Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Matériel Réseaux et Internet IP Proxy et pont transparent

Proxy et pont transparent

9 réponses
Avatar
J.
Hello,
Petite question... Cela vous semble-t-il possible d'utiliser un proxy
http sur la même machine qu'un pont filtrant ?
J'ai un pf configuré en bridge (sans 3ème carte réseau) et je
souhaiterai filtrer quelques requêtes http (filtrage sur le nom des
serveurs dans les urls eg: *.akamai.com) avec squid par exemple.

Merci
J.
Signaler un problème avec ce contenu

9 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
T0t0
"J." wrote in message
news:cp9hpo$cqr$
Petite question... Cela vous semble-t-il possible d'utiliser un proxy
http sur la même machine qu'un pont filtrant ?
J'ai un pf configuré en bridge (sans 3ème carte réseau) et je
souhaiterai filtrer quelques requêtes http (filtrage sur le nom des
serveurs dans les urls eg: *.akamai.com) avec squid par exemple.


Oui, tu peux faire cela en tant que proxy transparent, par contre,
pourquoi filtrer akamaï ?


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Avatar
J.
"J." wrote in message
news:cp9hpo$cqr$

Petite question... Cela vous semble-t-il possible d'utiliser un proxy
http sur la même machine qu'un pont filtrant ?
J'ai un pf configuré en bridge (sans 3ème carte réseau) et je
souhaiterai filtrer quelques requêtes http (filtrage sur le nom des
serveurs dans les urls eg: *.akamai.com) avec squid par exemple.



Oui, tu peux faire cela en tant que proxy transparent, par contre,
pourquoi filtrer akamaï ?


Je ne veux pas filtrer akamaï, mais au contraire ne laisser l'accès qu'à
un seul site qui utilise des services akamaï (il s'agit de machine de
présentation/accès libre).

Pour le pont filtrant, le petit point qui me dérange, c'est comment le
proxy pourra 'ré-émettre' la requête alors que le pont filtrant ne
possède pas d'adresse ip (en dehors de localhost bien sur)

J.


Avatar
T0t0
"J." wrote in message
news:cp9ja1$d5i$
Pour le pont filtrant, le petit point qui me dérange, c'est comment le
proxy pourra 'ré-émettre' la requête alors que le pont filtrant ne
possède pas d'adresse ip (en dehors de localhost bien sur)


Arf, effectivement, c'est plus gênant comme ça.
A première vue, j'ai pas trop d'idées :-(


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Avatar
Pascal
Salut,

T0t0 wrote:
"J." wrote in message
news:cp9ja1$d5i$

Pour le pont filtrant, le petit point qui me dérange, c'est comment le
proxy pourra 'ré-émettre' la requête alors que le pont filtrant ne
possède pas d'adresse ip (en dehors de localhost bien sur)


Arf, effectivement, c'est plus gênant comme ça.
A première vue, j'ai pas trop d'idées :-(


Question naïve : qu'est-ce qui empêche de monter la pile IP et une
adresse IP sur une interface d'un pont filtrant ?
Après tout, certains switches ethernet et modems ADSL en ont une pour
leur configuration, et fonctionnellement ils sont équivalents à des ponts.


Avatar
Cedric Blancher
Le Thu, 09 Dec 2004 20:23:09 +0100, a écrit :
Question naïve : qu'est-ce qui empêche de monter la pile IP et une
adresse IP sur une interface d'un pont filtrant ?


De toute manière, ce n'est pas parce qu'il n'a pas d'IP sur le réseau
qu'il bridge qu'il n'en a pas une, ailleurs, sur un autre réseau, par
lequel il pourra émettre ses requêtes.


--
Notre devoir, pour leur bien et pour le bien de Linux, est de te
flinguer avant que tu ne les sacrifies (fût-ce avec les meilleures
intentions du monde).
-+- TP In: Guide du linuxien pervers : "De la pédagogie par l'Exemple"


Avatar
H
"J." wrote in message
news:cp9ja1$d5i$
"J." wrote in message
news:cp9hpo$cqr$

Petite question... Cela vous semble-t-il possible d'utiliser un proxy
http sur la même machine qu'un pont filtrant ?
J'ai un pf configuré en bridge (sans 3ème carte réseau) et je souhaiterai
filtrer quelques requêtes http (filtrage sur le nom des serveurs dans les
urls eg: *.akamai.com) avec squid par exemple.



Oui, tu peux faire cela en tant que proxy transparent, par contre,
pourquoi filtrer akamaï ?


Je ne veux pas filtrer akamaï, mais au contraire ne laisser l'accès qu'à
un seul site qui utilise des services akamaï (il s'agit de machine de
présentation/accès libre).

Pour le pont filtrant, le petit point qui me dérange, c'est comment le
proxy pourra 'ré-émettre' la requête alors que le pont filtrant ne possède
pas d'adresse ip (en dehors de localhost bien sur)

J.


Soit tu mets un proxy sur une autre machine (solution la plus souple), soit
tu bloques les paquets en fonction de l'adresse ip sur ton pont (n'ayant pas
d'adresse ip, il ne pourrait resoudre les adresses). Dans ce dernier cas, tu
va filtrer / autoriser toutes la plage d'adresse d'akamai et tu vas
autoriser que le serveur que tu veux aller voir:
$akamai3.108.153.0/24
block in all on $extif
pass in quick on $extif proto tcp from $privateIP to $akamai port 80 flags
S/SA modulate state
pass in quick on $extif proto tcp from $privateIP to $LeSite port 80 flags
S/SA modulate state

ou un truc du genre et aux erreurs de syntaxe prêt :)
C'est pas très souple: l'adresse du réseau akamai est en "dur" dans ton
pf.conf et ça ouvre tous ce réseau mais d'un autre coté, si tu n'autorise
que le site que tu veux aller voir, tu limites de facto les acces aux
serveurs akamai (sauf en connaissant directement les url à acceder).

:)



Avatar
Pierre LALET
wrote:
Question naïve : qu'est-ce qui empêche de monter la pile IP et une
adresse IP sur une interface d'un pont filtrant ?


Rien ;-)

Après tout, certains switches ethernet et modems ADSL en ont une pour
leur configuration, et fonctionnellement ils sont équivalents à des ponts.


Exactement.

pierre

--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project

Avatar
Dominique Blas
J. wrote:

"J." wrote in message
news:cp9hpo$cqr$

Petite question... Cela vous semble-t-il possible d'utiliser un proxy
http sur la même machine qu'un pont filtrant ?
J'ai un pf configuré en bridge (sans 3ème carte réseau) et je
souhaiterai filtrer quelques requêtes http (filtrage sur le nom des
serveurs dans les urls eg: *.akamai.com) avec squid par exemple.



Oui, tu peux faire cela en tant que proxy transparent, par contre,
pourquoi filtrer akamaï ?


Je ne veux pas filtrer akamaï, mais au contraire ne laisser l'accès qu'à
un seul site qui utilise des services akamaï (il s'agit de machine de
présentation/accès libre).

Pour le pont filtrant, le petit point qui me dérange, c'est comment le
proxy pourra 'ré-émettre' la requête alors que le pont filtrant ne
possède pas d'adresse ip (en dehors de localhost bien sur)
C'est la fonction passthrough de certains firewalls plus porxy que filtre de

paquets et c'est ce à quoi sert (entre autres) l'option --queue d'iptables
sous Linux.

Sous Linux donc, le pb se pose en fait en terme d'ebtables.
C'est ainsi que je j'injecte les flux de manière transparente dans des
tunnels VPN ou directement sur Internet sur des serveurs d'accès ADSL.
Pour en revenir au proxy, il suffit de lister les adresses source et/ou
destination dans une ou plusieurs règles ebtables et de rediriger les flux
vers l'adresse du pont port 8080 par exemple en cas d'égalité.

Quand je parle d'adresse de pont il ne s'agit pas d'adresse attribuée à
l'une ou l'autre des interfaces mais bel et bien l'adresse du pont
(interface br0 par exemple).


db

J.


--
email : usenet blas net



Avatar
J.

Question naïve : qu'est-ce qui empêche de monter la pile IP et une
adresse IP sur une interface d'un pont filtrant ?
Après tout, certains switches ethernet et modems ADSL en ont une pour
leur configuration, et fonctionnellement ils sont équivalents à des ponts.


C'est exactement ce que j'ai mis en place hier soir.
Et cela fonctionne très bien :)

J.