Discussion :

[Invité]

Bonjour

j'ai mis en place IPCOP sur une de mes machines. J'aimerai forcer le proxy afin que même si les utilisateurs soient obligés de passé par le proxy :
voici la règle que jai créé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 800

voici l'erreur que j'obtient lors de la naviguation :

L'URL demandée n'a pu être chargée

--------------------------------------------------------------------------------

En essayant de traiter la requête :

GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, application/x-silverlight, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: fr-fr
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30)
Host: www.google.fr
Connection: Keep-Alive
Cookie: PREF=ID=f01e409e5ac726fb:FF=1:TM=1202206539:LM=1202983520:S=uizFznM1emzwpH_U


L'erreur suivante a été rencontrée :

Requête invalide
Quelque chose est invalide dans la requéte HTTP. Problèmes envisageables :

Méthode de requête absente ou inconnue (GET, POST)
Absence d'URL
Absence d'identifiant HTTP (HTTP/1.0)
La requête est peut-être trop volumineuse
Champ Content-Length absent pour les requêtes POST ou PUT
Caractère illégal dans le nom de la machine, les soulignés (underscores) ne sont pas autorisés.

-------------------------------------------------------------------------------

Generated Sun, 17 Feb 2008 17:19:54 GMT by ipcop.mairie.local (squid)

merci de votre aide

[gorgonite]

pourquoi ne pas simplement activer le proxy transparent ?


sinon tu peux utiliser BlockOutTraffic pour limiter les ports... ainsi les clients seront forcés d'utiliser le proxy

[Invité]

je ne peut pas utiliser le proxy transparent car j'ai mis en place une authentification via LDAP. Je souhaite procédé par cette façon avec IPTABLES.

Merci de ton aide

[gorgonite]

ben tu as tout faux alors... parce que le proxy transparent effectue cette redirection


il te faut donc bloquer les ports 80, et obliger les utilisateurs à déclarer le proxy explicitement

[Invité]

oui je sais que le proxy transparent effectue cette règle mais :

Proxy transparent INCOMPATIBLE avec une authentification LDAP donc je ne peut pas procédé comme cela.
C'est pour cela que je souhaite utilisé IPTABLES.

[gorgonite]

oui je sais que le proxy transparent effectue cette règle mais :

Proxy transparent INCOMPATIBLE avec une authentification LDAP donc je ne peut pas procédé comme cela.
C'est pour cela que je souhaite utilisé IPTABLES.

on est pas sorti de l'auberge... le proxy transparent utilise la redirection iptables ^^
http://gorgonite.developpez.com/tuto...isations#LII-1


si tu veux l'authentification systématique des connexions http/https, il faut obliger les client à utiliser squid en direct, et donc sous ipcop, interdire les NAT des ports 80 et 443 ^^

je te conseille l'addon BlockOutTraffic qui a une politique par défaut très parano, et te permettra d'écrire des règles iptables assez fines