Bonjour
Toujurs à la découverte des proxies, je me demandait un truc à leur sujet.
J'explique d'abord le contexte.
J'ai les logiciels Gaim (pour du instant messenging), Thunderbird et le
client ssh de OpenSSH, le tout sous Linux.
Je dois passer par un proxy http transparent pour acceder à ces services.
Si j'ai bien compris comment fonctionne le réseau, pour "laisser passer"
quoi que ce soit, le proxy doit d'abord croire que c'est du traffic http.
C'est ça?
Si je tente une connexion directe avec Gaim, par exemple, je me fais
filtrer. Par contre, si je specifie un proxy http (et le port) dans les
réglages de Gaim, j'arrive à me connecter aux serveur de mesagerie que
j'utilise. Est ce que ça veut dire qu'il "encapsule" les paquets dans du
http pour leur permettre de passer le proxy?
Bonjour
Toujurs à la découverte des proxies, je me demandait un truc à leur sujet.
J'explique d'abord le contexte.
J'ai les logiciels Gaim (pour du instant messenging), Thunderbird et le
client ssh de OpenSSH, le tout sous Linux.
Je dois passer par un proxy http transparent pour acceder à ces services.
Si j'ai bien compris comment fonctionne le réseau, pour "laisser passer"
quoi que ce soit, le proxy doit d'abord croire que c'est du traffic http.
C'est ça?
Si je tente une connexion directe avec Gaim, par exemple, je me fais
filtrer. Par contre, si je specifie un proxy http (et le port) dans les
réglages de Gaim, j'arrive à me connecter aux serveur de mesagerie que
j'utilise. Est ce que ça veut dire qu'il "encapsule" les paquets dans du
http pour leur permettre de passer le proxy?
Bonjour
Toujurs à la découverte des proxies, je me demandait un truc à leur sujet.
J'explique d'abord le contexte.
J'ai les logiciels Gaim (pour du instant messenging), Thunderbird et le
client ssh de OpenSSH, le tout sous Linux.
Je dois passer par un proxy http transparent pour acceder à ces services.
Si j'ai bien compris comment fonctionne le réseau, pour "laisser passer"
quoi que ce soit, le proxy doit d'abord croire que c'est du traffic http.
C'est ça?
Si je tente une connexion directe avec Gaim, par exemple, je me fais
filtrer. Par contre, si je specifie un proxy http (et le port) dans les
réglages de Gaim, j'arrive à me connecter aux serveur de mesagerie que
j'utilise. Est ce que ça veut dire qu'il "encapsule" les paquets dans du
http pour leur permettre de passer le proxy?
Toujurs à la découverte des proxies, je me demandait un truc à leur
sujet. J'explique d'abord le contexte. J'ai les logiciels Gaim (pour du
instant messenging), Thunderbird et le client ssh de OpenSSH, le tout
sous Linux. Je dois passer par un proxy http transparent pour acceder à
ces services.
IPtables ou squid ?
Si j'ai bien compris comment fonctionne le réseau, pour "laisser
passer" quoi que ce soit, le proxy doit d'abord croire que c'est du
traffic http. C'est ça?
Un proxy 'basique' n'analyse pas au niveau tcp les trames qu'il reçoit.
Basiquement, s'il écoute sur le port 8080 et qu'il relaie ce qu'il y
reçoit, il le fait, et c'est tout, sans faire la distinction entre du
http, du https ou ... du ssh.
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
Toujurs à la découverte des proxies, je me demandait un truc à leur
sujet. J'explique d'abord le contexte. J'ai les logiciels Gaim (pour du
instant messenging), Thunderbird et le client ssh de OpenSSH, le tout
sous Linux. Je dois passer par un proxy http transparent pour acceder à
ces services.
IPtables ou squid ?
Si j'ai bien compris comment fonctionne le réseau, pour "laisser
passer" quoi que ce soit, le proxy doit d'abord croire que c'est du
traffic http. C'est ça?
Un proxy 'basique' n'analyse pas au niveau tcp les trames qu'il reçoit.
Basiquement, s'il écoute sur le port 8080 et qu'il relaie ce qu'il y
reçoit, il le fait, et c'est tout, sans faire la distinction entre du
http, du https ou ... du ssh.
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
Toujurs à la découverte des proxies, je me demandait un truc à leur
sujet. J'explique d'abord le contexte. J'ai les logiciels Gaim (pour du
instant messenging), Thunderbird et le client ssh de OpenSSH, le tout
sous Linux. Je dois passer par un proxy http transparent pour acceder à
ces services.
IPtables ou squid ?
Si j'ai bien compris comment fonctionne le réseau, pour "laisser
passer" quoi que ce soit, le proxy doit d'abord croire que c'est du
traffic http. C'est ça?
Un proxy 'basique' n'analyse pas au niveau tcp les trames qu'il reçoit.
Basiquement, s'il écoute sur le port 8080 et qu'il relaie ce qu'il y
reçoit, il le fait, et c'est tout, sans faire la distinction entre du
http, du https ou ... du ssh.
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
IPtables ou squid ?
Le Proxy est un Squid.
Mais sur la patte LAN de la machine qui fait proxy, il y a un iptables qui
redirige toutes les requetes à destination du port 80 vers le 3128 du
Squid (sur la même machine).
Ok. Mais donc, je viens de comprendre une chose:
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
Gaim est un client multi réseau que j'utilise sous Linux pour chatter avec
des correspondants sur MSN && Yahoo && Jabber.
Les serveur auxquels il se connecte sont ceux qui gèrent ces différents
réseaux de chat...
IPtables ou squid ?
Le Proxy est un Squid.
Mais sur la patte LAN de la machine qui fait proxy, il y a un iptables qui
redirige toutes les requetes à destination du port 80 vers le 3128 du
Squid (sur la même machine).
Ok. Mais donc, je viens de comprendre une chose:
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
Gaim est un client multi réseau que j'utilise sous Linux pour chatter avec
des correspondants sur MSN && Yahoo && Jabber.
Les serveur auxquels il se connecte sont ceux qui gèrent ces différents
réseaux de chat...
IPtables ou squid ?
Le Proxy est un Squid.
Mais sur la patte LAN de la machine qui fait proxy, il y a un iptables qui
redirige toutes les requetes à destination du port 80 vers le 3128 du
Squid (sur la même machine).
Ok. Mais donc, je viens de comprendre une chose:
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
/me n'utilise pas Gaim ... quels ports écoutent sur les serveurs Gaim ?
80 ? 443 ?
Gaim est un client multi réseau que j'utilise sous Linux pour chatter avec
des correspondants sur MSN && Yahoo && Jabber.
Les serveur auxquels il se connecte sont ceux qui gèrent ces différents
réseaux de chat...
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire. Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
C'est ça?
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire. Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
C'est ça?
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet utilisé
pour dialoguer contenait (en gros) l'adresse et le port de la machine
emettrice, et l'adresse et le port du destinataire. Manifestement, on peut
rajouter, sans encapsuler quoi que ce soit, l'adresse et le port d'une
machine "intermédiaire".
C'est ça?
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste lu.
Ce petit bout parvient donc à la machine destinataire ou pas?
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet
utilisé pour dialoguer contenait (en gros) l'adresse et le port de
la machine emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut rajouter, sans encapsuler quoi que ce soit,
l'adresse et le port d'une machine "intermédiaire".
C'est ça?
Non.
Quand un client utilise un proxy pour contacter un serveur, le
destinataire de l'information envoyée par le client est le proxy, qui
lui fait une nouvelle connexion dont l'émetteur est le proxy et le
destinataire le serveur.
Sauf en présence d'un proxy transparent (mais c'est mal en général),
qui récupère tout le trafic quel que soit l'adresse de destinataire
spécifiée par le client.Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste
lu. Ce petit bout parvient donc à la machine destinataire ou pas?
Je pense qu'il faudrait se replonger dans la pile TCP/IP et
comprendre que des informations différentes se trouvent dans des
couches différentes et ont des rôles différents.
Dans le cas de HTTP, qui est le plus simple, au niveau IP/TCP
l'échange est entre le client et le proxy, et au niveau HTTP
(au-dessus d'IP donc), le client indique l'URL finale (celle sur le
serveur) au proxy.
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet
utilisé pour dialoguer contenait (en gros) l'adresse et le port de
la machine emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut rajouter, sans encapsuler quoi que ce soit,
l'adresse et le port d'une machine "intermédiaire".
C'est ça?
Non.
Quand un client utilise un proxy pour contacter un serveur, le
destinataire de l'information envoyée par le client est le proxy, qui
lui fait une nouvelle connexion dont l'émetteur est le proxy et le
destinataire le serveur.
Sauf en présence d'un proxy transparent (mais c'est mal en général),
qui récupère tout le trafic quel que soit l'adresse de destinataire
spécifiée par le client.
Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste
lu. Ce petit bout parvient donc à la machine destinataire ou pas?
Je pense qu'il faudrait se replonger dans la pile TCP/IP et
comprendre que des informations différentes se trouvent dans des
couches différentes et ont des rôles différents.
Dans le cas de HTTP, qui est le plus simple, au niveau IP/TCP
l'échange est entre le client et le proxy, et au niveau HTTP
(au-dessus d'IP donc), le client indique l'URL finale (celle sur le
serveur) au proxy.
En réseau, j'ai toujours cru que quand une machine (appellons-la
"client") voulait "dialoguer" avec une autre (serveur), le paquet
utilisé pour dialoguer contenait (en gros) l'adresse et le port de
la machine emettrice, et l'adresse et le port du destinataire.
Manifestement, on peut rajouter, sans encapsuler quoi que ce soit,
l'adresse et le port d'une machine "intermédiaire".
C'est ça?
Non.
Quand un client utilise un proxy pour contacter un serveur, le
destinataire de l'information envoyée par le client est le proxy, qui
lui fait une nouvelle connexion dont l'émetteur est le proxy et le
destinataire le serveur.
Sauf en présence d'un proxy transparent (mais c'est mal en général),
qui récupère tout le trafic quel que soit l'adresse de destinataire
spécifiée par le client.Ce petit bout rajouté n'est pas manipulé par le proxy, il est juste
lu. Ce petit bout parvient donc à la machine destinataire ou pas?
Je pense qu'il faudrait se replonger dans la pile TCP/IP et
comprendre que des informations différentes se trouvent dans des
couches différentes et ont des rôles différents.
Dans le cas de HTTP, qui est le plus simple, au niveau IP/TCP
l'échange est entre le client et le proxy, et au niveau HTTP
(au-dessus d'IP donc), le client indique l'URL finale (celle sur le
serveur) au proxy.
Sauf en présence d'un proxy transparent (mais c'est mal en général),
Sauf en présence d'un proxy transparent (mais c'est mal en général),
Sauf en présence d'un proxy transparent (mais c'est mal en général),
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:
Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:
Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
On Sun, 25 Sep 2005 11:55:26 +0200, Patrick Mevzek wrote:Sauf en présence d'un proxy transparent (mais c'est mal en général),
Ok. Mais dans le cas présent, je ne suis pas l'dministrateur du proxy,
plutot une "victime"... :-)
Tenter de passer outre peut être contraire à la charte d'utilisation
qui a probablement été signée, d'où éventuels déboires légaux...
Tenter de passer outre peut être contraire à la charte d'utilisation
qui a probablement été signée, d'où éventuels déboires légaux...
Tenter de passer outre peut être contraire à la charte d'utilisation
qui a probablement été signée, d'où éventuels déboires légaux...
Dans ce cas, la bonne question à se poser est "Pourquoi un tel cache ?"
Je comprends qu'il soit dans la nature humaine de vouloir toujours
contourner les mécanismes de sécurité, mais ça devient un vrai
casse-tête de monter une protection efficace sans être trop restrictif.
En tout cas, s'il y a une chose dont je suis sur c'est que l'admin de ta
fac n'a pas mis ce serveur mandataire _juste_ pour te faire suer.
Pour répondre à ta question, oui il faut que les requêtes soient en HTTP
valides s'il s'agit effectivement d'un cache. Sinon, il s'agit juste
d'un pare-feu. Enfin, c'est vrai pour le moment, parce que il commence à
y avoir tellement de chose qui circule encapsulé dans du HTTP qu'il
arrivera bien un jour un moment ou on y mettra un sacré coup de frein.
Et quand bien même cela passe pour le moment, rien ne dit que les
serveurs ne sont pas blacklistés (c'est le cas de msn chez nous en tout
cas...)
Dans ce cas, la bonne question à se poser est "Pourquoi un tel cache ?"
Je comprends qu'il soit dans la nature humaine de vouloir toujours
contourner les mécanismes de sécurité, mais ça devient un vrai
casse-tête de monter une protection efficace sans être trop restrictif.
En tout cas, s'il y a une chose dont je suis sur c'est que l'admin de ta
fac n'a pas mis ce serveur mandataire _juste_ pour te faire suer.
Pour répondre à ta question, oui il faut que les requêtes soient en HTTP
valides s'il s'agit effectivement d'un cache. Sinon, il s'agit juste
d'un pare-feu. Enfin, c'est vrai pour le moment, parce que il commence à
y avoir tellement de chose qui circule encapsulé dans du HTTP qu'il
arrivera bien un jour un moment ou on y mettra un sacré coup de frein.
Et quand bien même cela passe pour le moment, rien ne dit que les
serveurs ne sont pas blacklistés (c'est le cas de msn chez nous en tout
cas...)
Dans ce cas, la bonne question à se poser est "Pourquoi un tel cache ?"
Je comprends qu'il soit dans la nature humaine de vouloir toujours
contourner les mécanismes de sécurité, mais ça devient un vrai
casse-tête de monter une protection efficace sans être trop restrictif.
En tout cas, s'il y a une chose dont je suis sur c'est que l'admin de ta
fac n'a pas mis ce serveur mandataire _juste_ pour te faire suer.
Pour répondre à ta question, oui il faut que les requêtes soient en HTTP
valides s'il s'agit effectivement d'un cache. Sinon, il s'agit juste
d'un pare-feu. Enfin, c'est vrai pour le moment, parce que il commence à
y avoir tellement de chose qui circule encapsulé dans du HTTP qu'il
arrivera bien un jour un moment ou on y mettra un sacré coup de frein.
Et quand bien même cela passe pour le moment, rien ne dit que les
serveurs ne sont pas blacklistés (c'est le cas de msn chez nous en tout
cas...)
