#1 Le 05/01/2021, à 07:05
- khaled01
[Squid] bloquer les sites web sans configurer le proxy sur le client
Bonjour,
Dans l'entreprise ou je bosse j'ai installé Squid sur le serveur qui roule sous Ubuntu 20.04 tout marche bien sauf que pour que les sites que je veux bloquer ne soient pas accessible depuis un poste client (windows 10) faut que je configure le proxy sur ce dernier pour que ça marche!
C'est pas terrible car ce que je veux c'est que les sites que j'ai bloqué ne soient plus accessibles sur les clients sans configurer le proxy.
J'ai entendu parler de cette histoire de "TRANSPArent" que je dois rajouter à coté de la ligne "http_port 3128" dans le fichier squid.conf je l'ai fais on suivant le cours officiel mais ça n'a rien donné.
Pouvez vous m'aider svp ?
Cdt.
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#2 Le 06/01/2021, à 09:43
- bruno
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Bonjour,
Voir le point 2.7 de la doc squid (à adapter).
Pour avoir un proxy transparent il faut que le routeur/pare-feu de l'entreprise redirige tous le trafic à destination du web, ports 80 et 443, vers les ports du serveur Squid.
https://tektab.com/2012/09/28/squid-tra … l-traffic/
https://wiki.archlinux.org/index.php/Sq … _web_proxy
#3 Le 06/01/2021, à 10:07
- NicoApi73
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Bonjour,
La notion de proxy transparent est relative. Avec ce type de configuration, tu vas avoir ton proxy en situation de "man in the middle". De plus tu auras des messages d'alertes sur tes postes client. Et, de plus, ça ne résoudra pas ton problème comme l'a décrit bruno
Hors ligne
#4 Le 09/01/2021, à 12:50
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Re,
J'ai la version 4 de squid la 4.10 très exactement j'ai fais des recherches sur internet la transparence du proxy marche juste avec la version 3 et inférieur !!!
Y aurai t'il un moyen de la faire fonctionner sur la version 4.10 ?
Cdt.
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#5 Le 09/01/2021, à 15:59
- bruno
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
C'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.
Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.
#6 Le 09/01/2021, à 19:50
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
C'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.
Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.
Pourriez vous me montrer comment faire svp ?
Cdt.
Update :
j'ai essayé ces deux possibilités mais ça n'a rien donné
iptables -t nat -I PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i enp0s8 --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i enp0s8 --dport 443 -j DNAT --to-destination 192.168.1.1:3128
mais ça n'a rien donné!
Avez vous une idée svp ?
Cdt
Dernière modification par khaled01 (Le 10/01/2021, à 23:15)
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#7 Le 18/01/2021, à 18:17
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Petit up
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#8 Le 18/01/2021, à 19:39
- NicoApi73
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Comment est organisé ton réseau?
Hors ligne
#9 Le 18/01/2021, à 22:08
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Comment est organisé ton réseau?
Le serveur ubuntu a deux cartes réseaux une branché au modem et la deuxième carte distribue l'internet aux client via un switch (les clients sont branchés au switch) un réseau en étoile.
Le serveur dhcp donne les adresses ip aux clients
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#10 Le 19/01/2021, à 07:31
- NicoApi73
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
ok, ton réseau est correct. Sur ce type de réseau, j'ai monté mon serveur en bridge.
Tu peux soit utiliser le couple ebtables iptables ou utiliser nftables. Au final ça revient au même, ebtables et iptables étant maintenant remplacés par nftables.
Voici de la doc pour monter un bridge : https://wiki.debian.org/fr/BridgeNetworkConnections Attention, la table BROUTING de ebtables n'existe plus. A remplacer par la table PREROUTING
Tu dois d'abord monter ton serveur en bridge. Chacun des ports physiques n'auront plus d'adresse IP, seul le bridge (qui est un port virtuel) en aura un, visible des 2 côtés. Ensuite, il faut rediriger les paquets (port 80 et 443) en entrée du bridge vers le bridge lui même pour qu'il les traite et les redirigent vers le port 3128
Hors ligne
#11 Le 19/01/2021, à 10:46
- bruno
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Il n'y aucune nécessité de « monter le serveur en bridge », c'est à dire créer un pont réseau entre les deux interfaces.
Il suffit de rediriger le trafic web (port 80 et 443) arrivant sur l'interface reliée au switch vers les ports du serveur SQUID, cf. la doc de SQUID :
https://wiki.squid-cache.org/ConfigExam … olicyRoute
#12 Le 19/01/2021, à 15:54
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Ça ne marche pas
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne
#13 Le 19/01/2021, à 16:20
- bruno
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Ça ne marche pas ne donne aucune indication sur les problèmes rencontrés et ne permet donc pas de t'aider.
Personnellement je n'ai pas mis en place ce type de configuration depuis des années et uniquement en HTTP. Ce qui simplifie largement les choses mais n'est plus envisageable aujourd'hui où la majorité du trafic se fait en HTTPS. Je ne pourrais donc t'aider davantage
#14 Le 20/01/2021, à 12:51
- khaled01
Re : [Squid] bloquer les sites web sans configurer le proxy sur le client
Bonjour ,
Y aurai t'il une autre alternative pour bloquer les sites web sur les machines clientes depuis le serveur ubuntu sans rien toucher comme configuration sur ces dernières ?
Cdt.
Il ne faut jamais sous estimer la puissance de Linux ;)
Hors ligne