SME Squid Auth : (Iptables)

8 posts / 0 new
Dernière contribution
MasterSleepy
SME Squid Auth : (Iptables)

Bonjours tout le monde :

Aprés avoir suivie le Howto pour l'authentification avec Squid sur ma SME 7.2
j4aurais quelque questions en plus :

- Je cherche a bloquer l access direct a internet sans passer par le proxy ( j'ai vue plusieur regle Iptable sur different forum comme Ixus mais aucun n'a marché) peu etre que je mis prend mal aussi .

- Et aussi je cherche a mettre en place une plage d adresse Ip qui ne passerai pas par le proxy ( je pence aussi le faire avec une regle Iptables si c'est possible ).

Pour resumer je cherche a obliger une plage d addresse Ip a passer par le proxy ( exemple ce fournie par le DHCP et une autre plage en Ip fixe qui ne passerai pas par le proxy .

Merci de votre aide . Smile

Migration writed for fox

MasterSleepy
SME Squid Auth : (Iptables)

Salut,

Je pense qu'il faudrait modifier la régle qui fais que le proxy soit transparent.
Dans le template /etc/e-smith/templates/etc/rc.d/init.d/masq/90adjustTransProxy

{
# Update any rules which may have changed, meaning
# - $ExternalIP
# - enabled/disabled
# - Transproxy port (unlikely)
my $rule = 3;
if (defined $ExternalIP)
{
# Accept any accesses to the ExternalIP directly
$OUT .= " /sbin/iptables --table nat \\\n";
$OUT .= "\t--replace TransProxy $rule\\\n";
$OUT .= "\t--destination \$OUTERNET --jump ACCEPT\n";
$rule++;
}
my $transproxy = $squid{Transparent} || "yes";
my $status = $squid{status} || "disabled";
if ($transproxy eq "yes" && $status eq "enabled")
{
my $proxyport = $squid{TransparentPort} || "3128";

# Otherwise, divert port 80 traffic through our proxy
$OUT .= " /sbin/iptables --table nat --replace TransProxy $rule\\\n";
$OUT .= "\t-p TCP -j DNAT --to $LocalIP:$proxyport\n";
}
else
{
# Or just let it go unhindered
$OUT .= " /sbin/iptables --table nat --replace TransProxy $rule\\\n";
$OUT .= "\t--jump ACCEPT\n";
}
}


Il faudrait modifier la ligne

$OUT .= "\t-p TCP -j DNAT --to $LocalIP:$proxyport\n";



pour prendre en compte l'adresse de départ.

Je suis pas une super bête en iptables mais je dirais bien

$OUT .= "\t-p TCP --source 192.168.1.0/24 -j DNAT --to $LocalIP:$proxyport\n";



Bien sur, il faut faire ça dans un template custom pour éviter de tout casser et il faut bien sur changer l'adresse IP.

A+,
MasterSleepy.

Migration writed for MasterSleepy

MasterSleepy
SME Squid Auth : (Iptables)

Salut tout le monde ,

Voila j ai suivie ta demarche pour le faire donc j ai bien crée une template custom ,

mkdir /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
cp /etc/e-smith/templates/etc/rc.d/init.d/masq/90adjustTransProxy /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/90adjustTransProxy

J'ai bien edité le fichier

expand-template /etc/rc.d/init.d/masq

Reboot du Serveur et je ne pence pas que ca ai marché , les clients peuvent toujours acceder au net en passant directement .

Si j'ai bien compris en modifiant cette ligne , ca fait que iptable route directement toute les ip cité du port 80 au 3128 ??

Merci

Migration writed for fox

MasterSleepy
SME Squid Auth : (Iptables)

Salut,

Normalement pas besoin de rebooter le serveur
[code=bash]service masq restart[/code]
suffira.

Pour le problème, je pense que je me suis trompé de fichier à modifier.
Il faudrait plutôt faire la modif dans le fichier 35transproxy
Car c'est lui qui initialise la règle du proxytransparent.
La ligne à changer est

$OUT .= " /sbin/iptables --table nat --append PREROUTING\\\n";
$OUT .= "\t-p tcp --dport 80 -j TransProxy\n";



Et faire la même modif que précédemment.
Il faut supprimer la modif précédente bien sur Wink

A+,
MasterSleepy.

Migration writed for MasterSleepy

MasterSleepy
SME Squid Auth : (Iptables)

Salut

J ai bien crée une regle dans le 35transproxy mais j arrive toujours a acceder a internet en configurant mon navigateur en connexion direct .
Par contre j ai essayé de mettre dans mon navigateur le proxy en manuel mais avec le port 80 et la ca marche j ai mon authentification , donc pour moi la regle serait bonne.
Donc ca ne viendrai peu etre pas de iptables mais du proxy en lui meme.
En faite pour mieu t expliquer ma situation , je suis dans une ecole et je voudrai authentifier les stagiaires qui ce connecte (donc il ne sont pas dans un domaine et on ne peu pas leur mettre des restrictions ).
Mais j ai vue sur plusieure site que l authentification n est pas possible avec un proxy transparant ??

Merci de vos reponces .

Migration writed for fox

MasterSleepy
SME Squid Auth : (Iptables)

Salut,

Je pense que l'authentification n'est pas compatible avec le proxy transparent.
Le mieux est de coupé l'accès complet au net pour tout le monde, sauf pour les machine qui doivent passer par le proxy, mais pour ces machines là il faudra configurer le naviguateur avec le bon paramètres.

Je vais voir pour faire une procédure complète.

A+,
MasterSleepY.

Migration writed for MasterSleepy

MasterSleepy
SME Squid Auth : (Iptables)

Salut

Oui on ne peu authentifier avec squid en transparent, mais le probleme c'est que je ne peu pas configurer leur navigateur comme ce sont des stagiaires qui change toute les semaines :-O
Donc je pence que je vais oublier l authentification par proxy , je vais me diriger vers un portail captif ( chillispot ) mais es qu il marche en reseau cablé ou si vous avez d autre solutions ??

Merci a+

Migration writed for fox

MasterSleepy
SME Squid Auth : (Iptables)

Salut,

Je ne pourrais t'aider sur ce point car je ne connais pas du tout se genre de soft.

Désolé,
A+,
MasterSleepy.

Migration writed for MasterSleepy

Connectez-vous ou inscrivez-vous pour publier un commentaire