Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[PROXY transparent] Iptables Redirection transparente
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
jaypeche
Apprentice
Apprentice


Joined: 13 Jun 2007
Posts: 161
Location: France

PostPosted: Thu Oct 08, 2009 5:12 am    Post subject: [PROXY transparent] Iptables Redirection transparente Reply with quote

Bonjour à tous,

J'ai quelques souçis pour rendre mon proxy HTTP(S) SQUID transparent vu du LAN. J'ai bien essayer de créer quelques regles iptables trouvées ça et la sur forums et wikis mais rien n'y fait.

Mon proxy a deux interfaces : ETH0 pour le Net && ETH1 pour le LAN
Il héberge également un serveur apache disponible sur les ports 80 && 443.

LAN en 192.168.133.x et NET en 192.168.77.x

Je ne tiens pas à utiliser le FULLNAT pour mon LAN mais au contraire SQUID, en gros rien ne passe entre LAN et NET, passage obligé par le proxy!
Et SQUID tourne sur l'interface LAN 192.168.133.xx:3128 et en configurant mes navigateurs pour utiliser celui-çi ca fonctionne impec d'ou mon souhait de creer qq regles iptables pour le rendre transparent vu du reseau. En gros que les clients 192.168.133.xx tente d'acceder a internet via le proxy sans avoir a configurer leurs navigateurs. Ou encore rediriger les requetes en HTTP (80) et HTTPS(443) sur mon proxy 192.168.133.27:3128

Une bonne âme pour m'apporter quelques précisions sur les regles iptables a utiliser ? :?

D'avance merçi :D
_________________
:-) Gentoo Linux Rullez !
Back to top
View user's profile Send private message
guilc
Bodhisattva
Bodhisattva


Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France

PostPosted: Thu Oct 08, 2009 7:01 am    Post subject: Reply with quote

Code:
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 443 -j REDIRECT --to-port 3128


Attention, windows, pour son windows update n'aime pas le proxy transparent (l'accès à windows update est très très lent). Je précise au cas ou tu ais un réseau hétérogène ;)
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing
Back to top
View user's profile Send private message
jaypeche
Apprentice
Apprentice


Joined: 13 Jun 2007
Posts: 161
Location: France

PostPosted: Thu Oct 08, 2009 2:13 pm    Post subject: Reply with quote

Merçi pour ton aide Guilc !

Ces règles iptables semble bien réaliser la redirection escomptée mais encore une fois rien n'y fait... je pense peut-être a un souçi avec ma config de squid...

Code:
## Hostname Config
visible_hostname proxy.arg.org

## Hostname HTTP port Config
http_port 192.168.133.27:3128 transparent

## FAI PROXY proxy.free.fr:3128
# cache_peer proxy.free.fr parent 3128 3130 default


De plus, il y a apparement un souçi avec les DNS en mode transparent, la resolution de nom n'aboutit pas, mais si j'attaque directement avec l'IP du site cible, cela fonctionne :

Code:
1255011781.110   1254 192.168.133.28 TCP_MISS/200 377735 GET http://207.44.152.197/vdr-sc-0.9.3.tar.gz - FIRST_PARENT_MISS/proxy.free.fr application/x-gzip
1255011829.533   1159 192.168.133.28 TCP_MISS/200 365717 GET http://207.44.152.197/vdr-sc-0.9.2.tar.gz - FIRST_PARENT_MISS/proxy.free.fr application/x-gzip


Idem sans utiliser de proxy parent (pour exclure le doute) :

Code:
1255012306.200     79 192.168.133.28 TCP_MISS/400 299 GET http://130.117.119.121/ - DIRECT/130.117.119.121 text/html


++

Code:
# iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 443 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 192.168.133.0/24 --dport 21 -j REDIRECT --to-port 3128
# emerge -v dnsmasq


Finalement, pour resoudre le probleme de resolution dns en mode transparent, j'ai choisi d'utiliser dnsmasq pour relayer les requetes dns a travers le pare-feu. Par contre les requetes en HTTPS et FTP en mode transparent n'aboutissent pas, alors qu'en configurant les navigateurs clients pour utiliser le proxy, HTTP HTTPS FTP fonctionnent.

En HTTPS mode transparent j'ai cette erreur :

Code:
SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

(Code d'erreur : ssl_error_rx_record_too_long)


Je pense peut-être à une règle iptables ip_conntrack_nat pour bien acheminer les requètes, mais sans aucune conviction, cela dépasse mes compétences...
_________________
:-) Gentoo Linux Rullez !


Last edited by jaypeche on Fri Oct 09, 2009 5:49 pm; edited 2 times in total
Back to top
View user's profile Send private message
jaypeche
Apprentice
Apprentice


Joined: 13 Jun 2007
Posts: 161
Location: France

PostPosted: Fri Oct 09, 2009 11:20 am    Post subject: Reply with quote

Si quelqu'un à une idée pour me permettre de faire avancer le "Schmilblick" !

:roll:
_________________
:-) Gentoo Linux Rullez !
Back to top
View user's profile Send private message
xaviermiller
Administrator
Administrator


Joined: 23 Jul 2004
Posts: 8070
Location: ~Brussels - Belgique

PostPosted: Fri Oct 09, 2009 12:05 pm    Post subject: Reply with quote

T'inquiète, ça va arriver ;)
(on n'est pas un support technique avec réponses dans l'heure, il faut patienter, et attendre que les gens compétents dans ton domaine passent :))
_________________
Kind regards,
Xavier Miller
Back to top
View user's profile Send private message
jaypeche
Apprentice
Apprentice


Joined: 13 Jun 2007
Posts: 161
Location: France

PostPosted: Fri Oct 09, 2009 4:58 pm    Post subject: Reply with quote

XavierMiller wrote:
T'inquiète, ça va arriver ;)
(on n'est pas un support technique avec réponses dans l'heure, il faut patienter, et attendre que les gens compétents dans ton domaine passent :))


Salut Xavier,

Loin de moi l'idée de considerer le forums Gentoo comme un SAV ! Je tente simplement de mieux comprendre le fonctionnement de Linux ...
D'ailleurs mes retours d'experiences serviront à d'autres, et viendront enrichir la base de donnée du forum, c'est en tout cas ce que j'éspère !

Cordialement.
_________________
:-) Gentoo Linux Rullez !


Last edited by jaypeche on Fri Oct 09, 2009 6:03 pm; edited 1 time in total
Back to top
View user's profile Send private message
xaviermiller
Administrator
Administrator


Joined: 23 Jul 2004
Posts: 8070
Location: ~Brussels - Belgique

PostPosted: Fri Oct 09, 2009 5:49 pm    Post subject: Reply with quote

Pas de souci (et hop, un "up" caché ;))
_________________
Kind regards,
Xavier Miller
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Aug 17, 2010 12:35 pm    Post subject: Reply with quote

Même soucis à l'instant même. Suis tombé ici sur google. Je re-up le sujet au cas où et promis je donne une reponse si je trouve :wink:
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Aug 17, 2010 2:32 pm    Post subject: Reply with quote

Histoire que la prochaine personne perde pas de temps inutilement.
Il n'est pas possible de faire de l'https via proxy transparent.

Ici une reponse claire sur l'impossibilité de le faire : http://www.mail-archive.com/linux-nantes@listes.univ-nantes.fr/msg07321.html
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum