Re: Comment restreindre les flux réseau via un p roxy ?
David BERCOT wrote: Bonjour, Pour faire certains tests, j'aimerais restreindre tous mes flux réseau par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si vous avez une autre idée similaire, je serais aussi preneur ;-) Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel j'installe Tinyproxy, logiquement, seules les applications prévues pour utiliser un proxy et configurées pour le faire devraient passer par lui. Savez-vous s'il serait possible de TOUT faire passer par cet unique intermédiaire ? "c'est quoi TOUT"? il sait faire du dns, du ssh, du rtsp, du p2p, ... ? si c'est le cas, je me demande pourquoi certains s'emmerdent à coder un stack IP si un petit proxy peut tout faire :) plus sérieusement, tu dois configurer ton firewall (iptables si t'es en coupure...) pour refuser ce qui n'est pas autorisé. mais bon, c'est pas toujours simple... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un p roxy ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sylvain Sauvage wrote: > David BERCOT, lundi 16 juin 2008, 20:47:11 CEST > ’soir, Bonsoir, [...] > Ça s’appelle un proxy transparent. > Il suffit de rediriger tout ce qui doit passer par le 80 vers > le proxy. : > > iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port > 3128 Tu peux omettre --syn vu que la table nat ne vois passer que les paquets créant __les nouvelles connexions__. > Sauf que là, ça ne marchera pas : en général, un proxy > transparent n’est pas sur la machine d’où sont issues les > requêtes. Or les requêtes locales ne passent pas par PREROUTING, > seulement par OUTPUT. Donc : > > iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j > ACCEPT > iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 Et la je pencherais pour le tout dans la même règle. iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody - -j REDIRECT --to-port 8080 vu que le ACCEPT, je pense, à plus sa place dans la table filter. - -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkhW0SsACgkQxJBTTnXAif4TlQCcDjZdlMnRcih3XbeHcZ3U07Tw IfEAn1arrXlaT0pKsql8kqIeGGp9pIQG =mpz6 -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un p roxy ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sylvain Sauvage wrote: > Franck Joncourt, lundi 16 juin 2008, 22:46:35 CEST [...] >> iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner >> --uid-owner nobody - -j REDIRECT --to-port 8080 >> >> vu que le ACCEPT, je pense, à plus sa place dans la table >> filter. > > Mmm, donc le « - » servirait à inverser la condition ? > Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour > la négation et elle n’est pas indiquée pour owner. > En tout cas, si c’est ça, je trouve le « - » facilement > ratable. Sinon, je ne vois pas trop… C'est toi qui l'a rajouté ? On dirait une coupure de ligne :p! [code] iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody - -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 [/code] Oups. Je ne sais pas pourquoi j'ai imaginé que l'on continuait après le ACCEPT. Ca sent le manque de pratique, va falloir s'y remettre sérieusement :) - -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkhW7o4ACgkQxJBTTnXAif79lwCeNkheG5xyDSU3q0KVlupi7MYR 4SQAoKiflgfu4tfnQXm9mLEiHZ27Psmp =1ceo -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un p roxy ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sylvain Sauvage wrote: > Franck Joncourt, mardi 17 juin 2008, 00:51:58 CEST [...] > > Non, non, c’est ta faute, la preuve en archive : > http://lists.debian.org/debian-user-french/2008/06/msg00390.html > Il n’est pas dans mon texte, juste dans le tien. > Peut-être un ou deux ^H oubliés quand tu as fondu les deux > règles… En effet. C'est étrange quand je regarde le message envoyé (dossier Sent de icedove), il est correctement formaté. Dans tous les cas la faute est là. [...] >> Ca sent le manque de pratique, va falloir s'y remettre >> sérieusement :) > > Ou alors trop d’autres pratiques (et glou et glou…) ;oP ? - -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkhX8JAACgkQxJBTTnXAif73qQCgljEbQ2GrHG3FTKMB4gp51DHs fa0AoNH5oG1MBDr1Wy4ax41hqcvCLBtm =mnst -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
