Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1794 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Squid comme proxy transparent FTP / edit : non supporté

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Squid comme proxy transparent FTP / edit : non supporté

n°256403
sebounet
Posté le 30-04-2003 à 13:54:24  profilanswer
 

Salut !
voila j'ai installé mon proxy squid.
 
j'ai un petit problème au niveau du ftp et du https.
 

Code :
  1. iptables -t nat -F PREROUTING 
  2. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


 
j'utilise ca pour la redirection du port 80 vers le 3128 de squid.
 
mais je n'arrive pas a me servir de la meme syntaxe (quelle est elle au fait ?) pour le 21 et le 443 (https).
 
bon mais de totue facon quand je force le proxy a partir de internet explorer vers le port 3128 et bien pour le ftp comme pour le https cela ne marche pas.
 
je pense donc que mon problème vient de la configuration de squid.
 
si qqun a déja fait ca je suis ok pour un peu d'aide ;)
 
merci
@+
seb


Message édité par sebounet le 30-04-2003 à 16:09:58
mood
Publicité
Posté le 30-04-2003 à 13:54:24  profilanswer
 

n°256406
com21
real men don't click
Posté le 30-04-2003 à 13:59:24  profilanswer
 

dans configurer IE pour qu'il utilise les meme param (du port 80)pour les autres ports ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°256408
sebounet
Posté le 30-04-2003 à 14:01:27  profilanswer
 

oui a ce niveau la pas de pb j'ai configuré ie pour qu'il utilise le port 3128 (squid koi) pour tout les protocoles pour le proxy.
 
cependant ca passe pas ..

n°256411
com21
real men don't click
Posté le 30-04-2003 à 14:04:16  profilanswer
 

et avec un analyseur de protocoles ?
 
et dans les fichier de log de squid ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°256412
com21
real men don't click
Posté le 30-04-2003 à 14:04:36  profilanswer
 

je te conseil d'essayer avec netscape aussi


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°256413
911GT2
Blood on the streets
Posté le 30-04-2003 à 14:04:52  profilanswer
 

euh si tu dis à IE quel port utiliser pour le proxy, il est plus transparent :heink:

n°256414
sebounet
Posté le 30-04-2003 à 14:07:47  profilanswer
 

je sait que si je met les port dans ie c'est plus transparent mais c'est juste pour tester si le problème c'est squidf ou si c'est ma redirection de port avec iptables.
 
donc la le problème c'est plutot squid.
 
pour l'analyse de trame c'est partit je lance ethereal.
 
netscape j peut pas le mettre (j ai une pire connection au boulot je pourrait jamais télécharger ca lol)
 
donc voila je vous dit dans 2 minutes
 
et si qqun sait pour la redirection de port avec iptable pour le 21 et le 443 merci.
 
 
edit : pour ce qui est de l'acces log de squid je voit uniquement les fichiers html chargés.


Message édité par sebounet le 30-04-2003 à 14:12:07
n°256418
sebounet
Posté le 30-04-2003 à 14:15:29  profilanswer
 

bon et bien tout compte fait ca marche maintenant le ftp.
 
halala allez comprendre.
 
bon par contre j'ai mis le proxy en "dur" dans ie.
 
est ce que quelqu'un peut m'expliquer comment faire la redirection de port pour le ftp et le https paskeu ca marche pas trop ca. ca marche pour le 80 avec la syntaxe que j'ai mis au dessus mais pour le 21 ...
 
et pour le reste ?
 
merci

n°256524
[Albator]
MDK un jour, MDK toujours !
Posté le 30-04-2003 à 18:28:19  profilanswer
 

Un proxy transparent https est inconcevable.
 
Pour un proxy transparent FTP, cherche le logiciel "frox".

n°256539
sebounet
Posté le 30-04-2003 à 19:23:47  profilanswer
 

pour le ftp j'ai vu mais je trouve ca plutot lourd quand meme de devoir utiliser un 2° proxy, autant donner un axx direct au net (en fait ca bloque au niveau du firewall si je passe pas par le proxy.)
 
 
 
sinon le coup du https je comprends que ca passe pas par le proxy après réflexion c'est logique meme ;)
 
 
bon par contre j'ai un pb bizarre maintenant :
 
donc la syntaxe du ftp :
 
ftp://login:pass@ftp.Free.fr
 
ca ne marche pas, ca essaye d'accéder direct a free (d'après capture de trame) et donc le firewall bloque.
 
si je fait ftp://login:pass@213.207.x.x (bon free koi)
 
et beh la avec capture de trame je voit bien que mon pc se connecte au proxy et le proxy a free pis l'echange se fait bien.
 
bon je pense avoir une idée mais c pas sur.
 
le hostname de mon serveur proxy est : Serv_DHCP
j'ai du modifier dans mon fichier de config du proxy le hostname en "bou" car si je laissait Serv_DHCP et bien je pouvait pas lancer squid ca me faisait une erreur.
 
pensez vous qu'il peut y avoir un pb ?
 
sachant que mon dhcp fait proxy et dns.
 
bon mais sinon vraiment avec capture de trame et bien j'ai pas l'impression que mon pc passe par le proxy a aucun moment (bien que mon proxy soit également la passerelle par défaut de mon pc.)
 
une idée sur tout ca ?
merci

mood
Publicité
Posté le 30-04-2003 à 19:23:47  profilanswer
 

n°256571
Sagittariu​s
Posté le 30-04-2003 à 20:50:25  profilanswer
 

J'utilise squid avec 3 stations Linux et une XP
Tout mon http, https, ftp passe par le proxy port 3128 sans soucis, mais pour ma part, squid n'est pas configuré en proxy transparent.


Message édité par Sagittarius le 01-05-2003 à 09:49:59
n°256618
sebounet
Posté le 30-04-2003 à 23:23:43  profilanswer
 

et vi je sait ca marche sans qu'il soit transparent.
 
j'ai vu qu'en fait squid ne supporte pas d'etre proxy transparent !! :(
 
tant pis !

n°256649
[Albator]
MDK un jour, MDK toujours !
Posté le 01-05-2003 à 02:52:31  profilanswer
 

J'utilise squid en proxy transparent http et frox en proxy transparent ftp depuis longtemps, aucun souci. Y a même un certain nombre de howto à ce sujet => google.
 
J'utilise ces deux outils à des fins statistiques uniquement  :ange: , pour squid je vous conseille l'excellent SARG.

n°256689
sebounet
Posté le 01-05-2003 à 11:22:22  profilanswer
 

JoWiLe a écrit :


 
 
hein? c quoi ce délire?
 
:??:


 
je me suis mal exprimé.
bon voila ce que j'ai fait :
redirection des ports 80,21, 443 vers le 3128 de squid.
 
quand je fait ca, le http marche mais pas le ftp ni le https.
 
la raison est simple, dans ce cas la je n'active pas le proxy et donc la requete ftp est faite de manière standard par mon browser et squid ne sait pas gérer ca.
 
il faut donc mettre frox pour faire du proxy ftp transparent.
 
ou alors utiliser squid pour tout mais activer le proxy dans tout les browser.
 
et le but de mon projet c'etait de faire un proxy transparent.
 
Pourquoi je fait ca ?
au boulot ya une connection a 2 frs et on est obligé de passer par un proxy pour pas trop faire ramer (256kb pour 300 usagers lol)
 
et comme ya 1500 pc environ et bien c'est plus simple de faire un proxy transparent que de configurer tout les browser web ..

n°256690
sebounet
Posté le 01-05-2003 à 11:23:53  profilanswer
 

[Albator] a écrit :

J'utilise squid en proxy transparent http et frox en proxy transparent ftp depuis longtemps, aucun souci. Y a même un certain nombre de howto à ce sujet => google.
 
J'utilise ces deux outils à des fins statistiques uniquement  :ange: , pour squid je vous conseille l'excellent SARG.


 
merci pour sarg j vais m'installer ca vendredi ;)

n°256692
sebounet
Posté le 01-05-2003 à 11:24:30  profilanswer
 

JoWiLe a écrit :

et pourquoi tu dis que le proxy https est impossible :??:


 
c possible mais aps de manière transparente.
 
perso j pense que c'est pour des raisons de sécurité

n°257089
sebounet
Posté le 02-05-2003 à 09:19:13  profilanswer
 

aucune idée mais toujours est il que qd je le fait ca marche pas lol :)

n°257239
ethernal
Chercheur de vérité...
Posté le 02-05-2003 à 12:20:11  profilanswer
 

question de protocol certainement.
Squid reçoit une demande, mais sur quel port doit-il contacter le serveur et en utilisant quel protocol ?
80:http/443:https/21:ftp --> 3128 --> ?? 80:http/443:https/21:ftp ??
 
comme je l'ai dit dans l'autre post, squid sait opérer en mode transparent uniquement pour http.
En mode non transparent, le browser triche en envoyant une trame modifiée à Squid pour qu'il puisse faire ces distinctions.
 
en mode transparent, il faut donc passer par un autre proxy pour le https et le ftp.
A moins que qq n'ait développé des extensions à Squid pour ce faire ?  
ça doit être balaise à faire... il faut analyser en temps réel les communications pour savoir quel protocol et quel port utiliser.
 
Question :
En mode transparent, si tu contactes un site internet tournant sur un autre port que le port 80, ça te retourne qq ch ou pas ?
ex : http://cartier.cnam.fr:8080/


---------------
...oups kernel error...
n°257313
[Albator]
MDK un jour, MDK toujours !
Posté le 02-05-2003 à 13:39:00  profilanswer
 

ethernal a écrit :


Question :
En mode transparent, si tu contactes un site internet tournant sur un autre port que le port 80, ça te retourne qq ch ou pas ?
ex : http://cartier.cnam.fr:8080/


 
A priori non, puisque la règle iptables associée au proxy transparent redirige tous les paquets avec "destination port = 80" .

n°257337
ethernal
Chercheur de vérité...
Posté le 02-05-2003 à 13:56:22  profilanswer
 

me suis fait avoir là.  :jap:  
 
j'aurais du ajouter :
si on redirige aussi le port 8080 vers le port 3128 de squid


---------------
...oups kernel error...
n°257339
sebounet
Posté le 02-05-2003 à 13:57:58  profilanswer
 

ha bah la c bon ya pas de raison ;)

n°257357
ethernal
Chercheur de vérité...
Posté le 02-05-2003 à 14:11:56  profilanswer
 

tu as testé ?
je suis pas convaincu en fait...  :??:  
 
si tu ne mets pas la règle, alors il accède directement au site (sans passer par le proxy).
si tu mets la règle (firewall:8080->3128), il passe par squid, mais squid lui va contacter le site sur le port 80 non ? il ne sait pas qu'il n'est accessible que sur le port 8080.
 
C'est donc une limitation du proxy transparent.
Tout les sites avec un port!=80 seront accédés directements (sans passer par le proxy), idem pour les ftp (!=21).
 
Enfin, heureusement qu'il n'y en a pas tant que ça...


---------------
...oups kernel error...
n°257360
sebounet
Posté le 02-05-2003 à 14:13:24  profilanswer
 

bon tu me met le doute je vais tester de ce pas.

n°257369
sebounet
Posté le 02-05-2003 à 14:20:53  profilanswer
 

bon et bien après analyse de trame :
 
en effet squid fait la requete sur le port 80 et non 8080.
 
meme encore mieux : meme qd je met le proxy dans ie et bien squid va chercher sur le port 80.
 
bizarre

n°257376
ethernal
Chercheur de vérité...
Posté le 02-05-2003 à 14:23:47  profilanswer
 

ha bon ??
normalement si tu mets squid dans ie sans tes règles de redirection, ça doit passer je pense.
 
pas normal ça :(


---------------
...oups kernel error...
n°257382
sebounet
Posté le 02-05-2003 à 14:25:55  profilanswer
 

bah euh, comment on vire la redirection au fait lol
 
bon enfin c pas le pb j'ai juste redirigé le port 80 et 8080 vers 3128.
 
et qd je met le proxy ca va direct sur le 3128.
 
mais sinon bah ca passe pas mais peut etre que c le firewall de l'entreprise qui me bloque ( a priori j'ai un axx direct au net sur mon proxy mais bon, enfin c un sacré bordel c pas moi ki gère ca)

n°257405
HJ
Posté le 02-05-2003 à 14:43:28  profilanswer
 

Pour enlever la redirection, tu vides le PREROUTING
 
Je confirme, si le proxy squid est spécifié ds ie, un site sur un autre port que 80 ne marche pas.

n°257419
sebounet
Posté le 02-05-2003 à 14:56:47  profilanswer
 

c comment pour vider le prerouting ?
 
iptables PREROUTING -x ou un truc du genre ?

n°1038271
milouu
Posté le 29-04-2008 à 14:10:11  profilanswer
 

Pour vider les règles "nat" par exemple :
sudo iptables -t nat -F
sudo iptables -t nat -X
 
Sinon j'ai un petit problème avec Frox :
Sur mon client, je tente d'accéder à une page ftp mais je n'y parvient pas.
Dans les logs de Frox, j'ai l'erreur suivante :
S: 530 Please login with USER first
 
Il faut savoir que pour l'instant je fais mes tests en mettant en dur l'adresse et le port de mon proxy ftp dans le navigateur du client.
 
Voici mon fichier de conf de Frox :
# Configuration file for frox transparent ftp-proxy.
Listen 192.168.xxx.xxx
Port 2121
BindToDevice eth0
ResolvLoadHack wontresolve.doesntexist.abc
User frox
Group frox
WorkingDir /var/spool/frox
DontChroot Yes
LogLevel 25
LogFile /var/log/frox/frox-log
XferLogging no
PidFile /var/run/frox.pid
APConv yes
BounceDefend yes
AllowNonASCII yes
CacheModule http
HTTPProxy 192.168.xxx.xxx:3128
DoNTP yes
NTPAddress 192.168.xxx.xxx:2121
MaxForks 10
MaxForksPerHost 4
ACL Allow * - *
 
Merci pour vos réponses  :)


Message édité par milouu le 29-04-2008 à 14:12:44
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Squid comme proxy transparent FTP / edit : non supporté

 

Sujets relatifs
Le FTP avec du Linux... pourquoi ça marche po?Petite question sur Squid
firewall-nat / gShield et FTPUtilisation d'un proxy sous redhat8
httptunnel need aide avec proxy authproxy ssl perso
[DNS] zone reverse domaine - edit : ok c bonauthentification squid et active directory
Besoin d une Grosse aide sur Squidproxy avec authorisation par user nt
Plus de sujets relatifs à : Squid comme proxy transparent FTP / edit : non supporté


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR