Redirection d'un réseau entier vers une adresse

[fgrassi]

Bonjour,

J'ai un réseau en 192.168.5.0/24 (1) connecté sur eth1 sur une machine linux debian (lenny)

La sortie internet est sur eth0 de cette meme machine.

Sur la sortie eth2 j'ai un réseau serveur en 192.168.15.0/0 (2) dans lequel j'ai installé un serveur AD et un serveur SQUID.

J'ai configuré une gpo pour que tous mes postes du réseau (1) accède à internet via le proxy qui se trouve dans le réseau (2).

tout fonctionne à merveille sauf qu'un poste qui n'est pas dans le domaine et dans le réseau (1) n'accède pas à internet car il ne récupère pas la config du proxy et l'accès direct entre le réseau (1) et internet est interdit.

Ma question

Je souhaiterais faire en sorte que quand un pc du réseau (1) sans la config du proxy tente d'accèder à internet soit automatiquement redirigé vers une page vers http://192.168.15.2

ps quand je tape l'adresse ci dessus directement ça marche mais j'arrive pas a trouver la regle magique avec iptables pour le faire automatiquement.

Merci

Si je n'ai pas été clair je me ferai un plaisir de préciser.

[SYL666]

J'ai un peu de mal à suivre, mais j'ai l'impression que tu chercherait peut être à faire un proxy transparent ;
http://tldp.org/HOWTO/TransparentProxy.html

Sinon, pour ta stricte question, je crois que c'est DNAT que tu cherches. Cela te permet de modifier à la volé l'IP de destination d'un paquet.

Alors, je ne suis pas un grand pro d'iptables, mais quelque chose comme ca devrait marcher :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A POSTROUTING [règles qui matche le paquet] -j DNAT --to-destination 192.168.15.2:80

[fgrassi]

Non justement je ne veux pas faire un proxy transparent car dans ce cas l'authentification ne peut pas etre assuré et le https a du mal.

Ce que je veux faire c'est qu'une machine authentifié sur le domaine récupère les paramètre de proxy et un machine non authentifier arrive sur une page à la façon d'un portail captif.

Pour une discussion plus en temps réel voici mon adresse msn : networkadm@live.fr

Merci

[SYL666]

Effectivement, proxy transparent n'est pas compatible avec le SSL. Pour ce protégér du Man-in-the-middle.

Citation:

Envoyé par fgrassi

Ce que je veux faire c'est qu'une machine authentifié sur le domaine récupère les paramètre de proxy et un machine non authentifier arrive sur une page à la façon d'un portail captif.

Tu veux faire un truc genre réseau de McDo / aéroport, c'est ça?
-> un type branche son wifi, capte le réseau
-> lorsqu'il accède à internet, il est redirigé vers une page qui l'authentifiera (vvia une carte de crédit par exemple)
-> Ensuite il pourra accéder à Internet.

Je suppose qu'il y a des solutions toutes faites, sous Linux, pour ça. Mais je ne sais pas trop quels sont les termes à utiliser pour une recherche Internet

Pourquoi pas un mix entre proxy transparent et redirection :
-> Si une machine essaie de se connecter à Internet, tu la rediriges avec les options DNAT précédemment indiquées
-> L'utilisateur arrive sur une page qui contient les paramètres du proxy (script genre proxy autoconf)
-> .... Ensuite l'utilisateur n'utilisera plus Internet directement. Il passera toujours par ton proxy, et "théoriquement", la target DNAT ne sera plus matchée.

[fgrassi]

Citation:

Envoyé par SYL666

Pourquoi pas un mix entre proxy transparent et redirection :
-> Si une machine essaie de se connecter à Internet, tu la rediriges avec les options DNAT précédemment indiquées
-> L'utilisateur arrive sur une page qui contient les paramètres du proxy (script genre proxy autoconf)
-> .... Ensuite l'utilisateur n'utilisera plus Internet directement. Il passera toujours par ton proxy, et "théoriquement", la target DNAT ne sera plus matchée.

C'est exactement ce que je veux faire mais je ne sais pas comment m'y prendre.

[SYL666]

C'est au dessus de mes compétences actuelles. Mais je pense que truc iptables donné plus au marcherait peut être.

Sinon, plus proprement, j'ai trouve WPAD :
http://en.wikipedia.org/wiki/Wpad
Que tu peux insérer dans ton DHCP :
http://wiki.squid-cache.org/SquidFaq...WPAD_with_DHCP

[EDIT]
Pour le proxy autoconf plus haut :
http://users.telenet.be/mydotcom/lib...etwork/pac.htm

[fgrassi]

J'ai trituré la commande iptables donnée plus haut mais en fait cela permet de rediriger les trames qui s'adresse au firewall mais pas les trames qui viennent d'un réseau vers internet.

J'ai beau chercher mais je galère ...

[SYL666]

Il n'y en a pas besoin :
Avec les rèlges iptables, je te proposais de :
-> interdire l'accès direct à Internet.
-> forcer les gens à se retrouver sur un page les incitant à configurer leur proxy (manuellement et / ou autoconf)

=> Une fois le proxy configuré, ils passeront par celui-ci, et non par Internet. Donc le DNAT n'interviendra plus pour cet utilisateur (les trames seront envoyées à squid et non plus à Internet)

Je n'ai jamais essayé, mais à priori, ça devrait marcher.

Sinon il reste le WPAD, qui me parait intéressant

[fgrassi]

Citation:

Envoyé par SYL666

Il n'y en a pas besoin :
Avec les rèlges iptables, je te proposais de :
-> interdire l'accès direct à Internet.
-> forcer les gens à se retrouver sur un page les incitant à configurer leur proxy manuellement

-> interdire l'accès direct à Internet. ça c'est fait pas de probleme

-> forcer les gens à se retrouver sur un page les incitant à configurer leur proxy manuellement
->C'est exactement ce que je voudrais faire mais c'est facile à dire

[SYL666]

Bon, une règles dans ce genre devrait rediriger les utilisateurs qui tentent d'accéder à Internet directement sur un apache local :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A POSTROUTING -t tcp -i ethX -d ! 192.168.15.0/24 -j DNAT --to-destination 192.168.15.2:80

(ça fait longtemps que je n'ai pas touché iptables, donc il faudra probablement corrigé ceci)

Et bien entendu il faut autoriser le kernel à faire du gateway (echo 1 > /proc/sys/machine/truc)

Apache sera bien entendu assez pommé puisque l'URL n'a pas été modifiée (il recevra une entête http genre http://www.youporn.com/hugetits, dont il n'a pas connaissance).
Donc il redirigera tout ça vers la page d'erreur (si besoin est, il faut le configurer pour ça)

Cette page d'erreur explique "cliquez ici, entrer un proxy manuellement, ou mettez en place l'autoconf).

Bien entendu : c'est assez le bordel, car il faut que le client utilise http et donc des logiciels tels que peer2peer fonctionnera pas de facto mais pourrait être configurer via des règles iptables plus spécifiques.

Voila ... c'est de la bidouille, et il faut faire les choses petit à petit :
1- Est ce que ton http local récupère l'URL ?
2- Est ce qu'il agis correctement (IE : retourne la page d'erreur)
3- Est ce que la réponse http est bien redirigé vers le client.
4- le client affiche il correctement l'erreur.

Il il a des truc intéressant d'iptables qui pourrait simplifier un peu la règles. Notamment, si le routeur est le serveur apache, alors tu peux utiliser REDIRECT qui redirige sur la machine local.

[SYL666]

Sinon, je continue à penser que WPAD (dhcp based, et/ou DNS based) est plus "propre" et au moins il y a de la doc :
http://www.mercenary.net/blog/index....OWTO-WPAD.html
http://homepage.ntlworld.com./jonath...iguration.html

[fgrassi]

Merci mais la règle iptables ne fonctionne pas.

Je vais comme tu me le conseille me penchez sur WPAD.