Discussion :

[gorgonite]

et lorsque tu désactives iptables, le nmap marche-t-il ?

[djibril]

$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

=> nmap
nmap 192.168.100.254

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-07-13 15:24 CEST
Interesting ports on 192.168.100.254:
Not shown: 1675 closed ports
PORT STATE SERVICE
9/tcp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time

vidage des tables

iptables -F
iptables -t nat -F
iptables -X

=>

nmap 192.168.100.254

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-07-13 15:26 CEST
All 1680 scanned ports on 192.168.100.254 are filtered

[gorgonite]

je comprends plus... y a pas des switchs manageables ? (des gros trucs cisco & cie)

[djibril]

je comprends plus... y a pas des switchs manageables ? (des gros trucs cisco & cie)

Ma boite se trouve dans une université, donc mon réseau (internet) depend de la FAC. Mais bref, là n'est pas le souci.
biensur que j'ai un switch, mais je vois pas ce que tu veux que je regarde dessus.
mes serveurs sont connectés à ce switch (ainsi que le serveur DNS). le serveur firewall est connecté au mur. M'en demande pas plus, je n'étais pas là au debut de toute l'installation.

[gorgonite]

franchement, je ne comprends pas ce qui peut poser problème... quelle distribution, quelle version, etc ?

on ne sait jamais redhat a SELinux... à voir

[djibril]

bah moi aussi je ne comprends plus. en tout cas, c cool de m'aider, c sympa même si on trouve toujours pas la solution, le geste est là (vive dvp.com)
bon pour les infos que tu souhaites :

uname -a
Linux **** 2.4.18-686 #1 Sun Apr 14 11:32:47 EST 2002 i686 unknown

cat /etc/debian_version
3.0

[Maillon]

Mais tu as dis qu'il que tu étais dans une FAC mais j'imagine que tu as configurer le firewall de ton pc : mais est-ce que pour accèder à internet ton pc passe par un autre pc qui est dans la FAC ?

Si ton port n'est pas ouvert avec nmap c'est que ton squid est mal configuré je pense...

Tu peux reposter tout on squid.conf et enlever tout les commentaires, mettre que les lignes valides (aide toi de la commande :g/^#/d )

[djibril]

je suis dans une FAC, mais pour la gestion des IP, integration des nouveaux ordi ou autre est faite par moi. Au sein du reseau de mon labo.
Dans on a un reseau interne et on gere tout nous même.
donc les adresses IP de mes PC ne sont pas donnés par la FAC.

Quant aux fichiers squid.conf, le voici :

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_port localhost:3128
icp_port 3128
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
acl LocalNet src 192.168.100.0/255.255.255.255
http_access allow LocalNet
icp_access allow all

[gorgonite]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port localhost:3128

mets plutot

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port 3128

[Maillon]

Met aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
acl LocalNet src 192.168.100.0/255.255.255.255
http_access allow LocalNet
icp_access allow all

avant http_access deny all

[djibril]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port localhost:3128

mets plutot

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http_port 3128

comme par hasard, le nmap est maintenant ok avec
http_port 3128 au lieu de http_port localhost:3128

pourtant j'avais déjà fait le test.

J'ai maintenant bien une page avec le message suivant :

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.yahoo.fr

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster.

c'est un bon début

[Maillon]

Donc c'était bien un problème de config.

Bah maintenant tu n'as plus qu'a définir les accès ^^

[gorgonite]

ouf... je ne comprenais plus

Bah maintenant tu n'as plus qu'a définir les accès ^^

ils parle des lignes comme cela...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
acl LocalNet src 192.168.100.0/255.255.255.255
http_access allow LocalNet

[Maillon]

Normelement si tu as mis toutes tes lignes "http_access bla bla allow" (définit avant dans une acl) au dessus de la ligne de fin (qui est http_acces deny all) ça devrait marcher.

[djibril]

acl LocalNet src 192.168.100.0/255.255.255.255
http_access allow LocalNet

devrait suffir non?

mon PC windaube a cette adresse 192.168.100.55, donc je devrais pouvoir avoir acces au net!!

[gorgonite]

effectivement, ça devrait suffir...

[djibril]

voici mon fichier :

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_port 3128
icp_port 3128

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

acl LocalNet src 192.168.100.0/255.255.255.255
http_access allow LocalNet

http_access deny all

icp_access allow all

dans le fichier de conf par defaut icp_access allow all est apres http_access deny all

dans mon acces.log, j'ai bien :

1184336986.598 0 192.168.100.55 TCP_DENIED/403 1123 GET http://www.yahoo.fr/ - NONE/- -
1184337123.292 0 192.168.100.55 TCP_DENIED/403 1119 GET http://www.yahoo.fr/ - NONE/- -
1184337242.031 0 192.168.100.55 TCP_DENIED/403 1179 GET http://www.yahoo.fr/ - NONE/- -
1184337632.085 0 192.168.100.55 TCP_DENIED/403 1179 GET http://www.yahoo.fr/ - NONE/- -
1184337633.359 0 192.168.100.55 TCP_DENIED/403 1179 GET http://www.yahoo.fr/ - NONE/- -
1184337845.377 0 192.168.100.55 TCP_DENIED/403 1179 GET http://www.yahoo.fr/ - NONE/- -

[gorgonite]

essaies avec un autre site... celui de l'université par exemple

[Maillon]

Tu utilises bien toujours dans ton navigateur le proxy ? avec le bon port ?

Sinon rajoute cette ligne en dessous de ton http_access allow localnet :
http_reply_access allow all

[djibril]

Tu utilises bien toujours dans ton navigateur le proxy ? avec le bon port ?

oui oui sur IE pour teste
IP 192.168.100.254
et port 3128

Sinon rajoute cette ligne en dessous de ton http_access allow localnet :

/etc/init.d/squid restart

/etc/init.d/squid restart
Restarting proxy server:
2007/07/13 16:54:15| parseConfigFile: line 1470 unrecognized: 'http_reply_access allow all'
squid.