proxy squid transparent

Le
Christophe PEREZ
Bonjour,

J'ai vraiment besoin d'aide car je ne m'en sors pas seul.

Sur mon serveur, en tentant d'installer wwwoffle en plus de squid, je me
rends compte, qu'en fait, j'ai quelque chose de bizarre.
Je ne sais pas si ça vient de squid, bind, ou shorewall, wwwoffle étant
complètement désactivé pour tout ce qui suit.

Je souhaite configurer squid en proxy transparent.
J'ai donc une règle shorewall :
REDIRECT loc 8080 tcp www -
qui à priori correspond à un règle iptables :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-ports 8080

Si je suis connecté au net, sans déclarer de proxy dans mon navigateur,
ça fonctionne, ça passe bien par squid (cf les log).

Par contre, si je suis hors connexion, ce n'est pas squid qui répond.
J'ai une popup du navigateur (firebird) qui me dit qu'il ne peut pas
trouver le site. Et les logs de squid ne bougent pas.

Si je configure le navigateur pour passer par le proxy, là, c'est bien
squid qui répond (affichage d'une page de squid indiquant une réponse
nulle à la requête).

Je crois me souvenir avoir déjà eu ce genre de problème à l'époque
d'un changement de noyau, et l'aurais résolu en compilant iptables, ce
que j'ai à nouveau fait avec la version 1.2.9, mais sans résultat.

Dans mon noyau (2.4.25), tout ce qui concerne net_filter est coché en
module, et me donne :
# lsmod | grep ip
ipt_TOS 1016 12 (autoclean)
ipt_MASQUERADE 1432 1 (autoclean)
ipt_LOG 3448 5 (autoclean)
ipt_REDIRECT 792 1 (autoclean)
ipt_REJECT 3576 2 (autoclean)
ipt_TCPMSS 2360 1 (autoclean)
ipt_state 536 79 (autoclean)
iptable_mangle 2136 1 (autoclean)
ip_nat_irc 2224 0 (unused)
ip_nat_ftp 2896 0 (unused)
iptable_nat 17688 3 [ipt_MASQUERADE ipt_REDIRECT ip_nat_irc ip_nat_ftp]
ip_conntrack_irc 3088 1
ip_conntrack_ftp 4112 1
ip_conntrack 21384 2 [ipt_MASQUERADE ipt_REDIRECT ipt_state ip_nat_irc ip_nat_ftp iptable_nat ip_conntrack_irc ip_conntrack_ftp]
iptable_filter 1740 1 (autoclean)
ip_tables 12896 12 [ipt_TOS ipt_MASQUERADE ipt_LOG ipt_REDIRECT ipt_REJECT ipt_TCPMSS ipt_state iptable_mangle iptable_nat iptable_filter]

J'ai refait entièrement ma config squid (bien que ne comprenant pas
grand chose à tout ça), que dalle.

Une nouvelle fois, je me demande si ce n'est pas mon serveur dns qui
foire, mais malheureusement, je n'ai pas eu de réponse à ce sujet dans
mon précédent post.

Franchement, je ne m'en sors pas, et aurais bien besoin d'une épaule
performante et vaillante ;-).
Bien entendu, je reste à disposition pour toute information
complémentaire, je n'ai pas voulu faire trop long ici.

Merci de m'avoir lu.

--
Christophe PEREZ
Écrivez moi sans _faute !
Vos réponses Page 2 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Christophe PEREZ
Le #1516012
Le Mon, 10 May 2004 01:45:20 +0200, TiChou a écrit:

Non. Votre serveur DNS fait les requetes sur les DNS de Wanadoo seulement
pour les machines appartenant au domaine wanadoo.fr. Donc dans votre exemple
précédent, ce n'est pas les DNS de Wanadoo qui sont intérogés par votre
serveur DNS pour résoudre la machine voila.fr.


Ben oui, c'est exact, mais je crois que ce jour là, je n'avais vraiment
pas les idées claires.

Pour vos autres questions, je laisse les autres continuer à vous répondre.


Continuer ?? :-)) Quel humour !
Mais j'avoue humblement que je sais bien que j'embête le monde avec mes
questions de "neuneu qui veut trop en faire alors que ce n'est pas de son
niveau". Je crois que je vais encore rester sans consultation offline du
cache web pendant encore un moment.

Tout de même, merci d'être venu participer ;-)

--
Christophe PEREZ
Écrivez moi sans _faute !

g.patel
Le #1516005
On Mon, 10 May 2004 02:12:02 -0400, Christophe PEREZ

Mais j'avoue humblement que je sais bien que j'embête le monde avec mes
questions de "neuneu qui veut trop en faire alors que ce n'est pas de son
niveau". Je crois que je vais encore rester sans consultation offline du
cache web pendant encore un moment.


bah. Qu'il est aigri :-)
Quand on arrive à un certain niveau, on ne pose plus que
des questions relativement complexes, auxquelles un(e) expert(e)
peut répondre sans recherche, ce qui n'est pas le cas de
quelqu'un comme moi, dont les principales compétences
concernent plutot la programmation. D'où ma faible participation
à cette enfilade, vu que des raisons technico-personnelles
me décourageaient de faire une recherche sur le sujet.
Voilà.

Il me semble qu'une solution simple a été donnée : travailler
en proxy programmé sur le navigateur. Si on veut travailler
en proxy transparent, il faut faire du cache. La version la
plus simple est le fichier hosts sur la machine concernée :-),
ensuite le cache Dns. J'ai vu dproxy sur SourceForge :
http://sourceforge.net/projects/dproxy/
Tmdns fourni avec la Mandrake est basé sur dproxy, mais je
ne sais pas s'il permet de faire la meme chose.

Gérard Patel

Christophe PEREZ
Le #1516003
Le Mon, 10 May 2004 09:17:46 +0000, gerard patel a écrit:

bah. Qu'il est aigri :-)


Meuh non, juste un peu découragé à ce moment là, mais en général ça
passe assez vite ;-)

Quand on arrive à un certain niveau, on ne pose plus que
des questions relativement complexes, auxquelles un(e) expert(e)
peut répondre sans recherche, ce qui n'est pas le cas de
quelqu'un comme moi, dont les principales compétences
concernent plutot la programmation. D'où ma faible participation
à cette enfilade, vu que des raisons technico-personnelles
me décourageaient de faire une recherche sur le sujet.
Voilà.


Oops !
Je n'ai aucunement sous-entendu aucun reproche si ce n'est à moi même.
Je ne demande évidemment à personne de faire des recherches à ma place
et je suis sincèrement désolé si je peux donner l'impression contraire.

C'est juste que j'ai la faiblesse de croire que, comme tu l'as dit
autrement, il doit bien y avoir un(e) expert(e) dans le coin qui doit
maîtriser ça sur le bout des doigts pour l'avoir déjà fait et dont un
simple conseil m'éviterait des heures/jours perdus en lectures de docs,
installations, paramétrages, tests, désinstallation.

Ceci dit, des réponses comme la tienne, de Tichou ou celle d'Annie me
montrent que malgré tout, le fil est lu, et que donc, si je n'ai pas de
réponse concrète et surtout expérimentée, c'est tout sauf de la
mauvaise volonté.

Il me semble qu'une solution simple a été donnée : travailler
en proxy programmé sur le navigateur.


Oui, je crois que je vais finalement me rabattre la-dessus, mais en
laissant malgré tout ma redirection iptables de façon à ce qu'un appel
d'un soft non paramétré pour utiliser le proxy par quand même par lui,
quitte à ne plus avoir accès au cache DNS.

Si on veut travailler
en proxy transparent, il faut faire du cache. La version la
plus simple est le fichier hosts sur la machine concernée :-),


Arf'...
Un serveur DNS en dur quoi ! :-)

ensuite le cache Dns. J'ai vu dproxy sur SourceForge :
http://sourceforge.net/projects/dproxy/


Je sais, j'en ai vu plusieurs, dont pdnsd indiqué par Annie.
Mon problème avec tout ça, c'est que je ne voudrais pas faire comme avec
squid, bind etc... lire toute une doc, installer, paramétrer, tester,
pour finalement me rendre compte après pas mal de temps qu'il y a encore
une "incompatibilité" avec mon besoin/envie/utilisation précis/e, car
c'est ça qui me décourage parfois.

Tmdns fourni avec la Mandrake est basé sur dproxy, mais je
ne sais pas s'il permet de faire la meme chose.


Quand à ce soft, tmdns, installé par défaut sur chacune de mes mdk, et
que j'ai toujours viré puisque je ne sais pas à quoi il sert, je n'ai
trouvé sur le net que très peu de choses, surtout en Français, pour
m'expliquer à quoi il est vraiment utile.
Mais effectivement, en faisant mes recherches, je suis à nouveau tombé
dessus et me suis demandé si ce n'était pas LA solution à mon problème.
Par contre, je ne sais pas si c'est un soft à installer sur chaque client
ou sur le serveur uniquement.

En résumé, j'avais rêvé trouver quelqu'un ayant eu le même genre de
problème que moi et l'ayant déjà résolu :-))

--
Christophe PEREZ
Écrivez moi sans _faute !

Kevin
Le #1515996
Le Fri, 07 May 2004 15:05:15 -0400, Christophe PEREZ a ecrit:
|
| Sur mon serveur, en tentant d'installer wwwoffle en plus de squid, je me
| rends compte, qu'en fait, j'ai quelque chose de bizarre.
| Je ne sais pas si ça vient de squid, bind, ou shorewall, wwwoffle étant
| complètement désactivé pour tout ce qui suit.
|
| Je souhaite configurer squid en proxy transparent.
| J'ai donc une règle shorewall :
| REDIRECT loc 8080 tcp www -
| qui à priori correspond à un règle iptables :
| iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
| --to-ports 8080
|
| Si je suis connecté au net, sans déclarer de proxy dans mon navigateur,
| ça fonctionne, ça passe bien par squid (cf les log).
|
| Par contre, si je suis hors connexion, ce n'est pas squid qui répond.
| J'ai une popup du navigateur (firebird) qui me dit qu'il ne peut pas
| trouver le site. Et les logs de squid ne bougent pas.
|
Quand tu tapes une entre genre www.google.fr dans firefox, tu as une
requete DNS qui va resoudre le nom www.google.fr en IP.
Ensuite, ton navigateur envoie une requete GET / a l'ip concernee avec
pas mal d'options dedans. Cette deuxieme requete est interceptee au vol
par ta regle iptables qui l'envoie a squid.

Si pas d'internet, pas de reponse DNS, donc pas d'envoi de GET donc
pas d'interception par iptables et pas de renvoi vers squid, et pas
de reponse

| Si je configure le navigateur pour passer par le proxy, là, c'est bien
| squid qui répond (affichage d'une page de squid indiquant une réponse
| nulle à la requête).
|
la, c'est different. Tu tapes www.google.fr, ton navigateur veut passer
par un proxy, il ne fait aucune requete DNS, et demande au proxy d'aller
chercher pour lui http://www.google.fr

| Je crois me souvenir avoir déjà eu ce genre de problème à l'époque
| d'un changement de noyau, et l'aurais résolu en compilant iptables, ce
| que j'ai à nouveau fait avec la version 1.2.9, mais sans résultat.
|
| J'ai refait entièrement ma config squid (bien que ne comprenant pas
| grand chose à tout ça), que dalle.
|
| Une nouvelle fois, je me demande si ce n'est pas mon serveur dns qui
| foire, mais malheureusement, je n'ai pas eu de réponse à ce sujet dans
| mon précédent post.
|
imaginons que tu sois off-line:
si ton DNS peut repondre a la requete DNS www.google.fr, ton navigateur
va vouloir envoyer sa requete web, qui sera interceptee par iptables, etc..

Solution: Dire a chaque navigateur d'utiliser le proxy.
--
Kevin
Nous n'assurons pas le support pour ca. Nous ne l'assurerons pas.
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Christophe PEREZ
Le #1515975
Le Mon, 10 May 2004 17:22:46 +0000, Kevin DENIS a écrit:

Quand tu tapes une entre genre www.google.fr dans firefox, tu as une
requete DNS qui va resoudre le nom www.google.fr en IP. Ensuite, ton
navigateur envoie une requete GET / a l'ip concernee avec pas mal
d'options dedans. Cette deuxieme requete est interceptee au vol par ta
regle iptables qui l'envoie a squid.


C'est exactement ce uqe m'a expliqué Annie, et dont je ne me doutais
même pas :-(

imaginons que tu sois off-line:
si ton DNS peut repondre a la requete DNS www.google.fr, ton navigateur va
vouloir envoyer sa requete web, qui sera interceptee par iptables, etc..


Oui, j'ai compris ça, mais est-ce possible avec bind ?

Solution: Dire a chaque navigateur d'utiliser le proxy.


Aucune solution autrement ?
Mais alors, pourquoi parle t'on d'un fonctionnement de squid en proxy
transparent ? Pourquoi a t-il des paramètres pour ça ?

En tout cas, merci de m'avoir éclairé un peu plus.

--
Christophe PEREZ
Écrivez moi sans _faute !

g.patel
Le #1515936
On Mon, 10 May 2004 12:52:31 -0400, Christophe PEREZ

ensuite le cache Dns. J'ai vu dproxy sur SourceForge :
http://sourceforge.net/projects/dproxy/


Je sais, j'en ai vu plusieurs, dont pdnsd indiqué par Annie.
Mon problème avec tout ça, c'est que je ne voudrais pas faire comme avec
squid, bind etc... lire toute une doc, installer, paramétrer, tester,
pour finalement me rendre compte après pas mal de temps qu'il y a encore
une "incompatibilité" avec mon besoin/envie/utilisation précis/e, car
c'est ça qui me décourage parfois.


bon, j'ai essayé dproxy et j'ai mis moins d'une demi-heure à le
télécharger, compiler, installer (à la main). Il fait bien le travail
demandé, la seule restriction est qu'il ne cache pas pour l'ordinateur
sur lequel il est installé (la passerelle) - sur la passerelle il
utilise les fonctions standard de résolution, donc il peut
difficilement se substituer à elles pour les autres programmes.

Tmdns fourni avec la Mandrake est basé sur dproxy, mais je
ne sais pas s'il permet de faire la meme chose.


Quand à ce soft, tmdns, installé par défaut sur chacune de mes mdk, et
que j'ai toujours viré puisque je ne sais pas à quoi il sert, je n'ai
trouvé sur le net que très peu de choses, surtout en Français, pour
m'expliquer à quoi il est vraiment utile.
Mais effectivement, en faisant mes recherches, je suis à nouveau tombé
dessus et me suis demandé si ce n'était pas LA solution à mon problème.
Par contre, je ne sais pas si c'est un soft à installer sur chaque client
ou sur le serveur uniquement.


non, ce n'est pas adapté. C'est censé etre la base du système
'Zeroconf' qui permet (théoriquement) aux machines de se
configurer automatiquement et de permettre d'identifier les
services (comme les imprimantes partagées). Malheureusement
ça ne marche pas :-(. Et là, j'ai gaspillé 2 heures à essayer
de faire marcher ce truc sans résultat :-/. Donc ça peut peut-etre
permettre de faire ce cache - de manière auxiliaire pour ainsi
dire -mais il faut d'abord le faire marcher.
Si tu y arrives, n'hésite pas à poster la méthode.

Par contre Dproxy est simple et il marche.

Gérard Patel


g.patel
Le #1515935
On Tue, 11 May 2004 22:50:46 GMT, (gerard
patel) wrote:

bon, j'ai essayé dproxy


j'ai oublié de dire que c'était avec :
http://dproxy.sourceforge.net/dproxy-nexgen.tar.gz

Gérard Patel

Christophe PEREZ
Le #1514004
Le Tue, 11 May 2004 22:50:46 +0000, gerard patel a écrit:

bon, j'ai essayé dproxy et j'ai mis moins d'une demi-heure à le
télécharger, compiler, installer (à la main). Il fait bien le travail


Et bien écoutes, je te remercie sincèrement, mais je ne t'en demandais
pas tant.
Dès que j'ai un moment, je me lance dans la bataille.
Vraiment merci beaucoup

demandé, la seule restriction est qu'il ne cache pas pour l'ordinateur
sur lequel il est installé (la passerelle) - sur la passerelle il
utilise les fonctions standard de résolution, donc il peut
difficilement se substituer à elles pour les autres programmes.


Ça ne devrait pas être un problème.
J'ai intérêt à garder bind avec ou pas selon toi ?

Tmdns fourni avec la Mandrake est basé sur dproxy, mais je
ne sais pas s'il permet de faire la meme chose.



non, ce n'est pas adapté.


Ok.

Si tu y arrives, n'hésite pas à poster la méthode.


Maintenant, je doute même d'essayer ;-)

Par contre Dproxy est simple et il marche.


Merci encore.

--
Christophe PEREZ
Écrivez moi sans _faute !



g.patel
Le #1069336
On Wed, 12 May 2004 03:49:39 -0400, Christophe PEREZ

Le Tue, 11 May 2004 22:50:46 +0000, gerard patel a écrit:

bon, j'ai essayé dproxy et j'ai mis moins d'une demi-heure à le
télécharger, compiler, installer (à la main). Il fait bien le travail


Et bien écoutes, je te remercie sincèrement, mais je ne t'en demandais
pas tant.


ça faisait un moment que tmdns m'intriguait, j'ai surtout
voulu savoir ce que ça faisait. Comme j'avais mis du temps
et que je n'avais pas répondu rapidement, j'ai voulu me
racheter :-)

(...)
J'ai intérêt à garder bind avec ou pas selon toi ?


si dproxy fait l'affaire, je ne vois pas l'intéret d'un truc aussi
lourd. Théoriquement dproxy et un fichier hosts sur la passerelle
devraient marcher aussi bien pour un réseau de 2 ordinateurs....

Gérard Patel


Christophe PEREZ
Le #1068846
Le Wed, 12 May 2004 18:14:58 +0000, gerard patel a écrit:

ça faisait un moment que tmdns m'intriguait, j'ai surtout
voulu savoir ce que ça faisait. Comme j'avais mis du temps
et que je n'avais pas répondu rapidement, j'ai voulu me
racheter :-)


:-)

si dproxy fait l'affaire, je ne vois pas l'intéret d'un truc aussi
lourd. Théoriquement dproxy et un fichier hosts sur la passerelle
devraient marcher aussi bien pour un réseau de 2 ordinateurs....


D'un autre côté, on m'a conseillé de le conserver puisque mon(mes)
domaine(s) local(aux) y sont déjà paramétré(s) (sites intranet apache
avec virtual host), et de le passer (bind) sur le port 5353 (par ex).
Mais c'est vrai que ce conseil m'était donné pour pdnsd et non pas pour
dproxy.

Promis, dès que j'aurai un peu plus de temps (je ne veux pas bâcler la
chose), j'essayerai ça.

--
Christophe PEREZ
Écrivez moi sans _faute !

Publicité
Poster une réponse
Anonyme