Bonjour à tous, je me tourne vers vous pour avoir des conseils, j'ai mis en place un serveur proxy squid sur vmware et un analyseur de log web proxyanalyzer. Je souhaiterai que les utilisateurs du reseau local passe par mon proxy squid avant d'aller sur internet et tout ceci sans modifier quelque chose coté utilisateur, Ma configuration est la suivante :
Box Fai : 192.168.0.1
Serveur Proxy (CentOS) : 192.168.0.25
Faut-il ajouter une deuxieme carte reseau sur vmware? activer iptables?
schema : Internet <--> Box FAI <--> Proxy squid <--> utilisateur wifi
Dans l'attente de vous lire, merci.
# impossible
Posté par NeoX . Évalué à 3.
dans ton cas, c'est impossible sans modifier la configuration des postes clients.
au mieux tu vas pouvoir "tricher" en modifiant la configuration de la BOX pour changer la passerelle des clients DHCP par l'IP de ton proxy.
ainsi tout le trafic sortant des clients passera par le proxy, qui lui passera par la box.
problemes :
- il faut configurer ta VM squid en mode routeur ET proxy transparent (je te laisse chercher un peu sur internet)
- un utilisateur un peu intelligent pour reconfigurer sa machine pour passer directement par la box et eviter le proxy.
vu qu'il n'y a qu'un seul reseau, une seule carte reseau suffit.
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
Bonjour, tout d'abord merci de m'avoir repondu. quand tu dis modifier la configuration de la box, que dois je modifier comme parametre?
Adresse IP LAN : 192.168.0.1
Serveur DHCP : Oui/Non
Si je mets l'ip de squid dans la box, les clients n'auront pas acces a internet?
[^] # Re: impossible
Posté par NeoX . Évalué à 3.
il te faut d'abord comprendre comment fonctionne un reseau.
dans ton cas il est probable que les ordinateurs soient configurés en DHCP, ils recoivent donc leurs IPs, passerelle et DNS de la BOX FAI
son adressage : 192.168.0.x
sa passerelle : actuellement 192.168.0.1
et cela permet aux ordinateurs de ton reseau d'aller sur internet en passant par la machine 192.168.0.1
compte tenu de ce que tu veux pas faire je procederais par etape :
- configurer comme il faut la machine squid pour faire routeur puis comme proxy transparent
- configurer un poste client avec comme passerelle la machine squid
- tester que cela fonctionne.
une fois que cela sera fait,
tu configureras ton DHCP pour que tes machines obtiennent l'IP du squid comme passerelle.
le squid restant avec comme passerelle l'IP de ta box.
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
comment utiliser ma machine vmware squid en tant que routeur? pour le proxy transparent y a juste a ajouter http_port :3128 transparent
dans le fichier squid.conf
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
visiblement tu debutes en reseau,
je te recommandes de lire les tutos pour savoir :
- comment configurer un DHCP et changer la passerelle par defaut de tes clients
- comment installer et configurer squid en proxy transparent
- comment faire une regle iptables pour forcer les flux venant des utilisateurs vers le proxy (role routeur de ta VM)
etc
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
Je suis diplomé en informatique (bac +2) donc non je ne debute pas en reseau, c'est que j'ai juste du mal a comprendre le routage entre le proxy et la box, ce que tu me dis de revoir a savoir configurer le DHCP, c'est la box qui fournit le DHCP ;)
J'ai egalement mentionné dans mon commentaire precedent que squid à deja été installé sur ma machine centos en virtuel.
Donc si on reprend depuis le debut :
1) ajouter http_port :3128 transparent dans le fichier squid.conf
2) ajouter une regle iptables pour forcer les utilisateurs à passer par le proxy : ** iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128**
3) configurer les parametres tcp ip des utilisateurs a savoir ip de squid en tant que passerelle, dns google et ip au choix pour l'utilisateur
Donc rien a faire coté modem? parce que je vois pas l'interet de rajouter une regle iptables car sans cette regle mes utilisateurs passaient deja par le proxy et sa fonctionne correctement.
[^] # Re: impossible
Posté par NeoX . Évalué à 3.
un bac+2 en informatique ne veut pas dire qu'on maitrise un reseau, un firewall, le routage, etc
ben comment tu veux modifier les parametres DHCP si tu ne modifies rien sur la BAX du FAI ?
tu as un autre DHCP sur ton reseau ?
comment ils passent par le proxy si leur passerelle par defaut c'est la BOX FAI et qu'il n'y pas eu de modification des options de leur navigateur ?
la regle iptable permet justement de rerouter le trafic sortant en HTTP (port 80) vers le squid (port 3128)
mais pour cela il faut que tes "clients" passent par defaut (la passerelle de chaque machine) par l'IP du squid
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
Parce que j'ai configuré ma machine virtuel en tant que bridge et donc les utilisateurs accedent au proxy squid (via le dhcp du modem), je n'ai pas de serveur dhcp sur ma machine virtuel squid.
Donc admettons que je supprime ma regle iptable et que je met l'ip du proxy squid et le port 3128 dans le navigateur (coté utilisateur), squid ne pourra pas capturer les sites visités par l'utilisateur?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
donc il te faut 2 cartes reseaux pour faire le bridge, ce qui ne semble pas etre le cas d'apres les questions de depart.
squid fera ce que tu lui demande, il fera proxy pour les utilisateurs,
MAIS tu dois alors modifier la configuration des navigateurs des utilisateurs,
ce qui ne correspond pas à ton critere du premier post de "ne pas modifier les postes utilisateurs"
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
Je pense que tu ne saisis pas ma demande, mon premier post disait que je ne veux pas modifier la config sur les postes clients mais tu dis que je n'ai pas le choix car impossible?
J'ai configuré une seule carte reseau sur vmware et activé le bridge, il n'y a pas deux carte reseaux. Si tu as skype sa serai mieux?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
oui et c'est pour cela que j'ai dit que ce n'etait pas possible si tu ne modifies pas la configuration client d'une maniere ou d'une autre :
ensuite tu dis avoir monter un bridge avec ta VM.
tu as du faire un bridge au sens VM du terme qui met la carte reseau de la VM sur le meme reseau que tes clients
ca permet à tes utilisateurs de contacter le proxy, mais nulle part tu as dit aux machines d'utiliser le proxy,
ni à ces memes machines de passer par defaut par l'IP du proxy
[^] # Re: impossible
Posté par Th3Security . Évalué à 1. Dernière modification le 24 juillet 2016 à 17:55.
Donc il me reste a modifier le DHCP pour changer la passerelle par le proxy squid. exact? donc sur le dhcp du modem je met l'ip de squid : 192.168.0.25
http://www.hostingpics.net/viewer.php?id=206836Capturedecran20160724a175005.png
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
oui et non,
oui si tu peux preciser une passerelle differente de la BOX FAI
mais
non si, comme dans ton cas, c'est forcement la box du FAI qui sera de toute facon la passerelle par defaut.
il va alors falloir faire autrement :
- modifier les paremetres proxy de chaque machine ?
- desactiver le DHCP de la BOX et configurer un DHCP sur le LAN qui fera alors ce que tu veux
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
sinon pourquoi ne pas ajouter 2 cartes reseau sur la vm, par exemple :
1 coté eth0 vers le modem et 1 coté eth1 vers les utilisateurs? ensuite on active le routage sur 2 reseau differents par exemple
eth0 :192.168.1.1
eth1 : 192.168.2.1
comme sa les utilisateurs doivent utiliser la passerelle d eth0 pour aller sur internet? qu'est tu en pense?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
oui, mais ca equivaut à transformer ta VM en 'routeur'
avec les fonctionnalités :
- dhcp
- firewall iptables
- proxy avec squid
et il te faut en effet 2 cartes reseaux :
une sur le reseau LAN du FAI (192.168.0.X)
une sur le reseau des utilisateurs
c'est realisable en conservant l'adressage actuelle pour ne pas passer l'existant, et en changeant les IPs entre la box FAI et ta VM proxy (192.168.1.x)
ou en changeant l'IP des utilisateurs et en conservant l'adressage FAI entre la box et le proxy.
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
donc je rajoute une deuxieme carte reseau en mode pont?
modem : 192.168.0.1
eth0 : 192.168.0.2
eth1 : 192.168.0.3
dois je changer l'ip du proxy? vu que maintenant il y a deux interfaces?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
tu as mis 2 interfaces virtuelles, c'est bien
mais tu les as mises sur le meme pont, vers la meme seule et unique interface physique de ton serveur ?
alors cela ne sert pour l'instant à rien, car tes PCs continuent de parler à ta passerelle par defaut (192.168.0.1)
tu es dans la situation suivante :
Internet
|
Box FAI
|
switch—PC client
|
serveur vmware
||
machine virtuelle avec proxy
donc rien ne force les PC clients à passer dans la machine virtuelle.
[^] # Re: impossible
Posté par nono14 (site web personnel) . Évalué à 2.
quel masque ? il manque des infos, c'est incomplet.
Système - Réseau - Sécurité Open Source
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
tu nous propose quoi? en effet je veux capturer les sites visités par les utilisateurs wifi, j'ai installé proxy squid sur centos et tout marche mais le probleme c'est que je suis obligé de configurer les parametres du navigateur internet sur chaque client :/
[^] # Re: impossible
Posté par NeoX . Évalué à 3.
on te propose de transporter ton proxy squid sur ton routeur, ou de convertir ta VM en routeur.
ta VM sera alors la passerelle par defaut des utilisateurs,
sera au milieu de la connexion, entre les utilisateurs et internet, et pas à coté comme c'est le cas actuellement.
mais si cela permet de ne pas modifier la configuration des postes utilisateurs, cela demande de revoir l'architecture.
[^] # Re: impossible
Posté par nono14 (site web personnel) . Évalué à 2.
C'est le plus simple, on peut mettre le proxy sans qu'il soit sur le routeur au détriment d'une complexité plus importante.
Système - Réseau - Sécurité Open Source
[^] # Re: impossible
Posté par Th3Security . Évalué à 1. Dernière modification le 28 juillet 2016 à 11:49.
lire et comprendre les tutos qui sont là pour ca.
mais dans ton cas en resumé (cela n'empeche pas d'aller lire les tutos sinon on va faire payer la prestation)
1°) configurer la 2e interface de la VM pour utiliser un autre reseau (ex : 10.0.0.0/24)
2°) mettre un PC-TEST sur le reseau 10.0.0.0/24 avec comme passerelle la VM sur l'interface 10.0.0.0/24
3°) un routeur de base :
* installer les programmes :
* iptables
* modifier le fichier sysctl.conf pour activer l'IP forward entre les 2 interfaces de la VM…
* configurer des regles de NAT avec iptables pour :
* masquer le reseau 10.0.0.0 (et donc PC-TEST) quand le trafic va sur la premiere interface reseau (192.168.X.Y)
* masquer les reseau 192.168.X.Y quand le trafic va vers le reseau 10.0.0.0
[^] # Re: impossible
Posté par nono14 (site web personnel) . Évalué à 2.
sysctl, iptables, …
Système - Réseau - Sécurité Open Source
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
Donc si je comprends bien, je laisse les parametres dhcp de mon routeur FAI? l'ip du routeur/modem est 192.168.0.1
ensuite je rajoute une deuxieme carte reseau en mode bridge? car la premiere carte reseau est en mode bridge
Modem FAI : 192.168.0.1
1er carte reseau ip : 192.168.0.25 (configurer en statique)
Ajouter une deuxieme carte reseau et mettre une ip en 10.0.0.1 ? faudrai mettre un dhcp sur le serveur pour que les utilisateurs ai une ip en 10.0.0.2, 10.0.0.3…
Enfin activer l'ip forwarding?
[^] # Re: impossible
Posté par NeoX . Évalué à 3.
elle est en mode "bridge" dans vmware pour avoir un acces reel à ton reseau physique
donc oui, la 2e carte reseau devra etre en bridge, idealement sur une 2e carte reseau de ton serveur vmware
sinon les 2 DHCPs vont se croiser (celui du FAI et le tiens)
[^] # Re: impossible
Posté par nono14 (site web personnel) . Évalué à 2.
+1, un réseau séparé physiquement c'est une bonne solution
Système - Réseau - Sécurité Open Source
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
bonjour, j'ai ajouté une deuxieme carte reseau bridged mais il ne le detecte pas dans vmware? why?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
tu l'as ajouté ou ?
parce que normalement tu as :
[^] # Re: impossible
Posté par Th3Security . Évalué à 0. Dernière modification le 01 août 2016 à 11:44.
je l'ai ajouté dans l'interface vmware, avant de demarrer la vm, je vais dans les options et je choisis d'ajouter une deuxieme carte reseau. ensuite lorsque je demarre la vm, la premiere carte reseau clignote mais pas la seconde, pourtant j'ai cocher les options "activer au demarrage"
Donc je ne vois pas ou est le probleme. Mais si tu veux ajouter une deuxieme carte virtuel tu n'es pas obligé de mettre une deuxieme carte physique lol
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
"activée au demarrage" ne veut pas dire qu'il va y avoir du trafic dessus.
il faut ensuite l'activer dans la VM (sur ton OS)
enfin
oui, mais à ce moment il va te falloir faire des switchs virtuels et du VLANs dans ce switch virtuel et sur ton OS pour que les 2 cartes reseaux ne se voient pas (sinon tu as une carte qui va demarrer en dhcp, et l'autre qui va lui repondre, ce que tu ne veux pas)
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
Je veux mettre deux interfaces dans mon serveur une vers le wan et l'autre vers le lan donc je rajoute 2 cartes reseau en mode bridge? et c koi la commande pour activer l'interface sur centOS ?
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
oui mais il faut bridger :
- sur 2 cartes physiques (2 cartes physiques => 2 switchs virtuels => 1 carte virtuelle sur chaque switch)
ou
- avec une cartes physique il te faudra des VLANS ( 1 carte physique => 2 Vlans => 2 switchs virtuels => 1 carte virtuelle sur chaque switch)
la meme que pour la premiere carte,
sinon à la main en editant le fichier /etc/sysconfig/network-scripts/ifcfg-eth1
s'inspirer de ce qui est fait dans le fichier ifcfg-eth0
[^] # Re: impossible
Posté par Th3Security . Évalué à 1.
je n'ai pas l'interface ifcfg-eth1 dans le dossier network scripts, en faite il faut que je fasse à peu pres la meme chose que sur ce site :
http://www.it-connect.fr/configurer-un-routeur-sous-linux%EF%BB%BF/
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
c'est l'idée,
sauf qu'il te faudra adapter pas mal de chose, car le site presente la procedure pour debian, avec une syntaxe debian dans les fichiers de configuration reseau par exemple.
et il te faudra comprendre pour ensuite adapter à ta situation (CentOS)
pour le fichier ifcfg-eth1, il n'existe pas, c'est normal, la carte n'existait pas lors de l'installation de la machine.
=> soit tu reinstalles la machine
=> soit tu crees le fichier en t'inspirant du modele existant (ifcfg-eth0) et en l'adaptant à ton besoin.
[^] # Re: impossible
Posté par Th3Security . Évalué à 0.
c'est compliqué, pourtant j'ai reussi avec une gpo sur windows 7 et sa marche niquel, le probleme c'est que la carte reseau bridge n'est pas activé, je comprends rien !
[^] # Re: impossible
Posté par NeoX . Évalué à 2.
est-ce tu vois la carte eth1 sur ta machine ?
ip linkouip aou
dmesg | grep ethSuivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.