View previous topic :: View next topic |
Author |
Message |
jaypeche Apprentice
Joined: 13 Jun 2007 Posts: 171 Location: France
|
Posted: Thu Oct 08, 2009 5:12 am Post subject: [PROXY transparent] Iptables Redirection transparente |
|
|
Bonjour à tous,
J'ai quelques souçis pour rendre mon proxy HTTP(S) SQUID transparent vu du LAN. J'ai bien essayer de créer quelques regles iptables trouvées ça et la sur forums et wikis mais rien n'y fait.
Mon proxy a deux interfaces : ETH0 pour le Net && ETH1 pour le LAN
Il héberge également un serveur apache disponible sur les ports 80 && 443.
LAN en 192.168.133.x et NET en 192.168.77.x
Je ne tiens pas à utiliser le FULLNAT pour mon LAN mais au contraire SQUID, en gros rien ne passe entre LAN et NET, passage obligé par le proxy!
Et SQUID tourne sur l'interface LAN 192.168.133.xx:3128 et en configurant mes navigateurs pour utiliser celui-çi ca fonctionne impec d'ou mon souhait de creer qq regles iptables pour le rendre transparent vu du reseau. En gros que les clients 192.168.133.xx tente d'acceder a internet via le proxy sans avoir a configurer leurs navigateurs. Ou encore rediriger les requetes en HTTP (80) et HTTPS(443) sur mon proxy 192.168.133.27:3128
Une bonne âme pour m'apporter quelques précisions sur les regles iptables a utiliser ?
D'avance merçi _________________ Gentoo Linux Rullez ! |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Thu Oct 08, 2009 7:01 am Post subject: |
|
|
Code: | iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 443 -j REDIRECT --to-port 3128 |
Attention, windows, pour son windows update n'aime pas le proxy transparent (l'accès à windows update est très très lent). Je précise au cas ou tu ais un réseau hétérogène _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
jaypeche Apprentice
Joined: 13 Jun 2007 Posts: 171 Location: France
|
Posted: Thu Oct 08, 2009 2:13 pm Post subject: |
|
|
Merçi pour ton aide Guilc !
Ces règles iptables semble bien réaliser la redirection escomptée mais encore une fois rien n'y fait... je pense peut-être a un souçi avec ma config de squid...
Code: | ## Hostname Config
visible_hostname proxy.arg.org
## Hostname HTTP port Config
http_port 192.168.133.27:3128 transparent
## FAI PROXY proxy.free.fr:3128
# cache_peer proxy.free.fr parent 3128 3130 default |
De plus, il y a apparement un souçi avec les DNS en mode transparent, la resolution de nom n'aboutit pas, mais si j'attaque directement avec l'IP du site cible, cela fonctionne :
Code: | 1255011781.110 1254 192.168.133.28 TCP_MISS/200 377735 GET http://207.44.152.197/vdr-sc-0.9.3.tar.gz - FIRST_PARENT_MISS/proxy.free.fr application/x-gzip
1255011829.533 1159 192.168.133.28 TCP_MISS/200 365717 GET http://207.44.152.197/vdr-sc-0.9.2.tar.gz - FIRST_PARENT_MISS/proxy.free.fr application/x-gzip |
Idem sans utiliser de proxy parent (pour exclure le doute) :
Code: | 1255012306.200 79 192.168.133.28 TCP_MISS/400 299 GET http://130.117.119.121/ - DIRECT/130.117.119.121 text/html |
++
Code: | # iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 443 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 21 -j REDIRECT --to-port 3128
# emerge -v dnsmasq
|
Finalement, pour resoudre le probleme de resolution dns en mode transparent, j'ai choisi d'utiliser dnsmasq pour relayer les requetes dns a travers le pare-feu. Par contre les requetes en HTTPS et FTP en mode transparent n'aboutissent pas, alors qu'en configurant les navigateurs clients pour utiliser le proxy, HTTP HTTPS FTP fonctionnent.
En HTTPS mode transparent j'ai cette erreur :
Code: | SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.
(Code d'erreur : ssl_error_rx_record_too_long)
|
Je pense peut-être à une règle iptables ip_conntrack_nat pour bien acheminer les requètes, mais sans aucune conviction, cela dépasse mes compétences... _________________ Gentoo Linux Rullez !
Last edited by jaypeche on Fri Oct 09, 2009 5:49 pm; edited 2 times in total |
|
Back to top |
|
|
jaypeche Apprentice
Joined: 13 Jun 2007 Posts: 171 Location: France
|
Posted: Fri Oct 09, 2009 11:20 am Post subject: |
|
|
Si quelqu'un à une idée pour me permettre de faire avancer le "Schmilblick" !
_________________ Gentoo Linux Rullez ! |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8707 Location: ~Brussels - Belgique
|
Posted: Fri Oct 09, 2009 12:05 pm Post subject: |
|
|
T'inquiète, ça va arriver
(on n'est pas un support technique avec réponses dans l'heure, il faut patienter, et attendre que les gens compétents dans ton domaine passent ) _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
jaypeche Apprentice
Joined: 13 Jun 2007 Posts: 171 Location: France
|
Posted: Fri Oct 09, 2009 4:58 pm Post subject: |
|
|
XavierMiller wrote: | T'inquiète, ça va arriver
(on n'est pas un support technique avec réponses dans l'heure, il faut patienter, et attendre que les gens compétents dans ton domaine passent ) |
Salut Xavier,
Loin de moi l'idée de considerer le forums Gentoo comme un SAV ! Je tente simplement de mieux comprendre le fonctionnement de Linux ...
D'ailleurs mes retours d'experiences serviront à d'autres, et viendront enrichir la base de donnée du forum, c'est en tout cas ce que j'éspère !
Cordialement. _________________ Gentoo Linux Rullez !
Last edited by jaypeche on Fri Oct 09, 2009 6:03 pm; edited 1 time in total |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8707 Location: ~Brussels - Belgique
|
Posted: Fri Oct 09, 2009 5:49 pm Post subject: |
|
|
Pas de souci (et hop, un "up" caché ) _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Tue Aug 17, 2010 12:35 pm Post subject: |
|
|
Même soucis à l'instant même. Suis tombé ici sur google. Je re-up le sujet au cas où et promis je donne une reponse si je trouve _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Tue Aug 17, 2010 2:32 pm Post subject: |
|
|
Histoire que la prochaine personne perde pas de temps inutilement.
Il n'est pas possible de faire de l'https via proxy transparent.
Ici une reponse claire sur l'impossibilité de le faire : http://www.mail-archive.com/linux-nantes@listes.univ-nantes.fr/msg07321.html _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
|