, ça perdure hein)

      • [^] # Re: Que d'excuses...chapeau

        Posté par (page perso) . Évalué à 2.

        Maintenant, comme tu n'as semble-t-il pas compris l'objectif de mon précédent message, je ne suis pas sur que tu comprennes la finalité de celui-ci.

        ta formulation est incompréhensible, même pour moi

        Par avance, je te présente donc mes excuses pour ne pas répondre à tes futurs messages dans la mesure où cela ne servirait à rien.

        ce serait bien dommage : un de mes meilleurs managers m'a indiqué que gérer des gens compétents, c'est facile, être bon manager c'est gérer les "mauvais ou pas à la hauteur" (c'est une question de point de vue), les faire évoluer, là tu apportes de la valeur (et ça je sais le reconnaître). Oui, c'est très discriminant, tout comme tu l'as fait, pourquoi une demande de merde serait représentative dans le domaine ?

        Je n'ai pas ressenti de mal-comprennance de ta part, vu que tu as sans doute vu des contenus du genre http://hectorzblog.blogspot.fr/2014/02/handicaphobie.html très difficile à comprendre personnellement et intégrer dans son discours, si tu l'as compris c'est que tu en auras parlé par ailleurs (le comprendre ?)q

        • [^] # Re: Que d'excuses...chapeau

          Posté par . Évalué à 1.

          Je crois que c'est sincèrement un site de fou ou de drogué. Les propos de ce pauvre gars n'ont aucun sens…ça fait vraiment peur. Overdose de Linux je pense. Renvoyer en plus la discussion sur un sujet aussi grave que le handicap, ça donne la nausée. Ces gens là n'ont aucun respect.

        • [^] # Re: Que d'excuses...chapeau

          Posté par (page perso) . Évalué à 2.

          Je réponds à tes deux commentaires en un ;)

          toi, comme moi, nous aurons oublié (ainsi que le demandeur)

          Déjà fait :-D

          c'est parce que nous n'avons pas encore atteint ce niveau de débilitude qu'il reste des gens pour aider les autres :-)
          même si ce serait la solution de facilité, mais pourquoi laisser quelqu'un perdu quand lui tendre la main est si facile ?

          Je n'ai rien contre. Je suis plutôt pour. Mais que cela se fasse dans le respect. Ce monsieur n'en montre hélas pas beaucoup (il suffit de voir son dernier commentaire. Il s'enfonce encore un peu plus).

          ta formulation est incompréhensible, même pour moi

          Bon, je vais le dire complètement autrement alors. On apporte l'aide qu'on peut apporter. Nous avons assez de recul pour connaitre les limites de nos connaissances et ne pas intervenir lorsqu'on sait pertinemment que cela n'apportera rien au problème initial. L'objectif du premier message était de montrer à ce monsieur que des personnes avaient consacrées du temps à son problème. Le second pour lui dire qu'insulter les gens ne serviraient strictement à rien, si ce n'est ne pas lui répondre ou carrément lui répondre "d'aller se faire foutre" (sorry pour les grossièretés). Le mot d'ordre quand on pose une question, c'est le respect.

          ce serait bien dommage : un de mes meilleurs managers m'a indiqué que gérer des gens compétents, c'est facile, être bon manager c'est gérer les "mauvais ou pas à la hauteur" (c'est une question de point de vue), les faire évoluer, là tu apportes de la valeur (et ça je sais le reconnaître). Oui, c'est très discriminant, tout comme tu l'as fait, pourquoi une demande de merde serait représentative dans le domaine ?

          Entièrement d'accord avec toi. Mais je ne suis pas manager. Je participe à la communauté ;) Aider les gens je veux bien, mais pas quand on se fait insulter.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.