Posté par clpeter .
En réponse au message Mixer les ACLs de Squid.
Évalué à 0.
Dernière modification le 18 juin 2012 à 11:44.
Voilà, j'ai plus d'informations à vous donner ;-)
Il s'agit donc d'un proxy filtrant firewall Linux qui se trouve entre la box Internet et le réseau interne. Les postes clients du réseau interne s'identifie sur un domaine Windows AD 2008 et ce dernier est connecté avec le proxy Linux. Ils sont connectés ensemble car le proxy filtre les accès Internet en fonction du groupe dans lequel est l'utilisateur du LDAP AD.
Concernant le FTP, ce n'est pas " notre " FTP… je parle d'un accès FTP sur ftp.ubuntu.com via FileZilla par exemple ! Pas de proxy FTP configuré ni de proxy transparent, pour finir le proxy n'est pas le routeur !
Voici donc en premier le squid.conf qui fonctionne avec le FTP (en gras les lignes qui me semblent importantes) :
On remarquera ici que la requête CONNECT est autorisée sur presque tous les ports (80 21 443… 1025-65535).. est-ce que cela est sécurisé ??
Voici maintenant le squid.conf qui pose problème pour le FTP (la plus grosse différence avec la première version c'est qu'il n'y a pas tous les ports autorisés pour la requête CONNECT) :
Voilà voilà, j'espère avoir été compréhensible et complet !
Si la première version de Squid ne pose pas de problèmes de sécurité (malgré tous les ports autorisés -1025 à 65535- pour la requête CONNECT), je ne vais pas me prendre le choux, hein ? Mais je n'ai pas la certitude qu'elle soit safe !
Je vous remercie d'avance pour l'aide que vous pourrez m'apporter :-)
Posté par clpeter .
En réponse au message Mixer les ACLs de Squid.
Évalué à 0.
Dernière modification le 17 juin 2012 à 11:22.
Merci pour vos réponses !
Effectivement, je n'ai pas indiqué le squid.conf par exemple…
Mais je ne l'ai pas sous la main, par contre, dès lundi matin je vais faire les essais et le cas échéant, vous envoyer mon squid.conf avec plus de détails sur la situation.
# Update
Posté par clpeter . En réponse au message Mixer les ACLs de Squid. Évalué à 0. Dernière modification le 18 juin 2012 à 11:44.
Voilà, j'ai plus d'informations à vous donner ;-)
Il s'agit donc d'un proxy filtrant firewall Linux qui se trouve entre la box Internet et le réseau interne. Les postes clients du réseau interne s'identifie sur un domaine Windows AD 2008 et ce dernier est connecté avec le proxy Linux. Ils sont connectés ensemble car le proxy filtre les accès Internet en fonction du groupe dans lequel est l'utilisateur du LDAP AD.
Concernant le FTP, ce n'est pas " notre " FTP… je parle d'un accès FTP sur ftp.ubuntu.com via FileZilla par exemple ! Pas de proxy FTP configuré ni de proxy transparent, pour finir le proxy n'est pas le routeur !
Voici donc en premier le squid.conf qui fonctionne avec le FTP (en gras les lignes qui me semblent importantes) :
On remarquera ici que la requête CONNECT est autorisée sur presque tous les ports (80 21 443… 1025-65535).. est-ce que cela est sécurisé ??
Voici maintenant le squid.conf qui pose problème pour le FTP (la plus grosse différence avec la première version c'est qu'il n'y a pas tous les ports autorisés pour la requête CONNECT) :
Voici le message d'erreur de FileZilla et un extrait de l'access.log de Squid :
http://www.hostingpics.net/viewer.php?id=771533filezilla.jpg
http://www.hostingpics.net/viewer.php?id=717597access.jpg
Voilà voilà, j'espère avoir été compréhensible et complet !
Si la première version de Squid ne pose pas de problèmes de sécurité (malgré tous les ports autorisés -1025 à 65535- pour la requête CONNECT), je ne vais pas me prendre le choux, hein ? Mais je n'ai pas la certitude qu'elle soit safe !
Je vous remercie d'avance pour l'aide que vous pourrez m'apporter :-)
clpeter
# Merci
Posté par clpeter . En réponse au message Mixer les ACLs de Squid. Évalué à 0. Dernière modification le 17 juin 2012 à 11:22.
Merci pour vos réponses !
Effectivement, je n'ai pas indiqué le squid.conf par exemple…
Mais je ne l'ai pas sous la main, par contre, dès lundi matin je vais faire les essais et le cas échéant, vous envoyer mon squid.conf avec plus de détails sur la situation.
Bon dimanche :)