 |
||
| ||
| |||||
| Dernière réponse | ||
|---|---|---|
| Sujet : iptables et la comande --dport | ||
| Tomate |
:D |
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Tomate |
:D |
| ethernal |
|
| sebounet |
|
| Tomate |
|
| sebounet | Squid supports... proxying and caching of HTTP, FTP, and other URL's proxying for SSL cache hierarchies ICP, HTCP, CARP, Cache Digests transparent caching reste a savoir si il supporte le ftp en transparent caching ;) |
| sebounet | oki en effet ethernal après capture de trame, je voit que internet explorer fait une requete ftp a squid en passant par du http.
enfin ca envoie dans une requete http ce dont squid a besoin pour le ftp (login pass etc). faut que je farfouine dans squid du coup maintenant mais bon pour trouver parmi les 3000 lignes du squid.conf (ok c bien documenté mais putain !! :cry: :cry: |
| ethernal | [satanée touche tab]
oui, mais pas l'inverse. comme je disais plus haut, tu sais forwarder par ex les ports 81,82,85,96 sur le port 80 de ton serveur internet, ça fctera niquel. http://monsite.com:81/ http://monsite.com:82/ http://monsite.com:85/ ... ça fct. Forwarder par contre le port 4662 vers plusieurs machines, normalement ça fct pas. pour squid le problème est que 1. il faut que squid identifie le fait que la requête est ftp et pas http 2. il sache qui lui a envoyé cette requête pour pouvoir y répondre. Hors qd le browser est configuré pour communiquer avec un proxy, il modifie la trame de requête, pour que le proxy la comprenne (je suppose). Pour HTTP, squid sait gérer une requête directe (proxy transparent). Mais pas pour le https ni pour le ftp. Donc la soluce est d'utiliser un autre proxy pour le FTP qui lui saura gérer les requêtes directes. |
| Tomate |
|
| ethernal | oui je sais :) (je reste callllmmmeeeee)
avec ton iptables, tu fais une connexion directe vers le proxy, l'url n'est pas modifiée par ton browser puisqu'il ne sait pas qu'il y a un proxy... Si ça n'a pas été implémenté dans squid, c'est foutu pour ton ftp. il existe sans doute d'autres proxy que squid qui eux le font pour le ftp. voir http://www.ussg.iu.edu/hypermail/l [...] /0047.html le lien dans le post est mort, mais ça te permettra sans doute de trouver qqch d'intéressant. sur google : http://www.google.fr/search?hl=fr& [...] rent&meta= |
| sebounet |
|
| Tomate |
|
| ethernal | d'après qq discussions sur une mailing liste :
|
| sebounet | nan c bon cf mon autre post.
squid marche bien pour le ftp et le https mais faut que j'indique sont port dans internet explorer. donc en gros avec iptables j'arrive a faire que du http en transparent. comment faire la redirection du port 21 et 443 vers le 3128 de squid ? c'est pas du tcp ? ya une syntaxe spéciale ? |
| ethernal |
|
| sebounet | bon en fait le truc c'est que proxy transparent = http only et pour le ftp j doit le faire passer en direct.
bon ce qui est con c'est que le ftp de la ou je suis on me le bloque dans la boite. jpeut y accéder que a travers ma passerelle ou a travers le proxy de la boite. bon bref fo que je trouve un truc la lol ;) ya moyen d'ouvrir un autre port sur squid pour le 21 auquel cas je fait une redirection avec iptables ? sinon bah pourquoi en fixant dans internet explorer j peut me connecter pour ftp ou http sur le port 3128 et pas avec iptables ? c une restriction d'iptables ? |
| Tomate |
|
| sebounet | mais c nul !
je fait comment alors pour faire du http ET du ftp avec mon proxy de manière transparente ? impossible ? si c'est le cas c nul :( |
| Tomate |
|
| sebounet | je connait ce site et c'est exactement ce que j'ai fait.
mon pb c'est pour le ftp et https. bon c pas grave j vais ouvrir un autre topic paskeu ici c pas mon topic en + |
| Mjules | cf topic de liens :
http://www.ac-creteil.fr/reseaux/S [...] squid.html (chapitre 20) |
| sebounet | voila retour de manger :
bon et bien la doc d'ethernal en fait ca me permet de faire la redirection pour le port 80 ca c'est ok. mais moi je veut faire du ftp et du https et c'est ca que j'arrive pas a faire. bien evidemment de manière transparente aussi. |
| sebounet |
|
| Tomate |
|
| sebounet |
|
| Tomate | j avais bien raison :sol: |
| ethernal | regarde ici :
http://en.tldp.org/HOWTO/mini/TransparentProxy-6.html autorise tu le retour des paquets de la machine proxy vers tes machines clients ? sinon, ftp utilise aussi udp non ? |
| sebounet | oui ca fonctionne si je configure comme ca dans internet explorer |
| ethernal | est-ce que si tu mets dans IE 3128 pour http, sécusrié, ftp,... ça fct ?
si pas, je pense que tu dois d'abord configurer squid. Une fois que ça fct, tu appliques ta redirection et ça doit fcter. |
| sebounet | comment ca c po pareil.
bon beh en fait je veut juste pouvoir faire du http, ftp, https en passant par mon proxy mais de manière transparente cad sans avoir a config internet explorer. avec la commande : iptables -t nat -F PREROUTING iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 ca marche très bien pour le http. comment faire pour le ftp et le https ? merci |
| Tomate |
|
| sebounet | bah qd j utilise le proxy de la boite je configure mon ie pour qu'il utilise le port 8080 pour tout ce qui est ftp, http, https etc |
| Tomate |
|
| sebounet | bah y'a qu'un seul port sur le proxy non ?
|
| Tomate |
|
| sebounet | salut !
j'en profite pour m'incruster un peu ;) en fait je voudrais faire une simple redirection de port avec iptables. en gros, mon pc sert de passerelle/ dns/ dhcp / proxy avec squid. ce que j'aimerais c'est pouvoir accéder au net a partir de mon réseau, en passant par ma passerelle, et sans avoir a configurer le proxy. En fait j veut donc que tout ce qui arrive sur mon proxy soit automatiquement redirigé vers le port 3128 de squid comme ca je peut faire du ftp, http, https (mon problème se situe au niveau du https en fait surtout) et tout ca de manière transparente evidemment afin de ne pas avoir a configurer les pc clients. pour le moment j'utilisait ca : iptables -t nat -F PREROUTING iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128 bon et evidemment a part le http ca marche pas trop le reste. si qqun peut me renseigner merci bcp. |
| ethernal | donc tu peux faire un iptables -A PREROUTING -d 10.10.10.1 -p !icmp --dport 80 -j ACCEPT |
| ethernal | ouf tu me rassures :jap: ça fait tellement longtemps que j'ai plus touché à mon firewall :D |
| nikosaka | non c'est pas une connerie. on peut utiliser --dport et --sport seulement si on a en protocole tcp et udp |
| ethernal | je pense que dans le "ALL" le protocole ICMP est compris...
et du ICMP sur un port 80, ça fct pas. (j'espère ne pas dire une grosse connerie là) |
| Burps | Salut
g un souci avec iptables : quand je rentre une regle du type iptables -A PREROUTING -d 10.10.10.1 -p ALL -j ACCEPT ca passe (ca matche tous les protocols) Maintenant, je sais que si je veux filtrer sur un port en particulier, je dois mettre ceci : iptables -A PREROUTING -d 10.10.10.1 -p ALL --dport 80 -j ACCEPT HORS, ca ne fonctionne pas : j'ai la reponse suivante : Unknown Arg "--dport" J'ai l'impression que cela provient du -p ALL, car si je fais un -p tcp, la regle rentre sans probleme Qqun pour me confirmer ? me donner une solution ? Ma solution temporaire (qui me plait bof..) est de faire 2 regles (1 pour tcp et 1 pour udp) mais ca risque de poser pb si dans le futur d'autres protocoles entrent jeu... Merci |
