Discussion :

[vg-matrix]

Bonjour,

J'ai monté un serveur CentOS 6.4 sur lequel j'ai installé Squid comme proxy et je souhaite faire du routage avec en redirigeant les requêtes qui arrivent sur le port 80 vers le port 3128 pour forcer tous les clients à passer par le proxy.
J'ai donc 2 interfaces réseaux:
eth1: 192.168.1.1 (gateway LAN)
eth0: 192.168.2.253 (Gateway WAN: 192.168.2.254)
La communication entre les 2 réseaux fonctionne bien, pour test, lorsque je configure le client manuellement pour passer par le proxy, la connexion vers internet marche bien.
Mais lorsque je ne configure pas manuellement le client et que je lui indique l'adresse de eth1 comme passerelle par défaut, impossible de se connecter à internet comme si les requêtes arrivant sur le port 80 n'étaient pas redirigées vers le port 3128.
Je note que les ports 80 et 3128 sont bien ouverts sur eth1.

N'étant pas un habitué des proxy, voici ce que j'ai mis dans iptables

# Generated by iptables-save v1.4.7 on Tue Feb 4 04:45:37 2014
*nat
: PREROUTING ACCEPT [52:3560]
: POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Feb 4 04:45:37 2014
# Generated by iptables-save v1.4.7 on Tue Feb 4 04:45:37 2014
*filter
:INPUT ACCEPT [553:33834]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8146:3012541]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
COMMIT
# Completed on Tue Feb 4 04:45:37 2014

Je ne comprends pas vraiment pourquoi ça bloque

[becket]

Pourquoi tu veux faire un dnat dans un sens et un redirect dans l'autre ??

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Devrait être bien assez

[Invité]

Pourquoi tu veux faire un dnat dans un sens et un redirect dans l'autre ??

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Devrait être bien assez

Oui... Et je suggère de commencer par un reset des iptables pour essayer les règles suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
 
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A  INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

parce que quand on chipote dans tous les sens avec les iptables, on sait plus où on en est

Steph

[vg-matrix]

Merci votre aide, j'ai tout repris et maintenant voilà ce que ça donne:
1- Configuration du NAT sur la machine en question.
2- Installation et configuration de Squid.
3- Installation et configuration de dhcp.

Jusque là tout fonctionne bien. Tous les clients se connectent à internet en passant par le proxy (les requêtes reçues sur le port 80 de la machine sont renvoyées vers le port 3128). La preuve, quand j'arrête le service Squid, plus personne ne peut se connecter. J'ai donc configuré Squid pour qu'il bloque l'accès à certains sites web.
Mais quand je configure les navigateurs des clients pour se connecter au proxy via le port 3128, l'accès au sites définis précédemment est refusé même en https, ce qui est normal mais lorsque je ne configure pas les clients, Squid ne bloque aucune requête alors que toutes les requêtes transitent bien par lui et sachant qu'il est configuré en proxy transparent (même réaction avec l'option "intercept")

[walidx123]

Merci votre aide, j'ai tout repris et maintenant voilà ce que ça donne:
1- Configuration du NAT sur la machine en question.
2- Installation et configuration de Squid.
3- Installation et configuration de dhcp.

Jusque là tout fonctionne bien. Tous les clients se connectent à internet en passant par le proxy (les requêtes reçues sur le port 80 de la machine sont renvoyées vers le port 3128). La preuve, quand j'arrête le service Squid, plus personne ne peut se connecter. J'ai donc configuré Squid pour qu'il bloque l'accès à certains sites web.
Mais quand je configure les navigateurs des clients pour se connecter au proxy via le port 3128, l'accès au sites définis précédemment est refusé même en https, ce qui est normal mais lorsque je ne configure pas les clients, Squid ne bloque aucune requête alors que toutes les requêtes transitent bien par lui et sachant qu'il est configuré en proxy transparent (même réaction avec l'option "intercept")

j'ai le même problème est ce que tu peut me dire comment t'a fait pour résoudre se problème