Problème configuration Squid + Dansguardian

[HNT]

Bonjour,

En suivant le tutoriel de gogronite, j'ai essayé de mettre en place une passerelle firewallante et filtrante.

Squid fonctionne le iptables redirige toute requête du port 80 vers le port 3128. Le problème est que je ne sais pas comment faire pour que Squid transfère les requêtes à dansguardian, faut-il modifier le fichier /etc/squid.conf ? Faut-il que je redirige non pas du port 80 vers le 3128 mais bien du 80 vers le 8080 (de dansguardian) ?

Je dois dire que j'ai déjà vu un peu de tout et tester un peu de tout sans succès, alors si quelqu'un pouvait me dire simplement comment faire fonctionner squid et dansguardian ensemble ce serait sympa.

PS : La passerelle est sous Debian sarge.

[gorgonite]

mais non... DansGuardian transfère ses requêtes à Squid


le fichier iptables était un petit exemple des règles les plus utiles... faut adapter

[HNT]

Ok alors ce que je fait dans mon script iptables c'est que je redirige le port 80 sur le port de dansguardian, le 8080. Ca ne marche pas, j'ai pas de connection en faisant ça.
Si je redirige le 80 sur le 3128, ça marche mais je ne passe pas par dansguardian.
J'ai un peu regarder la config de dansguardian, le proxy est bien sur 127.0.0.1 sur le port 3128, la configuration par défaut est correcte mais ça ne marche pas.

Quelle étape j'ai raté ?

[gorgonite]

ben là je vois pas trop... vérifies que DansGuardian marche en direct déjà

[HNT]

Ben dansguardian fonctionne, pas d'erreur au lancement et je le vois dans un ps -ef, je te poste demain mon script iptables.

[gorgonite]

Citation:

Envoyé par HNT

Ben dansguardian fonctionne, pas d'erreur au lancement et je le vois dans un ps -ef, je te poste demain mon script iptables.

mais as-tu essayé de te connecter dessus directement ?

[HNT]

Non mais je vois pas pourquoi ça changerai quelque chose, ça marchera avec la redirection pour squid mais pas dansguardian ? ça m'étonnerai.

[gorgonite]

Citation:

Envoyé par HNT

Non mais je vois pas pourquoi ça changerai quelque chose, ça marchera avec la redirection pour squid mais pas dansguardian ? ça m'étonnerai.

as-tu ouvert le port 8080 avec iptables ???

[HNT]

J'ouvre tout à condition que la source soit le reseau local et la destination la passerelle. Il ne devrait donc pas y avoir de problème de ce coté là.

[HNT]

Bon voila, maintenant je sais passer par dansguardian (de manière transparente) mais il ne filtre rien du tout.
Je met ici le script iptable, au niveau dansguardian j'ai juste changer la langue et ajouter cette ligne pour qu'il aille chercher le fichier de config pour le contrôle parental :

Citation:

/etc/dansguardian/dansguardianf1.conf

Et voici le script iptables de la passerelle :

Citation:

#!/bin/bash

# Début configuration
ICMP_PER_SEC=5 # Nombre max d'icmp par seconde
ICMP_IN_LAN=20 # Nombre d'icmp par seconde en sortie
SCAN_PER_SEC=5 # Nombre max de scan de port par seconde
MON_IP=192.168.20.1 # Ip de la passerelle (sur laquelle elle distribue - eth1)
WAN_INTERFACE="eth0" # Interace(s) pour le wan (wired area network) : zone externe
LAN_INTERFACE="eth1" # Interface(s) pour le lan (Local area network) : zone interne
LOCAL_NETWORK=192.168.20.0/24 # Adresses du reseau local
LOG_PREFIX='[iptables DROP]' # Tag à ajouté lors du log de paquet droppé
# Fin configuration

init()
{
if [ `whoami` != "root" ]
then
echo "Vous devez être root pour éxecuter ce script"
exit 1
fi
# D'abord charger les modules nécessaires : dans la config de Debian, le kernel 2.6.8 contient ces paquets en modules.
modprobe ip_tables # Coeur d'iptable
modprobe ip_nat_ftp # NAT avec FTP
modprobe ip_nat_irc # NAT avec IRC
modprobe iptable_filter # Permet d'employé les cibles ACCEPT,REJECT,DROP
modprobe iptable_mangle # Permet de faire du MANGLING avec la table NAT
modprobe iptable_nat # Permet de manipuler la cible NAT

iptables -F # Supprime les chaînes de la table filter (INPUT, FORWARD et OUTPUT)
iptables -X # Supprime les chaînes personnelles de la table filter
iptables -t nat -F # Supprime les chaînes de la table nat (PREROUTING, OUTPUT et POSTROUTING)
iptables -t nat -X # Supprime les chaînes personnelles de la table nat
iptables -t mangle -F # Supprime les chaînes de la table mangle
iptables -t mangle -X # Supprime les chaînes personnelles de la table mangle
}

start()
{
init
iptables -P INPUT DROP # Accepte rien en input (paquet à traiter que l'on reçoit)
iptables -P OUTPUT DROP # Accepte rien en output (paquet à traiter qu'on doit envoyer)
iptables -P FORWARD DROP # Ne forwarde rien

echo 1 > /proc/sys/net/ipv4/ip_forward # Active le forwarding des ip
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Refuse l'icmp broadcasting
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects # Refuse les redirections (protection contre les attaques mim)
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Ignoré les paquets icmp invalide
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # Refuse le routage par la source
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # Log des martiens activé
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter # Activation du filtre rp (protection contre ip spoofing)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Protection contre les syn flood

# Autoriser la communicatio sur lo
iptables -A INPUT -i lo --source 127.0.0.1 --destination 127.0.0.1 -j ACCEPT

iptables -A INPUT -s $LOCAL_NETWORK -j ACCEPT
iptables -A FORWARD -s $LOCAL_NETWORK -j ACCEPT
iptables -A FORWARD -d $LOCAL_NETWORK -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -s $LOCAL_NETWORK -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s $LOCAL_NETWORK -p tcp -m tcp --dport 80 -j DNAT --to-destination $MON_IP:8080

iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE

iptables -A INPUT --source $LOCAL_NETWORK -p icmp --icmp-type echo-request -m limit --limit $ICMP_PER_SEC/s -j ACCEPT

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit $SCAN_PER_SEC/s -j ACCEPT

iptables -A INPUT -j LOG --log-prefix "$LOG_PREFIX"
iptables -A OUTPUT -j LOG --log-prefix "$LOG_PREFIX"
iptables -A FORWARD -j LOG --log-prefix "$LOG_PREFIX"
}

stop()
{
init
# Politique par défaut : tout accepter ! Dangereux !
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE
}

case $1 in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
advise)
echo "Vous pouvez auto-activez le firewall en utilisant les directives pre-up $0 start dans le fichier /etc/network/interfaces"
echo "Utilisez la directive post-down $0 stop pour désactiver le firewall lors du démontage de la/les interface(s)"
;;
*)
echo "Usage : $0 {start | stop | restart | advise }"
echo "Utiliser advise pour avoir un conseil sur l'emploi de ce script"
exit 1
;;
esac
exit 0

J'ai juste ajouter ces lignes à la config de squid pour permettre à squid de gérer directement les requêtes http :

Citation:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_single_host off