Montage serveur Proxy transparent

8arch8 · 04/03/2010, 16h23

Bonjour à tous,

Voila je suis debutant sous linux.

Le but : Monter un serveur proxy transparent afin de garder une trace des navigations internet dans un hotel sous Ubuntu 9.4.

Alors je suis entrain de tester en atelier : J'ai mon serveur avec deux carte ethernet, eth0 viens la connexion sur boxadsl en 192.168.1.x, eth1 une borne wifi en 192.168.2.x.
Les clients de l'hotel vont se connecter à la borne en dhcp auto pour eux aucun probleme.
Mon proxy squid est ok si je fais une connection de pont entre mes deux cartes mais il n'est pas transparent car je dois rentrer l'adresse du proxy dans le navigateur.
Donc je souheterai faire de la redirection de ma carte eth1 vers eth0 en passant par le proxy sans que mes client ai besoin de venir ajouter un proxy dans leurs navigateur
De plus dans les logs du proxy je n'arrive pas a faire ressortir les adresses MAC.
Pourriez vous m'aider ?

Merci d'avance pour vos réponses
8arch8

dsy · 06/03/2010, 07h53

Pourquoi ne pas utiliser une distro spécialisée ?
Untangle et IPCop propose un proxy transparent et bien plus encore.

8arch8 · 08/03/2010, 09h29

Salut,

Merci pour ta réponse, cela m'enbete de repartir sur de nouveaux module mais comme tu semble le seul a me proposé une réponse je vais devoir m'y resoudre

.

Merci en tous cas d'avoir passé un peu de temps sur mon cas.

becket · 08/03/2010, 11h12

C'est l'histoire de quelques lignes dans iptables

http://tldp.org/HOWTO/TransparentProxy-6.html

8arch8 · 08/03/2010, 12h08

Bonjour Becket,

Cela a l'air simple effectivement au première abort, 3 lignes suffise mais....
Je comprend rien à ces 3 lignes :

iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

Enfin je comprend un peu mais à quoi correspont iptables-box ?
Et est ce que cela foncionne avec deux carte réseau je ne vois pas la redirections vers mon autre carte j'ai trouvé ceci en cherchant :
http://formation-debian.via.ecp.fr/firewall.html

le deuxième schema correspond a ce que je souhaite faire.
J'ai tous fais ce qui est sur le site mais ca n'as pas l'air de fonctionner.
une fois mis en place je ping mon eth1 et mon eth0 mais je ne sors plus, je ne ping plus ma passerelle. et des uqe je debranche mon eth1 je peu ping ma passerelle....

Enfn je galere grave !!!!

Merci de votre aide

8arch8 · 10/03/2010, 09h56

Bonjour à tous,

Je me permet de donner de mes nouvelles :
Je suis passé sous Debian
J'ai suivi ce Tuto : http://formation-debian.via.ecp.fr/firewall.htmlVoici
donc mon Iptables :
#########################
# Politiques par défaut #
#########################
# Les politiques par défaut déterminent le devenir d'un paquet auquel
# aucune règle spécifique ne s'applique.

# Les connexions entrantes sont bloquées par défaut
-P INPUT DROP
# Les connexions destinées à être routées sont acceptées par défaut
-P FORWARD ACCEPT
# Les connexions sortantes sont acceptées par défaut
-P OUTPUT ACCEPT

######################
# Règles de filtrage #
######################
# Nous précisons ici des règles spécifiques pour les paquets vérifiant
# certaines conditions.

# Pas de filtrage sur l'interface de "loopback"
-A INPUT -i lo -j ACCEPT

# Accepter le protocole ICMP (notamment le ping)
-A INPUT -p icmp -j ACCEPT

# Accepter le protocole IGMP (pour le multicast)
-A INPUT -p igmp -j ACCEPT

# Accepter les packets entrants relatifs à des connexions déjà
# établies : cela va plus vite que de devoir réexaminer toutes
# les règles pour chaque paquet.
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
#-A INPUT -p tcp --dport ssh -j ACCEPT

# Décommentez les lignes suivantes pour que le serveur de courrier
# éventuel soit joignable de l'extérieur.
#-A INPUT -p tcp --dports smtp -j ACCEPT
# Si vous avez activé les services SMTPS et soumission de messages…
#-A INPUT -p tcp --dports smtps -j ACCEPT
#-A INPUT -p tcp --dports submission -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de noms
# éventuel soit joignable de l'extérieur.
#-A INPUT -p tcp --dport domain -j ACCEPT
#-A INPUT -p udp --dport domain -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur.
#-A INPUT -p tcp --dport http -j ACCEPT
# Si vous avez activé le HTTPS…
#-A INPUT -p tcp --dport https -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur d'impression
# éventuel soit joignable de l'extérieur.
#-A INPUT -p tcp --dport ipp -j ACCEPT
#-A INPUT -p udp --dport ipp -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba
# éventuel soit joignable de l'extérieur.
#-A INPUT -p tcp --dport netbios-ssn -j ACCEPT
#-A INPUT -p udp --dport netbios-ssn -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connecter
# à l'ordinateur par XDMCP.
#-A INPUT -p udp --dport xdmcp -j ACCEPT

# Décommentez la ligne suivante pour que l'ordinateur puisse se connecter
# par XDMCP à une machine distante).
#-A INPUT -p tcp --dport x11-1 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir recevoir des flux VideoLAN.
#-A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir recevoir des annonces SAP
# (ce sont des annonces de session multicast).
#-A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#-A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#-A INPUT -p tcp --dport 1720 -j ACCEPT
#-A INPUT -p udp --dport 5000:5006 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir partager de la musique par
# DAAP.
#-A INPUT -p tcp --dport daap -j ACCEPT

# Décommentez la ligne suivante pour que votre ordinateur
# annonce son nom et ses services par mDNS sur le réseau local (cela
# permet de le contacter sous « son nom d'hôte ».local).
-A INPUT -p udp -d 224.0.0.251 --dport mdns -j ACCEPT

# La règle par défaut pour la chaine INPUT devient REJECT (contrairement
# à DROP qui ignore les paquets, avec REJECT, l'expéditeur est averti
# du refus). Il n'est pas possible de mettre REJECT comme politique par
# défaut. Au passage, on note les paquets qui vont être jetés, ça peut
# toujours servir.
-A INPUT -j LOG --log-prefix "paquet IPv4 inattendu "
-A INPUT -j REJECT

COMMIT

# Les instructions qui suivent concernent la table « nat ».
*nat

########################
# Partage de connexion #
########################

# Décommentez la ligne suivante pour que le système fasse office de
# routeur NAT et remplacez « eth0 » par le nom de l'interface
# connectée à Internet.
-A POSTROUTING -o eth0 -j MASQUERADE

########################
# Redirections de port #
########################

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient redirigées à la machine dont
# l'adresse IPv4 est 192.168.0.3 sur son port 80 (la réponse à la
# requête sera transférée au client).
-A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30:80

COMMIT

####################
# Problème de MTU… #
####################

# Les instructions qui suivent concernent la table « mangle », c'est
# à dire l'altération des paquets
*mangle

# Si la connexion que vous partagez est une connexion ADSL directement gérée
# par votre ordinateur, vous serez probablement confronté au fameux problème du
# MTU. En résumé, le problème vient du fait que le MTU de la liaison entre
# votre fournisseur d'accès et le serveur NAT est un petit peu inférieur au MTU
# de la liaison Ethernet qui relie le serveur NAT aux machines qui sont
# derrière le NAT. Pour résoudre ce problème, décommentez la ligne suivante et
# remplacez « eth0 » par le nom de l'interface connectée à Internet.
#-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu

COMMIT

Donc depuis mon debian internet ok
Depuis mes machines sur reseau local (eth1) je ping mon eth0 mais ne sors pas je n'est pas internet que pensez vous que j'ai oublié ?

Dans l'éspoir d'une réponse

, merci d'avance.

04/03/2010, 16h23	#1
8arch8 Invité de passage Ludovic Inscription : mars 2010 Messages : 4 Détails du profil Informations personnelles : Nom : Ludovic Informations forums : Inscription : mars 2010 Messages : 4 Points : 0 Points : 0	Montage serveur Proxy transparent Bonjour à tous, Voila je suis debutant sous linux. Le but : Monter un serveur proxy transparent afin de garder une trace des navigations internet dans un hotel sous Ubuntu 9.4. Alors je suis entrain de tester en atelier : J'ai mon serveur avec deux carte ethernet, eth0 viens la connexion sur boxadsl en 192.168.1.x, eth1 une borne wifi en 192.168.2.x. Les clients de l'hotel vont se connecter à la borne en dhcp auto pour eux aucun probleme. Mon proxy squid est ok si je fais une connection de pont entre mes deux cartes mais il n'est pas transparent car je dois rentrer l'adresse du proxy dans le navigateur. Donc je souheterai faire de la redirection de ma carte eth1 vers eth0 en passant par le proxy sans que mes client ai besoin de venir ajouter un proxy dans leurs navigateur De plus dans les logs du proxy je n'arrive pas a faire ressortir les adresses MAC. Pourriez vous m'aider ? Merci d'avance pour vos réponses 8arch8
	00

06/03/2010, 07h53	#2
dsy Membre régulier Inscription : septembre 2002 Messages : 74 Détails du profil Informations forums : Inscription : septembre 2002 Messages : 74 Points : 99 Points : 99	Pourquoi ne pas utiliser une distro spécialisée ? Untangle et IPCop propose un proxy transparent et bien plus encore.
	00

08/03/2010, 09h29	#3
8arch8 Invité de passage Ludovic Inscription : mars 2010 Messages : 4 Détails du profil Informations personnelles : Nom : Ludovic Informations forums : Inscription : mars 2010 Messages : 4 Points : 0 Points : 0	Salut, Merci pour ta réponse, cela m'enbete de repartir sur de nouveaux module mais comme tu semble le seul a me proposé une réponse je vais devoir m'y resoudre . Merci en tous cas d'avoir passé un peu de temps sur mon cas.
	00

08/03/2010, 11h12	#4
becket Membre Expert Frédéric Brugmans Informaticien multitâche Inscription : février 2005 Messages : 664 Détails du profil Informations personnelles : Nom : Frédéric Brugmans Informations professionnelles : Activité : Informaticien multitâche Informations forums : Inscription : février 2005 Messages : 664 Points : 1 196 Points : 1 196	C'est l'histoire de quelques lignes dans iptables http://tldp.org/HOWTO/TransparentProxy-6.html
	00

08/03/2010, 12h08	#5
8arch8 Invité de passage Ludovic Inscription : mars 2010 Messages : 4 Détails du profil Informations personnelles : Nom : Ludovic Informations forums : Inscription : mars 2010 Messages : 4 Points : 0 Points : 0	Bonjour Becket, Cela a l'air simple effectivement au première abort, 3 lignes suffise mais.... Je comprend rien à ces 3 lignes : iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128 iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT Enfin je comprend un peu mais à quoi correspont iptables-box ? Et est ce que cela foncionne avec deux carte réseau je ne vois pas la redirections vers mon autre carte j'ai trouvé ceci en cherchant : http://formation-debian.via.ecp.fr/firewall.html le deuxième schema correspond a ce que je souhaite faire. J'ai tous fais ce qui est sur le site mais ca n'as pas l'air de fonctionner. une fois mis en place je ping mon eth1 et mon eth0 mais je ne sors plus, je ne ping plus ma passerelle. et des uqe je debranche mon eth1 je peu ping ma passerelle.... Enfn je galere grave !!!! Merci de votre aide
	00

10/03/2010, 09h56	#6
8arch8 Invité de passage Ludovic Inscription : mars 2010 Messages : 4 Détails du profil Informations personnelles : Nom : Ludovic Informations forums : Inscription : mars 2010 Messages : 4 Points : 0 Points : 0	Bonjour à tous, Je me permet de donner de mes nouvelles : Je suis passé sous Debian J'ai suivi ce Tuto : http://formation-debian.via.ecp.fr/firewall.htmlVoici donc mon Iptables : ######################### # Politiques par défaut # ######################### # Les politiques par défaut déterminent le devenir d'un paquet auquel # aucune règle spécifique ne s'applique. # Les connexions entrantes sont bloquées par défaut -P INPUT DROP # Les connexions destinées à être routées sont acceptées par défaut -P FORWARD ACCEPT # Les connexions sortantes sont acceptées par défaut -P OUTPUT ACCEPT ###################### # Règles de filtrage # ###################### # Nous précisons ici des règles spécifiques pour les paquets vérifiant # certaines conditions. # Pas de filtrage sur l'interface de "loopback" -A INPUT -i lo -j ACCEPT # Accepter le protocole ICMP (notamment le ping) -A INPUT -p icmp -j ACCEPT # Accepter le protocole IGMP (pour le multicast) -A INPUT -p igmp -j ACCEPT # Accepter les packets entrants relatifs à des connexions déjà # établies : cela va plus vite que de devoir réexaminer toutes # les règles pour chaque paquet. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Décommentez la ligne suivante pour que le serveur SSH éventuel # soit joignable de l'extérieur #-A INPUT -p tcp --dport ssh -j ACCEPT # Décommentez les lignes suivantes pour que le serveur de courrier # éventuel soit joignable de l'extérieur. #-A INPUT -p tcp --dports smtp -j ACCEPT # Si vous avez activé les services SMTPS et soumission de messages… #-A INPUT -p tcp --dports smtps -j ACCEPT #-A INPUT -p tcp --dports submission -j ACCEPT # Décommentez les deux lignes suivantes pour que le serveur de noms # éventuel soit joignable de l'extérieur. #-A INPUT -p tcp --dport domain -j ACCEPT #-A INPUT -p udp --dport domain -j ACCEPT # Décommentez la ligne suivante pour que le serveur Web éventuel # soit joignable de l'extérieur. #-A INPUT -p tcp --dport http -j ACCEPT # Si vous avez activé le HTTPS… #-A INPUT -p tcp --dport https -j ACCEPT # Décommentez les deux lignes suivantes pour que le serveur d'impression # éventuel soit joignable de l'extérieur. #-A INPUT -p tcp --dport ipp -j ACCEPT #-A INPUT -p udp --dport ipp -j ACCEPT # Décommentez les deux lignes suivantes pour que le serveur Samba # éventuel soit joignable de l'extérieur. #-A INPUT -p tcp --dport netbios-ssn -j ACCEPT #-A INPUT -p udp --dport netbios-ssn -j ACCEPT # Décommentez la ligne suivante pour que des clients puissent se connecter # à l'ordinateur par XDMCP. #-A INPUT -p udp --dport xdmcp -j ACCEPT # Décommentez la ligne suivante pour que l'ordinateur puisse se connecter # par XDMCP à une machine distante). #-A INPUT -p tcp --dport x11-1 -j ACCEPT # Décommentez la ligne suivante pour pouvoir recevoir des flux VideoLAN. #-A INPUT -p udp --dport 1234 -j ACCEPT # Décommentez la ligne suivante pour pouvoir recevoir des annonces SAP # (ce sont des annonces de session multicast). #-A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT # Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting #-A INPUT -p tcp --dport 30000:33000 -j ACCEPT #-A INPUT -p tcp --dport 1720 -j ACCEPT #-A INPUT -p udp --dport 5000:5006 -j ACCEPT # Décommentez la ligne suivante pour pouvoir partager de la musique par # DAAP. #-A INPUT -p tcp --dport daap -j ACCEPT # Décommentez la ligne suivante pour que votre ordinateur # annonce son nom et ses services par mDNS sur le réseau local (cela # permet de le contacter sous « son nom d'hôte ».local). -A INPUT -p udp -d 224.0.0.251 --dport mdns -j ACCEPT # La règle par défaut pour la chaine INPUT devient REJECT (contrairement # à DROP qui ignore les paquets, avec REJECT, l'expéditeur est averti # du refus). Il n'est pas possible de mettre REJECT comme politique par # défaut. Au passage, on note les paquets qui vont être jetés, ça peut # toujours servir. -A INPUT -j LOG --log-prefix "paquet IPv4 inattendu " -A INPUT -j REJECT COMMIT # Les instructions qui suivent concernent la table « nat ». nat ######################## # Partage de connexion # ######################## # Décommentez la ligne suivante pour que le système fasse office de # routeur NAT et remplacez « eth0 » par le nom de l'interface # connectée à Internet. -A POSTROUTING -o eth0 -j MASQUERADE ######################## # Redirections de port # ######################## # Décommentez la ligne suivante pour que les requêtes TCP reçues sur # le port 80 de l'interface eth0 soient redirigées à la machine dont # l'adresse IPv4 est 192.168.0.3 sur son port 80 (la réponse à la # requête sera transférée au client). -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.30:80 COMMIT #################### # Problème de MTU… # #################### # Les instructions qui suivent concernent la table « mangle », c'est # à dire l'altération des paquets mangle # Si la connexion que vous partagez est une connexion ADSL directement gérée # par votre ordinateur, vous serez probablement confronté au fameux problème du # MTU. En résumé, le problème vient du fait que le MTU de la liaison entre # votre fournisseur d'accès et le serveur NAT est un petit peu inférieur au MTU # de la liaison Ethernet qui relie le serveur NAT aux machines qui sont # derrière le NAT. Pour résoudre ce problème, décommentez la ligne suivante et # remplacez « eth0 » par le nom de l'interface connectée à Internet. #-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu COMMIT Donc depuis mon debian internet ok Depuis mes machines sur reseau local (eth1) je ping mon eth0 mais ne sors pas je n'est pas internet que pensez vous que j'ai oublié ? Dans l'éspoir d'une réponse , merci d'avance.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email