[Résolu]Proxy Transparent + Firewall rules
-
Bonjour,
Je met en place actuellement un proxy transparent avec squid 2.7 stable
Je vois beaucoup de tuto qui parle de redirection avec des soultions iptables (du port 80 vers celui du 3128 …)
http://www.developpez.net/forums/d562718/hardware-systemes-logiciels/linux/securite/proxy-transparent-squid-debian/Ma question :
Et pour nous les utilisateurs de pfsense ???
On fait comment pour ce genre de redirection ?J'ai entendu parlé de policy based routing ici :
http://forum.hardware.fr/hfr/systemereseauxpro/Reseaux-L4/vers-proxy-possible-sujet_4014_1.htm
Vous en pensez quoi ??
( je veux utiliser un proxy détaché de pfsense )
Merci
Cdt -
Avez vous lu ceci : http://pfsense.bol2riz.com/tutorials/policybased_multiwan/policybased_multiwan.pdf
Autre méthode : paramétrer le navigateur avec l'ip et le port du proxy et bloquer le trafic sur l'interface lan pour les ports 80 et 443.
Le site de squid donne les informations pour réaliser l'équivalent de ce qui est faisable avec iptables.
Je pense que placer Squid ailleurs que sur Pfsense est une bonne chose.
-
OK CCnet Merci
-
Pour la redirection c'est facile, dans le menu NAT aller dans le port forward et faites une règle avec comme external address "any".
-
Merci Juve
Donc si je comprend bien.
Ext port range : http (80)
NAT ip : mon ip à forwardé
Int port range : le port proxy squid (3128)C'est bien cela ?
Cordialement -
Ce fil reprend les "terribles et usuelles" questions :
- j'ai un proxy, comment configurer tous les PC (et tous les profils) ?
- si la question 1 est difficile, alors je veux faire du proxy transparent : comment fais je ?
La solution décrite par Juve est une méthode qui repose sur le NAT (Network Address Translation) en réécrivant l'adresse ip destination.
Dans le cas présent, un pc veut naviguer vers www.google.fr : paquet (src: ip du pc, dst: ip de www.g.fr).
Ce paquet devient (src: ip du pc, dst: ip du proxy).
Le proxy reçoit le paquet, il interprète le contenu du paquet, effectue la requête et retourne le résultat au pc demandeur.Ce fonctionnement est permis CAR la requête est à l'INTERIEUR du paquet. Donc il n'y a pas de conséquence au changement d'ip : ip destination a changée et n'est pas la bonne !
Hélas, cela ne fonctionne pas pour d'autres protocoles !