Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4708 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  aide pour accés pop a travers squid

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

aide pour accés pop a travers squid

n°986953
mickael1er
Posté le 03-12-2007 à 15:25:17  profilanswer
 

Go


Message édité par mickael1er le 28-07-2025 à 22:45:50
mood
Publicité
Posté le 03-12-2007 à 15:25:17  profilanswer
 

n°987013
carot0
Posté le 03-12-2007 à 16:23:18  profilanswer
 

C'est plutot dans ton firewall qu'il faut faire des modif, pour moi j'ai  un truc genre:  
 

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELA
TED  --dport 110 -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec des connexions déjà ét
ablies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED  
-j ACCEPT


---------------
In a world without walls and fences, who needs Windows and Gates
n°987085
mickael1er
Posté le 03-12-2007 à 17:56:44  profilanswer
 

J'ai pas de firewall de type IPtables derriere
 
mais merci

n°987088
O'Gure
Modérateur
Multi grognon de B_L
Posté le 03-12-2007 à 18:03:02  profilanswer
 

Explique ton architecture réseau dans ce cas.
Ton proxy squid est il transparent ? Tout les types de trafic (http, pop, ftp, imap, ssh...) sont censés passer par lui ?
Certains protocoles peuvent ils ne pas passer par ce proxy ? si oui par quel équipement passe t il ? y a til un firewall ou un équipement effectuant du routage dans l'histoire ?


Message édité par O'Gure le 03-12-2007 à 18:14:52

---------------
Relax. Take a deep breath !
n°987094
mickael1er
Posté le 03-12-2007 à 18:06:50  profilanswer
 

accés internet a l'aide d'un routeur environs 10 personne en accés direct en passant par le routeur et également j ai une 10 ene de poste derreire mon proxy pour donc limiter les accés au net qui lui pointe sur le routeur.

n°987095
O'Gure
Modérateur
Multi grognon de B_L
Posté le 03-12-2007 à 18:13:50  profilanswer
 

Peux tu préciser les autres points que je t'ai demandé ?


Message édité par O'Gure le 03-12-2007 à 18:14:16

---------------
Relax. Take a deep breath !
n°987096
mickael1er
Posté le 03-12-2007 à 18:16:24  profilanswer
 

dsl proxy transparant non pas encore, ts les trafic oui car je défini le proxy dans les postes que je souhaite bloquer, et non pas de firewall proxy directe apres le routeur.
 
merci

n°987097
boobaka
Posté le 03-12-2007 à 18:18:15  profilanswer
 

Citation :

les url_**** correspondent aux sites valable pour la ou les personnes
les nom_**** correspondent aux noms sites valable pous la ou les personnes
 


Là j'avoue ne pas comprendre, et j'ai du passer a travers les nom_
 
Bref les utilisateurs qui souhaite acceder à leur mail (donc pop / imap pas en webmail ?) et pour qui ca bloque passe par ton proxy?  
Bizarre car suivant ta conf, j'ai pas l'impression que la messagerie soit empacté par squid... Si tu les fais passer en direct sur le routeur, ca passe?
Si tu ajoutes le serveur de 1&1 dnas l'url_regex ca passe ou pas?
l'analyse de log squid nous en dira plus sur le bloquage...
 
++

n°987098
O'Gure
Modérateur
Multi grognon de B_L
Posté le 03-12-2007 à 18:20:11  profilanswer
 

Tu as défini comment le proxy pour que outlook utilise le proxy pour le pop ?
Tu as regardé dans les logs de squid pour voir si il te refusait quelque chose (pour au moins s'assurer que tes outlook utilsent réellement ton proxy) ?
Tu es sûr que le trafic ne peux pas passer par autre part que ton proxy ?


---------------
Relax. Take a deep breath !
n°987099
mickael1er
Posté le 03-12-2007 à 18:20:48  profilanswer
 

oui ceux pour qui je souhaite qui acces a leur mail passe par mon squid et non si j'ajoute le pop.1and1.fr ca passe pas

mood
Publicité
Posté le 03-12-2007 à 18:20:48  profilanswer
 

n°987100
mickael1er
Posté le 03-12-2007 à 18:22:06  profilanswer
 

pour outlook dans les parametre de connection j'ai défi que je passait par mon proxy non j'ai pas regarder mes logs j'admes  
passer par autre part non pas pour ces poste la pas de DNS défini ni passerelle

n°987101
boobaka
Posté le 03-12-2007 à 18:25:15  profilanswer
 

Rho pinaize un petit effort syntaxique serait le bienvenue ...
Enleve le fait que tu passes par un proxy dans ta conf Outlook .... Pas de DNS Ni de passerelle pour ces clients ?

n°987102
mickael1er
Posté le 03-12-2007 à 18:28:03  profilanswer
 

dsl pour le syntax je vais faire mieux...
 
j'ai défini mon proxy dans ma config outlook et oui pas de DNS ni passerelle pour mes clients.
 

n°987200
boobaka
Posté le 04-12-2007 à 08:24:45  profilanswer
 

amha, tu enlèves ta conf du proxy dans outlook, et tu définis une passerelle et un dns sur le client... Ton proxy ne doit faire proxy que sur http.. Il ne relais pas le pop ...
++

n°987219
mickael1er
Posté le 04-12-2007 à 09:47:04  profilanswer
 

mais comment fair epour qu'il relait du POP ?? a ce moment la ? snifff

Message cité 1 fois
n°987226
carot0
Posté le 04-12-2007 à 10:04:21  profilanswer
 

mickael1er a écrit :

mais comment fair epour qu'il relait du POP ?? a ce moment la ? snifff


si tu regarde la 2eme réponse ca devrait t'aider

 

comme tu me l'a demandé via mp voici mon script :

#!/bin/bash

 

# /8      /255.0.0.0
# /16     /255.255.0.0
# /24     /255.255.255.0
#
#

 

###################

 

LOCAL="eth0"
INTERNET="eth1"
PRIVATE="192.168.0.0/24"
POSTE="192.168.0.84"
SERVEUR="192.168.0.10"

 


# Fonction pour arrêter le firewall (on flush)
stop() {
echo -n "Flush des règles Iptables: "
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

 

#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

 

#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F

 

#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

 

iptables -X
iptables -t nat -X

 

# Message de fin ok
echo -e "[ \E[$40;32m OK \E[$40;0m ]"

 

#echo -e "[\E[$40;33mfailed\E[$40;0m]"#failed
}

 

start(){

 

echo -n "Chargement des règles Iptables: "

 

# Pour activer le forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

 

###################
# Pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
       echo 1 > $filtre
    done
fi
###################

  

###################
# Pas de synflood
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
###################

 

###################
# Pas de icmp

 

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
###################

 

modprobe ip_conntrack

 

modprobe iptable_nat

 

#modprobe iptable_filter

 

# Pour autoriser les connexions ftp :
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

 

# Pour autoriser le DCC sous IRC :
#modprobe ip_conntrack_irc

 

# Activation du partage de connexion
echo "1" > /proc/sys/net/ipv4/ip_forward

 


# Remise à zero d'iptables:

 

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
###################

 

# La on logue et on refuse le paquet
iptables -N LOG_DROP
iptables -A LOG_DROP -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 1 -- DROP '
iptables -A LOG_DROP -j DROP

 

# ici, on logue et on accepte le paquet
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 2 -- ACCEPT '
iptables -A LOG_ACCEPT -j ACCEPT

 

######################################

  

###################
# Regles par defaut:
# on refuse les connexions entrantes
iptables -P INPUT DROP
# on refuse les connexions destinées à être forwardées
iptables -P FORWARD DROP
# les connexions sortantes sont refusées par défaut
iptables -P OUTPUT DROP
###################

 

# Translation d'adresse pour tout ce qui sort vers l'internet
iptables -A POSTROUTING -t nat -o $INTERNET  -j MASQUERADE

 

#####################################################################
# Regles générale sur les differente interfaces

 

# On accepte tout ce qui entre et sort de l'interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

 

# On accepte les packets entrants relatifs à  des connexions déjà établies sur l'interface connectée au net
iptables -A INPUT -i $INTERNET -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

  

# On accepte les packets entrants relatifs à des connexions déjà établies sur l'interface connectée au lan
iptables -A INPUT -i $LOCAL -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $LOCAL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 

####################################################################
# Regles

 

# Partage de fichiers uniquement en local

 

iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 445 -j ACCEPT

 

# on accepte l'envoie de mail sur le serveur a partir du reseau local
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 25 -j ACCEPT

 


# seulement mon poste peut acceder au serveur en ssh
iptables -A INPUT -i $LOCAL -s $POSTE -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT

 

# Webmin accessible seulement depuis mon poste
iptables -A INPUT -i $LOCAL -s $POSTE -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 10000 -j ACCEPT

 

#on laisse passer les requetes dns
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 53  -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53  -j ACCEPT

 

#on laisse passer le proxy
#iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 3128  -j ACCEPT

 

# on autorise le trafique web de partout
iptables -A INPUT -p tcp --dport 80  -j ACCEPT
iptables -A INPUT -p tcp --dport 443  -j ACCEPT

 

# Redirection du port 80 vers le port 3128 ( celui du poxy squid )
iptables -t nat -A PREROUTING -s $PRIVATE -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i $LOCAL  -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 3128  -j ACCEPT

 

############################################################
# Forwarding

 

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 

# Seules les connexions déjà établies ou en relation avec des connexions déjà établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT

 

# on bloque MSN
iptables -I FORWARD -p tcp --dport 1863 -j DROP

 

# Permet à l'ensemble du LAN de dialoguer sur internet avec la même adresse IP
iptables -t nat -A POSTROUTING -s $PRIVATE -j MASQUERADE

 


# Ici on refuse les connexion entrantes et les paquets invalides
iptables -A INPUT -i $INTERNET  -m state --state NEW,INVALID -j LOG_DROP
iptables -A OUTPUT -o $INTERNET  -m state --state INVALID -j LOG_DROP

 

# Toutes les règles qui n'ont pas passé les règles du firewall seront refusées et loguées...
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP

 


# Message de fin ok
echo -e  "[ \E[$40;32m OK \E[$40;0m ]"
}

  


case "$1" in
        start)
                start
                ;;
        stop)
                stop
                ;;
        reload)
                stop
                start
                ;;
         status)
                /sbin/iptables -L
                /sbin/iptables -t nat -L

 

                ;;
        *)
                echo -e "Usage: /etc/init.d/Firewall {start|stop|reload|status}"
                exit 1
                ;;
esac

 

exit 0


Message édité par carot0 le 04-12-2007 à 10:34:19

---------------
In a world without walls and fences, who needs Windows and Gates
n°987258
boobaka
Posté le 04-12-2007 à 10:40:52  profilanswer
 

Oui mais non, certes ton script est instructif, j'en garde d'ailleurs une copie ... Mais son soucis ne provient pas de là ...
squid n'est pas un proxy pop/smtp  mais http/ftp/Gopher...

Message cité 1 fois
n°987265
mickael1er
Posté le 04-12-2007 à 10:56:30  profilanswer
 

merci c est super simpa il a l air plutot complet et bien fait  
merci bcp

n°987267
carot0
Posté le 04-12-2007 à 10:57:48  profilanswer
 

boobaka a écrit :

Oui mais non, certes ton script est instructif, j'en garde d'ailleurs une copie ... Mais son soucis ne provient pas de là ...
squid n'est pas un proxy pop/smtp  mais http/ftp/Gopher...


oui donc c'est le firewall qui fait le forwarding pour que le pop soit relayé.
J'ai un squid également et il ne s'occupe que du trafique http. Pour que le pop puisse entré j'ai cette regle  

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
# Seules les connexions déjà établies ou en relation avec des connexions déjà établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT



---------------
In a world without walls and fences, who needs Windows and Gates
n°987279
boobaka
Posté le 04-12-2007 à 11:08:59  profilanswer
 

Oki
 :jap:

n°987281
mickael1er
Posté le 04-12-2007 à 11:11:05  profilanswer
 

carot0 tu as un serveur mail ??  
merci  
 
boobaka tu penses que je devrais faire quoi ?  
 
merci

Message cité 1 fois
n°987291
carot0
Posté le 04-12-2007 à 11:23:14  profilanswer
 

mickael1er a écrit :

carot0 tu as un serveur mail ??  
merci  
 
boobaka tu penses que je devrais faire quoi ?  
 
merci


seulement un smtp sur la passerelle.
d'ou l'ouverture du port smtp et pour le reste le forwarding


---------------
In a world without walls and fences, who needs Windows and Gates
n°987298
mickael1er
Posté le 04-12-2007 à 11:32:15  profilanswer
 

donc ne possedant pas de serveur Mail je devrais forwarder le SMTP alors ? non ?

n°987307
O'Gure
Modérateur
Multi grognon de B_L
Posté le 04-12-2007 à 11:36:36  profilanswer
 

ben oui, sauf si tu veux qu'ils recoivent seulement (pas d'envoi... juste du pop)


---------------
Relax. Take a deep breath !
n°1131193
J0K0
Posté le 27-04-2009 à 17:04:54  profilanswer
 

bonjour,
 
ayant le mm soucis mais ne comprenant pas tout, j'aimerais avoir une aide concernant ce sujet ....
 
Est ce que le problème à été résolu ?
Quelqu'un pourrait me consacrer un peu de temps pour ça ?
 
merci !
 
j'ai copié sur le serveur debian ceci :  

Code :
  1. # Les connections venant du lan destiné a etre forwardé sont accepté
  2. iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELA
  3. TED  --dport 110 -j ACCEPT
  5. # Seules les connexions déjà établies ou en relation avec des connexions déjà ét
  6. ablies sont acceptées venant du Net vers le LAN
  7. iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED 
  8. -j ACCEPT


 
et voici mon squid.conf :

Code :
  1. http_port 192.168.10.1:8080
  2. #dns_nameservers 194.2.0.50
  3. hierarchy_stoplist cgi-bin ?
  4. acl QUERY urlpath_regex cgi-bin \?
  5. cache deny QUERY
  6. cache_mem 128 MB
  7. #maximum_object_size 15 MB
  8. redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  9. #redirect_children 4
  10. acl apache rep_header Server ^Apache
  11. broken_vary_encoding allow apache
  12. cache_dir ufs /var/spool/squid 200 16 256
  13. access_log /var/log/squid/access.log squid
  14. hosts_file /etc/hosts
  15. refresh_pattern ^ftp:           1440    20%     10080
  16. refresh_pattern ^gopher:        1440    0%      1440
  17. refresh_pattern .               0       20%     4320
  18. acl all src 0.0.0.0/0.0.0.0
  19. acl manager proto cache_object
  20. acl sph src 192.168.10.0/255.255.255.0
  21. acl localhost src 127.0.0.1/255.255.255.255
  22. acl to_localhost dst 127.0.0.0/8
  23. acl SSL_ports port 443 # https
  24. acl SSL_ports port 563 # snews
  25. acl SSL_ports port 873 # rsync
  26. acl Safe_ports port 80 # http
  27. acl Safe_ports port 21 # ftp
  28. acl Safe_ports port 443 # https
  29. acl Safe_ports port 70 # gopher
  30. acl Safe_ports port 210 # wais
  31. acl Safe_ports port 1025-65535 # unregistered ports
  32. acl Safe_ports port 280 # http-mgmt
  33. acl Safe_ports port 488 # gss-http
  34. acl Safe_ports port 591 # filemaker
  35. acl Safe_ports port 777 # multiling http
  36. acl Safe_ports port 631 # cups
  37. acl Safe_ports port 873 # rsync
  38. acl Safe_ports port 901 # SWAT
  39. acl Safe_ports port 22 # SSH
  40. #acl Safe_ports port 1863 # MSN
  41. #acl Safe_ports port 6667 # IRC
  42. #acl Safe_ports port 5800 # VNC JAVA
  43. #acl Safe_ports port 5801 # VNC JAVA 2
  44. acl purge method PURGE
  45. acl CONNECT method CONNECT
  46. http_reply_access allow all
  47. icp_access allow all
  48. visible_hostname sph-server
  49. cache_mgr joelkomo@gmail.com,alex.rapior@gmail.com
  50. coredump_dir /var/spool/squid
  51. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  53. # Authentification by aRAPIOR && jKOMOROWSKI #
  54. #auth_param negotiate program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  55. #auth_param negotiate children 5
  56. #auth_param negotiate keep_alive on
  57. #auth_param ntlm program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  58. #auth_param ntlm children 5
  59. #auth_param ntlm keep_alive on
  60. #auth_param digest program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  61. #auth_param digest children 5
  62. #auth_param digest realm sph-server
  63. #auth_param digest nonce_garbage_interval 5 minutes
  64. #auth_param digest nonce_max_duration 30 minutes
  65. #auth_param digest nonce_max_count 50
  66. ###auth_param basic program /usr/lib/squid/ncsa_auth /etc/webmin/squid/users
  67. auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs
  68. auth_param basic credentialsttl 12 hour
  69. acl utilisateurs proxy_auth REQUIRED
  70. http_access allow localhost
  71. http_access deny !Safe_ports
  72. http_access allow purge localhost
  73. http_access allow !utilisateurs
  74. http_access deny purge
  75. http_access deny manager
  76. http_access allow sph
  77. http_access allow manager localhost
  78. http_access allow all


 
merci de votre aide !

n°1132867
J0K0
Posté le 04-05-2009 à 15:13:42  profilanswer
 

je me permets un petit up !

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  aide pour accés pop a travers squid

 

Sujets relatifs
Gerer accès à un serveur via PAM-LDAP+MYSQL?probème avec squid et phpmyadmin suite a un crache du DD
[Postfix] probleme d'acces à MySQLBesoin d'aide pour installer Ubuntu sur un nouveau PC
pb d'acces repertoire homeModifications de droits d'accès
Acquisition vidéo sous Kino et droit d'accèsAccès à un dossier et imprimante partagés sur Linux à partir d'un Mac
Accès en écriture partitionDaemon tools aide svp!!!!!!
Plus de sujets relatifs à : aide pour accés pop a travers squid

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.121 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)