Re: Comment restreindre les flux réseau via un proxy ?
Bonjour, J'essaye de suivre vos conseils, mais, pour l'instant, j'ai un peu de mal ;-) Sans rentrer dans les détails, je souhaiterais faire passer une client MSN par un proxy. Sachant que ce client ne sait pas le faire tout seul, si j'ai bien suivi vos explications, il faudrait que je fasse du proxy transparent. Alors, pour commencer, il y a une première connexion sur le port 1863. Si le port de mon proxy est , je devrais écrire une règle du genre : REGLE iptables -t nat -A PREROUTING -p tcp --dport 1863 -j REDIRECT --to-ports /REGLE Ca vous semble convenable ? Je pose la question car ça n'a pas trop l'air de fonctionner ;-) Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un proxy ?
Salut, Franck Joncourt a écrit : Tu peux omettre --syn vu que la table nat ne vois passer que les paquets créant __les nouvelles connexions__. Les chaînes de la table nat ne voient passer que les paquets créant une nouvelle connexion, mais au sens du suivi de connexion de Netfilter (conntrack), qui n'a pas les mêmes critères que la pile TCP/IP. Selon la version du noyau et la valeur de certains paramètres du noyau, un paquet TCP non SYN peut très bien créer une nouvelle connexion au sens du suivi de connexion de Netfilter. En gros avec : - un noyau antérieur à 2.6.9 (sans suivi des numéros de séquence TCP) - ou avec /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal=1 - ou avec /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal=1 n'importe quel segment TCP peut créer une nouvelle connexion. iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 Et la je pencherais pour le tout dans la même règle. iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody - -j REDIRECT --to-port 8080 Il ne manquerait pas un ! quelque part pour inverser la condition owner ? Une petite observation sur l'utilisation transparente d'un proxy : cela ne fonctionne évidemment que pour les protocoles applicatifs que le proxy comprend. Je crains qu'un proxy HTTP comme tinyproxy ne comprenne que HTTP, en aucun cas le protocole MSN Messenger. Par contre un client MSN Messenger peut être configuré pour utiliser explicitement un proxy HTTP. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un proxy ?
Le lundi 16 juin 2008, David BERCOT a écrit : Bonjour, Pour faire certains tests, j'aimerais restreindre tous mes flux réseau par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si vous avez une autre idée similaire, je serais aussi preneur ;-) Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel j'installe Tinyproxy, logiquement, seules les applications prévues pour utiliser un proxy et configurées pour le faire devraient passer par lui. Savez-vous s'il serait possible de TOUT faire passer par cet unique intermédiaire ? Si tu mets en place un VPN (i.e openvpn), il te suffit alors de faire router ton traffic réseau via le serveur VPN qui sera ton point de sortie. -- Nicolas S. aka moSaN signature.asc Description: This is a digitally signed message part.
Re: Comment restreindre les flux réseau via un proxy ?
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST Bonjour, ’soir, Pour faire certains tests, j'aimerais restreindre tous mes flux réseau par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si vous avez une autre idée similaire, je serais aussi preneur ;-) Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel j'installe Tinyproxy, logiquement, seules les applications prévues pour utiliser un proxy et configurées pour le faire devraient passer par lui. Savez-vous s'il serait possible de TOUT faire passer par cet unique intermédiaire ? Ça s’appelle un proxy transparent. Il suffit de rediriger tout ce qui doit passer par le 80 vers le proxy. : iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128 Sauf que là, ça ne marchera pas : en général, un proxy transparent n’est pas sur la machine d’où sont issues les requêtes. Or les requêtes locales ne passent pas par PREROUTING, seulement par OUTPUT. Donc : iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 La seconde règle fait la redirection de tout ce qui sort. La première règle permet de faire passer les requêtes qui viennent des applications lancées par nobody (ce qui était le cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy doit pouvoir sortir, lui). man iptables -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un proxy ?
Merci. J'étudie ça... à tête reposée ;-) David. Le Mon, 16 Jun 2008 21:44:11 +0200, Sylvain Sauvage [EMAIL PROTECTED] a écrit : David BERCOT, lundi 16 juin 2008, 20:47:11 CEST Bonjour, ’soir, Pour faire certains tests, j'aimerais restreindre tous mes flux réseau par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si vous avez une autre idée similaire, je serais aussi preneur ;-) Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel j'installe Tinyproxy, logiquement, seules les applications prévues pour utiliser un proxy et configurées pour le faire devraient passer par lui. Savez-vous s'il serait possible de TOUT faire passer par cet unique intermédiaire ? Ça s’appelle un proxy transparent. Il suffit de rediriger tout ce qui doit passer par le 80 vers le proxy. : iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128 Sauf que là, ça ne marchera pas : en général, un proxy transparent n’est pas sur la machine d’où sont issues les requêtes. Or les requêtes locales ne passent pas par PREROUTING, seulement par OUTPUT. Donc : iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 La seconde règle fait la redirection de tout ce qui sort. La première règle permet de faire passer les requêtes qui viennent des applications lancées par nobody (ce qui était le cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy doit pouvoir sortir, lui). man iptables -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un proxy ?
Franck Joncourt, lundi 16 juin 2008, 22:46:35 CEST […] iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128 Tu peux omettre --syn vu que la table nat ne vois passer que les paquets créant __les nouvelles connexions__. Oui, ça doit être un méchant bout de copier-coller. […] Et la je pencherais pour le tout dans la même règle. iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody - -j REDIRECT --to-port 8080 vu que le ACCEPT, je pense, à plus sa place dans la table filter. Mmm, donc le « - » servirait à inverser la condition ? Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour la négation et elle n’est pas indiquée pour owner. En tout cas, si c’est ça, je trouve le « - » facilement ratable. Sinon, je ne vois pas trop… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comment restreindre les flux réseau via un proxy ?
Franck Joncourt, mardi 17 juin 2008, 00:51:58 CEST [...] Mmm, donc le « - » servirait à inverser la condition ? Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour la négation et elle n’est pas indiquée pour owner. En tout cas, si c’est ça, je trouve le « - » facilement ratable. Sinon, je ne vois pas trop… C'est toi qui l'a rajouté ? On dirait une coupure de ligne :p! Non, non, c’est ta faute, la preuve en archive : http://lists.debian.org/debian-user-french/2008/06/msg00390.html Il n’est pas dans mon texte, juste dans le tien. Peut-être un ou deux ^H oubliés quand tu as fondu les deux règles… [code] iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody - -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080 [/code] Oups. Je ne sais pas pourquoi j'ai imaginé que l'on continuait après le ACCEPT. Ca sent le manque de pratique, va falloir s'y remettre sérieusement :) Ou alors trop d’autres pratiques (et glou et glou…) ;oP -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]