Squid bloque des sites présent dans mon fichier hosts



  • Bonjour à tous,

    j'ai un ptit souci avec squid, je précise je pense que cela vient bien de squid et non de squidgard,je m'explique. Je suis en mode proxy transparent, de ce fait mes postes client récupère automatiquement le proxy fournit par pfsense sans avoir a le spécifié. Hors sur mes postes clients j'ai renseigner dans le fichier Hosts que si le l'utilisateur cherche le site www.masociétexxxxxx.com cela soit directement rediriger sur une @ IP 212.83.83.83 par exemple, donc ceci marché parfaitement bien, hors depuis que j'ai intercalé pfsense entre mon WAN et mes postes clients j'ai ce message quand j'accede a www.masociétexxxxxx.com

    "The requested URL could not be retrieved

    While trying to retrieve the URL: http://www.masocietexxxx.com

    The following error was encountered:

    Unable to determine IP address from host name for www.masocietexxxx.com
    The dnsserver returned:

    Name Server for domain 'www.masocietexxxx.com' is unavailable.
    This means that:

    The cache was not able to resolve the hostname presented in the URL.
    Check if the address is correct.

    Generated Mon, 06 Apr 2009 09:39:47 GMT by localhost (squid/2.6.STABLE21)  "

    J'ai coché dans squid "Bypass proxy for Private Address Space (RFC 1918) destination"

    puis dans "Bypass proxy for these source IPs" j'ai spécifié l'IP de mon site

    Puis dans mes regles de parefeu j'ai spécifié de laisser sortir n'importe poste du réseau qui souhaite acceder à l'adresse ip 212.83.83.83

    Malgré ceci j'obtient toujours le même méssage d'erreur, j'ai bien entendu appliquer et sauvegarder systématiquement à chaque changement de config.

    je suis un peu bloqué, si quelqu'un a une idée je suis preneur  ::)

    Cdtl Fabien



  • @Fabien95:

    Je suis en mode proxy transparent, de ce fait mes postes client récupère automatiquement le proxy fournit par pfsense sans avoir a le spécifié

    C'est à rien y comprendre ! Soit le proxy est transparent soit les clients ont un proxy configuré !!!!!
    (Non le proxy transparent ne fait pas que les clients ont connaissance du proxy !)

    Justement l'intérêt du proxy transparent est de n'avoir rien à configurer sur les postes !

    Ensuite, je ne comprends toujours pas que le sens commun vous échappe :

    • les PC ont une définition via hosts,
    • il y a un proxy entre le pc et le serveur (sur Internet),
      => donc le proxy devrait avoir la même définition pour que cela fonctionne.

    Je pense qu'il faut sérieusement repenser le mot "proxy".

    Ce qui est le mieux, c'est de définir sur chaque PC le proxy. Bien sur avec 300 PC ce n'est pas simple, mais à 15-20 cela doit être jouable, non ?
    Ensuite on s'assure que le proxy a la définition.

    D'ailleurs, si vous avez mis la définition (fichier hosts) à tous le monde, cela ne devrait pas être plus compliqué.



  • Déjà comment par une chose très simple la politesse :  " BONJOUR"

    Je ne sais pas si le "sens commun" m'échappe cependant je me suis peut-être mal exprimé.

    Quand je parle de" Proxy transparent" je parle de squid sur pfsense, en aucun cas je fais allusion à mes postes clients, ce qui donc fait que les utilisateurs n'ont pas connaissances du Proxy nous sommes bien d'accord sur ce point. Pour conclure NON je n'est pas précisé d'adresse Proxy dans IE ou FF puisque j'ai activé le mode transparent dans Squid.

    2ème chose important à rappeller " il y a un Proxy entre le pc et le serveur (sur Internet)," primo Internet j'appelle cela le WAN, ou pourquoi pas le Web mais je ne vois pas le rapport entre un serveur et Internet, surtout si ce serveur ne fais serveur DNS, bref passons sur ce point peut important au regard de mon problème mais précisons tout de même une chose il y a mes postes clients qui sont derrière pfsense(firewall+Proxy squid, squidgard) et mon modem adsl (WAN) conclusion Pfsense s'intercalle entre mes postes clients puis mon modem adsl.

    Pour finir je ne veux pas m'amuser a configurer les Proxy de chaque postes (beaucoup de poste sont dit itinérant = portable).

    Les blagues les plus courte étant les meilleurs je ne vois pas en quoi ce post de "rageux" je pense qu'il n'y a pas d'autres mot ma était d'une quelconque utilité.

    Cordialement, Fabien.



  • Hélas, tout cela est assez illisible ! Ce qui semble indiquer qu'il y a beaucoup de choses dont le fonctionnement est incompris.

    Relisez vous un peu : la phrase que je cite n'a aucun sens !
    On aurait pu écrire : "le proxy de pfsense étant configuré en transparent, tous les clients passent, sans le savoir, par lui".
    Cette phrase là a du sens !

    Et c'est d'ailleurs pour cela que votre bidouille ne fonctionne pas !

    Premièrement, vous n'expliquer pas ce que voulez faire !
    Je présume que vous êtes en train de préparer un site web MAIS le dns est inexistant.
    Donc vous pensez qu'en mettant dans hosts (des PC) la définition que vous attendez, cela va fonctionner. Erreur !

    Deuxièmement, vous ne comprenez pas ni comment fonctionne une requête http ni comment fonctionne un proxy transparent !
    Une requête http est

    • un paquet ip envoyé à une machine définie par une adresse ip (obtenue après résolution dns ou host),
    • lequel paquet contient une instruction du genre GET / http://www.xxxx.com.

    Donc, étape 1, vos clients envoient le GET à l'adresse ip voulue par le fichier host.
    Etape 2, cela passe dans le proxy transparent … qui, lui, va analyser le GET
    OR, et cela vous échappe (pas à moi), le proxy tente de résoudre le nom www.xxxx.com.
    Et, lui, il n'a pas la définition dans son fichier host ! D'où erreur !
    Donc cela ne fonctionne pas comme vous voulez !!

    Troisièmement, vous avez un message d'erreur pourtant très clair mais vous ne le comprenez pas !
    La phrase "Unable to determine IP address from host name" est indiqué par le proxy (et non par les PC).
    Evidemment, là vous ne pensez pas au proxy : vos PC sont bien configurés.
    Pourtant, vous avez bien constaté que cela fonctionne sans proxy transparent !
    Le message est bien là, sous vos yeux.

    En plus, je suis considéré comme "rageux" !
    Et vous, vous vous êtes "peut-etre" mal exprimé. Ce n'est pas "peut-être", vous vous êtes mal exprimé.
    L'explication était là.

    Je ne suis ni là pour me vanter d'avoir déjà du trouver ce type de bidouille et les avoir fait fonctionner, ni là pour subir votre incompréhension.



  • Je suis en mode proxy transparent, de ce fait mes postes client récupère automatiquement le proxy fournit par pfsense sans avoir a le spécifié.

    Je dois dire que comme jdh, cette phrase m'a laissé perplexe. Voici pourquoi. Dès lors que "mes postes clients récupèrent automatiquement" il y a … récupération d'une information, donc il y a eu transmission. Or, nous le savons, dans le cas du proxy transparent aucune information n'est communiquée ou récupérée. Le navigateur comme le système du client ignore tout de la présence du proxy vous l'avez dit. Cela pour dire que, en effet, ce n'était pas clair et que l'on était en droit de se demander ce que vous aviez compris du fonctionnement d'un proxy transparent.
    Le principe d'un proxy est d'exécuter le protocole "à la place de". Le terme français mandataire exprime bien cela. Il donc indispensable que, dans votre cas, ce dernier dispose d'une résolution de noms fonctionnelle.
    Pour en terminer et revenir encore une fois sur ce qui me semble nécessaire même si cela sort un peu du cadre de la question, la présence d'un proxy sur le firewall n'est pas recommandable. Ce choix conduit à abaisser considérablement le niveau de sécurité.



  • Bonsoir à tous,

    "Méa coulpa" (dailleurs je ne sais pas si cela s'ecrit comme ça bref) en tout cas je reconnais mettre trés mal exprimer.

    par contre vous dites
    "Premièrement, vous n'expliquer pas ce que voulez faire !
    Je présume que vous êtes en train de préparer un site web MAIS le dns est inexistant.
    Donc vous pensez qu'en mettant dans hosts (des PC) la définition que vous attendez, cela va fonctionner. Erreur !"

    En faite c'est pas vraiment le cas , quand je suis arriver dans cette société (ou je suis présent 1 semaine sur 2 "bts en alternance oblige" la personne qui s'occuper du réseau m'avait expliquer qu'effectivement les quelques postes qui avait besoin d'acceder à ce site avec un fichier host modifier" trés honnétement je n'est pas chercher plus loin ayant plus important à gérer à l'époque et surtout puisque pfsense n'etait pas en service le problème ne se posait pas. ceci pour expliquer que je ne suis pas à l'origine de la "bidouille" mais j'essaye de faire au mieux avec les éléments qu'on me communique.  :-[

    En lisant le "deuxiement  de JDH" j'ai bien tilté sur le fait que l'erreur était généré par mon proxy (pfsense) puisque lui ne savait pas résoudre le nom DNS.

    Donc comment faire pour que squid mon proxy forward l'adresse demander sur l'adresse IP du site que je cherche à joindre.

    PS: une fois de plus méa coulpa, ont va mettre tout ça sur le dos de semaine de BTS blanc ….bien contente qu'elle soit finit d'ailleurs  :D



  • Bonjour,

    je souhaite donc modifier mon fichier.conf de squid, problème n'étant pas familiarisé avec linux je ne connait pas les commandes, quand je me log sur mon interface web , je vais dans "command prompt" et la j'ai le accès au shell,par contre je ne sais quoi tapé pour lui dire de m'ouvrir le fichier host de squid afin de rajouter la ligne qui lui indiquera ou se trouve le site www.xxxxxxx.com

    Avec mon ami google j'ai regarde ou pourrais éventuellement se trouver mon fichier Host de squid il serait soit dans /usr/local/squid/etc ou /etc/squid dans tout les cas je ne parviens pas a ouvrir le fichier host afin de le modifier, quelqu'un pourrait m'aider a localiser dans un 1er temp puis me dire avec qu'elle commande ouvrir ce fichier svp

    cdlt



  • Re,

    Pour la petite histoire je me suis renseigner pour comprendre pourquoi le site www.xxxxxx.com n'avait pas Nom DNS , en faite il y a différent site comme par exemple " facturation.fr    paye.fr      absence.fr qui vont tous tapé sur la même IP fixe , au bout de cette Ip fixe se trouve un serveur avec comme OS windows server 2003 et IIS qui gère dans Netpub les 3 sites. Bien entendu je n'est pas la main sur ces serveurs et quand bien même j'avoue que si j'avais eu la main dessus je ne serais pas quoi faire pour que cela fonctionne, quoi que, le nom de domaine de facturation.fr par exemple a bien était déposé chez OVH ou un autre, si je précise a OVH dans mes champs MX ou autre que www.facturation.fr dois aller taper sur l'adresse IP fixe ou se trouve mon serveur cela résoudrait mon problème non ?

    cdlt



  • L'exposé est un peu brouillon et je n'ai pas beaucoup de temps. Juste une chose: les enregistrements MX ne concerne que les serveurs de mails. Ils ne concerne pas vos problèmes. Ne touchez pas aux mx, vous risquez des problèmes de fonctionnement du courrier.



  • A un moment donné il faut savoir accepter ses limites.

    ::)



  • oups désolé pour l'énorme connerie que j'ai dis ! en faite y'a 3 ans quand j'ai monté mon serveur exchange perso j'avais justement du modifier mes champs MX, n'ayant jamais monté de site internet je pensas "naivement" que c'etait la même chose, hors si je réfléchit 2 secondes de plus le M de MX signifie mail quelque chose donc oui j'ai dit une énorme connerie , mais peut être pas au point de dire que mon cerveau sature et a atteint sa limite, jvois pas trop le principe d'un forum si pour aider les autres ont dit qu'il ont atteint leurs limites. Je n'est certainement pas les compétences de certains mais j'essaye de comprendre en méttant de la bonne volonté .

    Sinon je viens de voir avec la personne qui gère les différent site dont je parle présent dans mon Host et effectivement aucun nom DNS n'a était déposé pour ces sites, je reviens donc à mon idée de base, quelqu'un peut'il me dire avec quel commande je peux accéder a mon fichier Host de squid ?

    cdlt



  • Avez vous tenté de déclarer ces hôte dans le DNS forwarder ?



  • Merci pour ton aide Juve, mais le problème c'est solvé différement (il n'est pas résolue mais ont a contourner le problème en déposant les nom de domaines nécéssaires)

    Encore merci de votre aide et de votre patience.

    cdlt,Fabien


Log in to reply