Ubuntu-fr

kerkael

iptables - squid - proxy transparent ?

Salut,

Bon, je commence à tourner en rond à force de lire plus ou moins tous les sujets sur squid et iptables en anglais et en français.

Est-ce que je pourrais profiter de vos lumières ?

J'ai pas tout compris mais je me fais mon résumé ici :

- installer un proxy squid me permet de contrôler l'accès internet des postes de mon réseau
- je peux y définir des plages horaires et des authentifications nécessaires aux utilisateurs
- les plages horaires me permettent de limiter l'accès au net selon le calendrier que j'impose
- l'authentification permet de créer plusieurs utilisateurs avec des droits distincts (en particulier horaires)
- avec squidgard, je peux en plus gérer des blacklists de site web pour empêcher les gamins d'aller n'importe où
- et avec l'authentification, définir des profils enfants/ado/adultes
- les postes de mon réseau ayant un accès direct à internet, il faut que je leur impose de passer par le proxy

C'est là que je bute.
Jusqu'à présent, le routeur wifi que j'utilisais me permettait d'interdire l'accès au net pour les adresses IP ou MAC des ordi de mon réseau. Du coup, chaque ordi, voire chaque navigateur et autres outils du net de ces machines devait être configuré pour passer par le proxy.
Les ados râlaient, pasque je leur avais imposé un compte avec mot de passe dont ils trouvaient que c'était trop long à taper, mais ça marchait.

J'ai change de routeur ... marre des ondes wifi ... mais le nouveau ne permet pas de bloquer les machines par MAC adresses, seulement par IP.
Les petits malins se sont vite rendus compte que plutôt que choper une IP par DHCP dans la plage que j'interdisais de sortir (et donc qu'il fallait utiliser le proxy), ils pouvaient usurper en manuel l'une ou l'autre des IP des 2 machines aux accès illimités ... en particulier la machine de maman.

Bref, je cherche comment :
- donner une IP aux postes tout en les empêchant de sortir sur le net (mon routeur peut pas faire)
- imposer de passer par le proxy
- faire cela de manière transparente

Si j'ai bien compris ce que les iptables permettent de faire, entre autres, c'est de capter le trafic réseau, et de le rediriger vers le proxy, sans que les utilisateurs n'aient, ni besoin de configurer leur navigateur, ni de s'authentifier.

J'ai bon ?

Alors sur les iptables, si j'ai encore bien compris, après avoir testé toutes les commandes, il faut les imposer au démarrage du serveur proxy pour que ça soit toujours fonctionnel.

Question : si les iptables font que les machines voient tout leur trafic redirigé vers le serveur proxy,
- est-ce que je peux quand même mettre des exceptions ? indiquer une IP qui sort direct sur le net (le pc de maman) ?
- qu'est-ce qui se passe si on éteint le serveur iptables+proxy ? Est-ce que toutes les machines sont libérées de la contrainte ?
- qu'est-ce qui se passe si on usurpe l'IP du serveur ? Est-ce qu'on ne risque pas de l'empêcher de faire son boulot ?

Je vous remercie de votre aide. Je n'ai pas trouvé clairement explicitées l'utilisation et la configuration des iptables.

D'ailleurs, si en réponse à ce post vous êtes prêt à me donner les quelques lignes de config des iptables, merci.
Pour le squid, ça va. A moins qu'il ne faille modifier la config du squid pour la transparence + iptables. De ce que j'ai vu la transparence se spécifie juste par le mot transparent après la ligne du port.

Cheers

kerkael

Re : iptables - squid - proxy transparent ?

Bon, je me réponds.

Je suis tombé sur un post qui présentait le mode transparent comme local.

Est-ce que les iptables me permettront d'intercepter les demandes de connexion IP vers le net des AUTRES machines de mon réseau ?

D'un coup ça m'a l'air débile de demander ça ... j'ai tout faux, non ?

La seule manière de leur imposer de passer par le proxy c'est de de verrouiller leur accès direct au net, soit par la config du routeur, soit en interposant mon proxy entre les 2 mondes, de manière qu'il fasse routeur, avec 2 cartes réseau .... Damned, j'en sors pas