Bonjour,

En stage mon tuteur me demandant de mettre en place un proxy filtrant avec Squid3 sous Debian.

Le but étant aux machines clientes du réseau de ne pas pouvoir accéder à certains site (Exemple : lequipe)

Je travail en virtuel avec donc :

- Débian => Installation de Squid et configuration :

debut : Ou on peut voir ma règle interdisant : www.lequipe.fr

Fin :

Puis j'ai ensuite activé le routage avec :

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

- Machine Cliente Windows 7

Où j'ai configurer dans les options internet :

Puis j'ai cela : sur n'importe quel site

2 trucs:
 
Si ton proxy est transparent, pourquoi tu le renseignes dans ton navigateur ?
Tu n'as autorisé que 127.0.0.1 (donc que ton proxy) à intérroger ton proxy, autorise ton réseau local

Merci pour ta réponse.  
 
Cependant je viens de rajouter mon réseau locale mais cela ne fonctionne toujours pas, et je viens d'enlever le renseignement à mon navigateur.
 
Donc je m'interroge sur mes configurations VM.
 
 
Voici mes configurations Virtual Machines :  
 
Débian :
J'ai mis deux carte réseau qui sont :  
 
(par pont) eth1 : 192.168.26.151
(en interne) eth2 en statique : 172.30.0.1
 
Mon Client :
Sa carte réseau est en interne  
 
Voici la Config net de mon client :
 
Adresse ip : 172.30.0.3 /255.255.0.0
En passerelle : 192.168.26.151 (celle de mon Débian)  
Pas de DNS.

Par defaut squid bloque tout .... Je ne vois pas de règle autorisant la navigation ...
Avec squid, si tu ne connais pas trop, il vaut mieux y aller progressivement ...  
Exit ta règle lequipe, car tu ne vas pas rentrer 6000 acl si tu souhaites bloquer 6000 sites    
 
Commence par rentre ton proxy fonctionnel, que ta navigation fonctionne puis tu durcis ...  
Ensuite il existe des solutions bien plus pratique que ta methodes - squidguard ou une acl url_regex qui pointe vers un fichiers contenants tes url ).
 
++
 
Edit :  

Ton proxy a accès Internet ?  

 
salut,
 
non il te faut l'adresse IP lan de ta debian

Effectivement, il est préférable    que la passerelle soit accessible ...

Ok donc la je suis en train de mettre en fonctionnel ma machine cliente pour qu'elle puisse sortir du réseau.

J'ai activer le routage (0 à 1) dans mon débian.

J'ai ensuite mis en passerelle mon débian donc 172.30.0.1
et en DNS la passerelle de mon réseau ici 192.168.26.1

Mais mon client n'a toujours pas d'internet, pourtant mon client et mon débian se ping bien

(Effectivement vous aviez raison je met en place mon client pour qu'il puisse aller sur le net, puis j'ajoute des restrictions petit à petit.)

Pourquoi mettre 2 interfaces sur ta Debian ?
Tu n'en colle qu'une en bridge .. Ca évite un routage qui ne sert à rien.
 
Ensuite ta Debian a t'elle accès à Internet ?

 
Car mes clients sont censé être en 172

Tes clients seront des vms ? Sur la partie Internal de ton host ?

C'est bon mes clients fonctionne avec mon débian;
 
j'ai ensuite mis en place le proxy et mes règle fonctionne avec par exemple lequipe.fr
 
cependant comme l'à dit boobaka je ne vais pas rentrer 6000e donc j'aimerais savoir s'il était possible de dirigé mon proxy avec une destination de liste de site à bloquer .

Tu lis les réponses que l'on te fait ?

J'ai une débian non graphique en faite en ligne de commande seulement.

Tu lis les réponses que l'on te fait ?

Alors un grands merci à toi boobaka, j'ai reussi à mettre en place squidguard cependant il me reste un petit soucis qui est le suivant :  
 

 
Je n'arrive pas à allée sur internet avec mon client si je ne reseigne pas mon proxy dans le nav
 
 
Je ne comprends pas j'ai pourtant mis en transparent "http_port 3128 transparent"
 
J'ai vu sur un site qu'il fallait que je fasse une redirection de port qui est la suivante :  
iptables -t nat -A PREROUTING -i eth0 -s 172.30.0.0/16 -p tcp --d port 80 -j REDIRECT --to -port 3128

Ton poste client a quel IP en passerelle ?
Quelle est l'IP de ton squid ?
 
Pour être "transparent" ton proxy doit être passerelle( mode simplifié).

Mon poste client à la configuration suivante :

Ip : 172.30.0.3
mask : 255.255.0.0
Passerelle : 172.30.0.2

en dns : 192.168.26.151

Qu'entends tu par mode simplifié ?

Oups désoler,

son eth0 qui est en dhclient est la suivante : 192.168.26.151
et son eth1 qui est en fixe : 172.30.0.2

Je ne comprends toujours pas ton intérêt d'avoir 2 interfaces réseaux sur une VMs ..
Avant de passer en proxy transparent, assure toi qu'il fonctionne en mode "normal", CàD référencé dans le navigateur Web de ton client.
Quand tu auras validé ca, tu passeras à l'étape suivante.
 
Ensuite, il faudra savoir si ton soucis vient de la règle iptable ( analyse des logs) et/ou du squid (analyse des logs également).

J'ai mis deux interfaces car mes clients doivent être en 172 et mon réseau est en 192  
 
J'ai décoché le référencement de mon proxy dans mon NAV et je ne peut pas sortir sur internet.

donc ton serveur  fait du routage et du proxy, mais je ne comprends pas pourquoi
 
normalement tu dois avoir :
 
client pc ---- proxy ---- FW ---- proxy dmz ----- internet

 
Pourquoi un proxy DMZ ?

 
 
pour plus de sécurité... sinon les paquets internet rentrent dans ton LAN, c'est donc peux ou pas sécurisé