Squid, connexion VNC couper au bout de 20seconde

ylarok

Bonjour,

J'ai mis en place un proxy squid sur pfsense et cela fonctionne, sauf que je veut autoriser le port 5900 (UltraVNC) à passer à travers le serveur pfsense sans se faire filtrer par squid. J'ai n'est aucun log dans squid par rapport a VNC donc je suppose que c'est le firewall qui coupe la connexion.

Si je me connecte avec ultraVNC avec le port 5900, la connexion s'établit mais au bout de 20 seconde ça coupe et ça réessaye de connecter, ça se connecte et ça coupe et ainsi de suite.

J'ai rajouté une règle sur le LAN afin d'autoriser toutes les adresse source et destination avec le port destination 5900 et le port source *.

Alors je me demandais si il n'y a pas un time out par rapport au firewall.

Merci d'avance pour vos réponses.

jdh

No comprendo !

Quel est l'objectif ?

(avant de mettre en place une solution, c'est le besoin qu'il faut définir puis trouver une solution technique. Pas l'inverse !)

ylarok

En faite, j'ai compris un peu plus. J'ai désactiver le pare-feu de PFsense pour ne garder que squid. Au final m'a connexion VNC (port 5900) fonctionne et ne se coupe plus. donc le problème vient bien du pare-feu.

Ce que je voudrais c'est laisser tous les port sur mon pare-feu ouvert, sauf les port 80 et 443 que je redirige vers le proxy X.X.X.X:3128.

Est ce plus compréhensible ou toujours pas ?

Merci.

ccnet

En faite, j'ai compris un peu plus. J'ai désactiver le pare-feu de PFsense pour ne garder que squid. Au final m'a connexion VNC (port 5900) fonctionne et ne se coupe plus. donc le problème vient bien du pare-feu.

Non le problème vient du paramétrage, donc de l'utilisateur du pare feu.

Est ce plus compréhensible ou toujours pas ?

Oui et non. Ce qui reste incompréhensible c'est que vous utilisiez un firewall alors que vous avez besoin d'un proxy. Vous n'êtes néanmoins ni le premier ni le dernier à céder inconsidérément aux sirènes des packages.

jdh

Comme d'habitude, on n'écoute pas, on ne lit pas, on ne veux pas comprendre … parce qu'on est incapable de penser :
Rien ne sert de partir, il faut penser avant !

Désactiver le firewall ?! Pourquoi faire ... cette sonnerie (avec un grand C) ?

Prendre en main les choses, c'est d'abord, et avant tout, être capable de décrire, en français, ce que vous voulez faire !
Ensuite on verra s'il y a un rapport avec le proxy ...

ylarok

CCNET : oui c'est un problème de paramètrage du pare-feu c'est ce que je voulais dire, et donc oui un problème de moi qui configure mal le proxy. Je n'utilise pas PFsense en tant que pare-feu mais en tant que proxy (certes je me base sur des paquets, mais ce n'est pas mon idée d'utiliser PFsense, je ne fais que suivre ce qu'on me dit) en plus du proxy je veux quand même me servir du pare-feu (vu qu'il est la) mon pare-feu ne sert juste à obliger les utilisateurs à passer par le proxy ( si je désactive le pare-feu de pfsense les utilisateur peuvent ne pas configurer leur navigateur et donc passer par pfsense sans se faire filtrer) J'espère que c'est plus claire

JDH : Je ne vous permet pas de me dire que je pense pas parce qu'avant d'écrire sur le forum je passe du temps à réfléchir et essayer.

Je tiens à préciser mon réseau

LAN –--|Proxy + pare-feu PFsense|------|Box + pare-feu (je m'en occupe pas et je ne peut pas d'ailleur m'en occuper|--------- INTERNET

Mon pare-feu PFsense je veut juste obliger les utilisateur pour le port 80 et 443 à passer par le port 3128.

Merci.

jdh

S'il suffisait de penser pour tout comprendre …
Il faut, à minima, lire, se documenter, apprendre les protocoles réseaux ...

je veut juste obliger les utilisateur pour le port 80 et 443 à passer par le port 3128

Pour le trafic http (80/tcp) il peut être redirigé vers le service/package Squid (qui écoute sur 3128/tcp). Ce n'est pas forcément une super idée : il y a mieux ! Pour le trafic https (443/tcp), votre méconnaissance vous empêche de comprendre que la redirection est totalement impossible !

Concernant ces flux, il serait très judicieux de mettre en place un proxy dédié et de faire en sorte que les micros sachent le trouver et l'utiliser ! (Et d'ailleurs un bon schéma comme celui là fonctionnerait pour les 2 flux !)

Et pour revenir à vos propos initiaux (sur VNC), quel est le besoin ? (question déjà posée !)
(Parce que ce flux ne passera pas par le proxy, 2ième fois !)

ylarok

Ma redirection fonctionne, puisque lorsque je bloque un site https, il est bloqué. Le problème n'est pas squid mais mes règles du pare-feu

J'ai fais du NAT :
If    Proto Src. addr Src. ports Dest. addr      Dest. ports    NAT            IP NAT Ports

LAN  TCP        *          *        WAN address  80 (HTTP)      192.0.0.24  3128

LAN  TCP        *          *        WAN address  443 (HTTPS)  192.0.0.24  3128

concernant les utilisateurs, j'ai mis mon serveur proxy comme passerelle par défaut, mais lorsque je désactive le pare-feu et j'utilise juste Squid, les utilisateurs peuvent enlever les paramètres proxy du navigateur et donc ne plus être filtré (leur connexion passe par PFsense mais pas par le port 3128)

Donc je veut garder mon pare-feu activer mais je ne sais pas comment le configurer

Concernant l'utilisation de VNC, je l'utilise comme teamviewer, comme mon serveur vpn …. (d'ailleur la connexion à mon vpn ne fonctionne plus quand le pare-feu est activé.)

et je veut juste ça. Maintenant jdh, tu te crois supérieur, mais personne t'a demandé de répondre, alors ton aire supérieur de bouseux tu te le garde. J'ai 20ans certes je ne connais pas tous sur le réseau mais j'apprend.

jdh

Ca suffit ce mauvais esprit !
Arrêtez d'être vexé quand on vous dit que vous n'avez pas une connaissance approfondie : c'est la réalité, et ni moi ni d'autres n'écrivons cela pour vexer qui que ce soit !
Il y a un problème mental : c'est plutôt de se vexer pour ce qui n'est pas !
STOP !

Concernant le trafic HTTPS (443/tcp), j'ai écrit "votre méconnaissance vous empêche de comprendre que la redirection est totalement impossible !"
Je persiste et signe parce que c'est juste la réalité !

Le principe de HTTPS est de crypter la totalité de la session entre le client et le serveur pour éviter toute attaque de type Man In The Middle.
Or, forcément, entre le client et le serveur, le flux passe par plusieurs machines, à commencer par le firewall.
Le type de modification de rediriger le flux fera, immanquablement, échouer la session parce c'est précisément une modification interdite !

Cela est expliqué, bien mieux que moi, par Christian CALECA … et vous ne l'avez pas lu (alors que son site, remarquable de pédagogie, est tout indiqué pour les débutants).

Maintenant, de 2 choses l'une,

• soit vous vous informez puis vous écrivez "qu'effectivement", et vous vous excusez
• soit vous maintenez vos propos minables, et, quel que soit le fil, je ne répondrais pas, et, de plus, je demanderais un avertissement aux modérateurs

Il y a en a marre des gignolos qui se vexent quand on écrit juste une réalité ...

ccnet

Si on "réfléchi" un peu, un proxy qu'est ce que c'est, si ce n'est un "man in the middle" précisément ?