Discussion :

[annwenn]

Bonjour,
Je viens de rentrer en stage dans une association qui travaille dans le social.
Celle-ci vient de contracter avec sfr un contrat vpn pour l'ensemble de son parc (16 antennes).
L'asso voudrait mettre en place un filtrage d'url car de nombreux abus ont été constatés, et c'est à moi qu'incombe cette mise en œuvre
Je pense mettre en place le couple squid/squiguard au siège de l'asso (+ 70 salariés).
Les postes ne doivent pas avoir au surf sans passer par le proxy.
Le réseau du siège fonctionne sous smb3, donc pas de gestion des gpo au niveau de samba pour une configuration auto du proxy.
Ma première idée était de faire au niveau de la passerelle une redirection de http, vers le port du proxy qui fonctionnerait en mode transparent, mais je n'ai malheureusement pas la main sur les routeurs.
Je ne vois pas d'autres solutions sinon d'empêcher la configuration proxy des navigateurs, mais je ne sais pas le faire pour tous les navigateurs usuels (Firefox, chrome, ie et safari).
Un pont filtrant ferait-t ‘il l'affaire ? je n'ai jamais essayé une telle chose.
Je voudrais garder la même plage IP au niveau du siège (patte du routeur et réseau).
Merci beaucoup de votre aide

[Invité]

Les postes ne doivent pas avoir au surf sans passer par le proxy.
Ma première idée était de faire au niveau de la passerelle une redirection de http, vers le port du proxy qui fonctionnerait en mode transparent, mais je n'ai malheureusement pas la main sur les routeurs.

Bonjour,

Ok tu n'as pas la main sur les routeurs mais ça ne veut pas dire que tu ne peux pas mettre cette solution en place. Pourquoi n'en discutes-tu pas avec les gestionnaires de ces routeurs/firewall?

[annwenn]

Merci de ta réponse.
Je recois un technicien de sfr à cet effet, la semaine prochaine.
En fait je cherchais une solution ou je pouvais être entièrement autonome.

[annwenn]

Bonjour,
Désolé de déterrer le sujet,mais le projet a du être différé pour x raisons.
Je reviens donc à la charge.
Après maintes discussions le fai ne permet pas de faire une règle de redirection sur le routeur.
Je reviens donc sur mon idée de pont entre le routeur et le lan.
Est-il possible de configurer sur un pont réseau une régle nat ?
Je voudrais garder la même plage réseau (192.168.0.0/24)
Schéma du reseau :

routeur(192.168.0.1)<---------------------->pont (eth1 - br0 - eth2)--------------->lan

Adresse du proxy (192.168.0.5/24)

Merci beaucoup de votre aide.

[annwenn]

J'ai décidé finalement de créer un pont filtrant entre le lan et le routeur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast 192.168.0.255

Au lieu de faire une règle de redirection de port, je préfère bloquer le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
#! /bin/sh
iptables -F
iptables -X
 
PROXY="192.168.0.5/255.255.225.0";
 
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT

Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?

[pro132000]

J'ai décidé finalement de créer un pont filtrant entre le lan et le routeur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast 192.168.0.255

Au lieu de faire une règle de redirection de port, je préfère bloquer le port 80 pour le lan, et n'autoriser que le proxy.
je configure les règles suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
#! /bin/sh
iptables -F
iptables -X
 
PROXY="192.168.0.5/255.255.225.0";
 
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT

Le proxy ne veut pas sortir ?
Ai-je commis une erreur quelque part ?

salut je ne suis pas un expert dans le domaine, d'ailleurs je tres limite dessus mais je remarque
1) il faut activer le forwarding : je sais pas si sans cela, le forwarding passe
2) ta ligne "iptables -F FORWARD", je ne vois pas a quoi elle sert
3)generalemet on forward d'une source a une destination donc je doute sur cette ligne "iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" si tu ne definis pas la source et la destination
Fais aussi attention a l'etat des paquets que tu definis.

je pense aussi que tu dois permettre un forwarding du ton reseau local vers le proxy, du proxy vers internet et vice-versa. si je me plante quelque part corrigez moi, je suis pas un genie et n'hesitez pas a expliquer certaines lignes au cas ou je ne comprend pas ce qu'il en est.