masq template-custom connection directe

[laurent]

Bonjour,

je cherche a securiser SME dans la cas d'un proxy squid avec
authentification + dansguardian.

Question:
Comment modifier masq pour empecher la connection directe a internet
(donc qq soit le navigateur employe sur les pc).
Quel template-custom faut il creer ?
A partir de quel fichier du repertoire:
/etc/e-smith/templates/etc/rc.d/init.d/masq ?
J'ai beau chercher et lire ... je ne trouve pas et les fichiers en
question sont obscurs pour moi.
Merci pour votre aide.

serveur/passerelle SME --- switch -- pc 1
-- pc 2
-- pc 3

[Balain]

laurent wrote:

> Bonjour,

> Question:
> Comment modifier masq pour empecher la connection directe a internet
> (donc qq soit le navigateur employe sur les pc).

> serveur/passerelle SME --- switch -- pc 1
> -- pc 2
> -- pc 3

Bonjour Laurent,

Je ne sais plus tr�s bien d'o� je tiens les commandes qui suivent mais voila
ce que je fais chez moi.
J'esp�re que je n'oublie rien car je ne ma�trise pas parfaitement tout �a.

L'id�e premi�re est d'utiliser la fonctionnalit� de
proxy transparent.
==================

Normalement je pense que la fonctionnalit� est activ�e par d�faut et pointe
sur squid.

Si ce n'est pas le cas, d'apr�s :
http://smeserver.fr/astuces.php?astuce=net_transproxy
tu devrais pouvoir l'activer avec :
$ config setprop squid Transparent no
$ signal-event console-save
Pour v�rifier le port surveill� :
$ config show squid

Dans mon installation, Dansguardian �coute le port 8080
Pour pointer sur ce port :
$ db configuration setprop squid TransparentPort 8080
Pour regarder le r�sultat :
$ config show squid

Un truc qui tra�ne dans mes notes que je ne comprends pas :
$ config show masq

L� j'applique b�tement
$ expand-template /etc/rc.d/init.d/masq
$ service masq restart

Je crois que j'avais aussi trouv� comment empecher les clients de param�trer
le proxy pour passer directement par squid sans traverser dansguardian mais
je ne retrouve plus.

--
Balain

[laurent]

Balain wrote:
> laurent wrote:
>
>> Bonjour,
>> Question:
>> Comment modifier masq pour empecher la connection directe a internet
>> (donc qq soit le navigateur employe sur les pc).
>> serveur/passerelle SME --- switch -- pc 1
>> -- pc 2
>> -- pc 3
> Bonjour Laurent,
>

> Je ne sais plus très bien d'où je tiens les commandes qui suivent mais voila

> ce que je fais chez moi.

> J'espère que je n'oublie rien car je ne maîtrise pas parfaitement tout ça.
>
> L'idée première est d'utiliser la fonctionnalité de
> proxy transparent.
> ==================
>
> Normalement je pense que la fonctionnalité est activée par défaut et pointe
> sur squid.
>
> Si ce n'est pas le cas, d'après :

> http://smeserver.fr/astuces.php?astuce=net_transproxy
> tu devrais pouvoir l'activer avec :
> $ config setprop squid Transparent no
> $ signal-event console-save

> Pour vérifier le port surveillé :
> $ config show squid
>
> Dans mon installation, Dansguardian écoute le port 8080

> Pour pointer sur ce port :
> $ db configuration setprop squid TransparentPort 8080

> Pour regarder le résultat :
> $ config show squid
>
> Un truc qui traîne dans mes notes que je ne comprends pas :
> $ config show masq
>
> Là j'applique bêtement

> $ expand-template /etc/rc.d/init.d/masq
> $ service masq restart
>

> Je crois que j'avais aussi trouvé comment empecher les clients de paramétrer

> le proxy pour passer directement par squid sans traverser dansguardian mais
> je ne retrouve plus.
>

Merci pour ta reponse.
Mais je ne veux plus de proxy transparent que je trouve trop restrictif
et qui m'oblige à allonger la liste des sites accessibles en liste
blanche dans /etc/dansguardian/lists/exceptionsitelist
Je voudrais qq chose de plus personnalise pour securiser mon reseau.
C'est pourquoi j'ai debranche le proxy transparent en tapant:
-----------------------------------------------
config setprop squid TransparentPort 3128
config delprop dansguardian portblocking
signal-event post-upgrade; signal-event reboot
-----------------------------------------------

et choisi un acces à squid par authentification pam
(incompatible avec le proxy transparent)
via la commande:
-----------------------------------------------
config setprop squid RequireAuth pam
-----------------------------------------------

et creer differens groupes (parents,enfants) dans dansguardian.
Le filtres personnalise marchent quand je specifie dans le navigateur le
passage obligatoire par le proxy SME sur le port 8080,
mais rien n'est filtre si je debranche dans les preferences le passage
au proxy et demande la connection directe a internet.
(((
On peut bien modifier dans firefox le fichier: /usr/lib/firefox/firefox.cfg
mais il faut le faire sur chaque pc et ca ne marche que sous firefox
)))

Je pensais donc a interdire l'utilisation de l'acces direct a internet
en interdisant l'acces au port 80 avec une regle specifique a iptables
du genre (BOX -- eth0 -- SME -- eth1 -- switch -- eth1 pc):

/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 80 -j REJECT

a mettre dans un fichier (par exemple): 91accesdirect
dans le repertoire
-----------------------------------------------
/etc/e-smith/templates-custom/etc/rc.d/init.d/masq
-----------------------------------------------

puis en relancant le service masq:

-----------------------------------------------
/sbin/e-smith/expand-template /etc/rc.d/init.d/masq
/etc/init.d/masq restart
-----------------------------------------------

mais ca ne marche pas.
Est ce que je modifie le bon fichier ?
Y a t'il plus simple ?
Merci pour votre aide.

[Jean-Philippe PIALASSE]

laurent a écrit :

> -----------------------------------------------
> /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
> -----------------------------------------------
>
> puis en relancant le service masq:
>
> -----------------------------------------------
> /sbin/e-smith/expand-template /etc/rc.d/init.d/masq
> /etc/init.d/masq restart
> -----------------------------------------------
>
>
> mais ca ne marche pas.
> Est ce que je modifie le bon fichier ?
> Y a t'il plus simple ?
> Merci pour votre aide.

avant de jouer avec les templates je te conseillerais d'utiliser
directement les commandes iptables et d'obtenir le comportement
souhaité. crées seulement a ce moment la les templates.

si ca marche pas quand tu le fais a la main ca marchera pas dans les
templates.
si ca marche pas a la main tu fais service masq restart et tout est
propre et tu peux reessayer.

as tu essayé /sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 80 -j
REJECT directement ?
si ce n'est pas suffisant tu peux tenter /sbin/iptables -I OUTPUT -o

eth1 -p tcp --dport 80 -j REJECT

je te conseille de lire la doc iptables pour comprendre la difference -A
et -I

ensuite tu peux faire un iptables -L pour voir l'integralité des regles

pour finir une consideration de la philosophie SME :
internet => SME => LAN = bloqué par defaut
LAN =>SME => internet = tout passe par defaut
a mon avis tu cherche a bloquer plus que le port 80 ..... (mais
attention de pas te couper l'acces a la machine)

JPP

[laurent]

J'ai suivi tes conseils, mais iptables est trop obscur pour moi.

/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 80 -j REJECT

semble sans effet

et

/sbin/iptables -I OUTPUT -o eth1 -p tcp --dport 80 -j REJECT

bloque tout acces au web y compris en passant par le proxy.

Et pourtant je ne veux qu'empecher l'acces direct au net et ainsi forcer
le passage a travers le proxy dans le navigateur.
Une autre idee ?

Peut on rediriger le port 80 vers le port 3128 sans faire de squid un
proxy transparent ?
Je rappelle que je souhaite un proxy avec authentification pour avoir
differents groupes de filtrage, mais il me faut imperativement empecher
de chinter le proxy qq soit le navigateur.

[antoine]

laurent a écrit :

j'ai l'impression que tu cherches à réinventer la roue ?
ou que tu ne connais pas la définition du proxy transparent...

en tous les cas, si j'ai bien compris le besoin, pour moi le proxy
transparent est LA solution !

Pour rappel cela permet de rediriger toutes les requêtes du LAN vers
internet (http(s), pop...) vers le proxy sans config particulière du client.

Pour l'activer, ou non, pas besoin de taper des lignes de cmds car tout
est dans le manager !

a+

--
antoine
www.jurastick.fr

[laurent]

antoine wrote:
> j'ai l'impression que tu cherches à réinventer la roue ?
> ou que tu ne connais pas la définition du proxy transparent...
>
> en tous les cas, si j'ai bien compris le besoin, pour moi le proxy
> transparent est LA solution !
>
> Pour rappel cela permet de rediriger toutes les requêtes du LAN vers
> internet (http(s), pop...) vers le proxy sans config particulière du
> client.
>
> Pour l'activer, ou non, pas besoin de taper des lignes de cmds car tout
> est dans le manager !
>
> a+
>
> --
> antoine
> www.jurastick.fr

Merci pour la reponse, mais le proxy transparent est INCOMPATIBLE avec
l'authentification.
Je veux qq chose de + souple que le proxy transparent, c'est pourquoi le
l'ai debranche. J'impose le passage a travers le proxy dans le
navigateur et dansguardian filtre alors le contenu en fn du groupe
auquel appartient l'utilisateur dans l'authentification pam.
Ca marche, mais le probleme, c'est qu'il est tres facile de retablir la
connection directe a internet dans le navigateur, d'ou l'idee d'une
regle iptables (que je ne maitrise pas).

[Balain]

laurent wrote:

> Ca marche, mais le probleme, c'est qu'il est tres facile de retablir la
> connection directe a internet dans le navigateur,

Bonjour laurent,

Il est aussi, par exemple, très facile de choisir un autre proxy que le tien
si tu ne surveilles pas tous les ports qui peuvent être utilisés par un
proxy ouvert quelque part sur le net (d'où, je pense, la remarque de JPP
plus haut dans le fil).

--
Balain

[Jean-Philippe PIALASSE]

laurent a écrit :

>
>
> J'ai suivi tes conseils, mais iptables est trop obscur pour moi.
>
> /sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 80 -j REJECT
> semble sans effet
>
> et
>
> /sbin/iptables -I OUTPUT -o eth1 -p tcp --dport 80 -j REJECT
>
> bloque tout acces au web y compris en passant par le proxy.

alors si tu as obtenu le resultat voulu il ne te reste plus qu'a trouver
dans le template masq ou tu dois mettre la commande.

une astuce le template genere un script qui recoit des commandes comme
start, restart stop .... il faut donc que ta commande s'insert au bon
endroit : une seule solution parcourir le fichier generé pour comprendre
sa structure puis comparer les fragments puis inserer au bon niveau avec
un nom de fichier commencant par le meme numero ou +1

> Et pourtant je ne veux qu'empecher l'acces direct au net et ainsi forcer
> le passage a travers le proxy dans le navigateur.
> Une autre idee ?

ne ferme pas le port 80 redirige le simplement vers dansguardian et
dansguardian vers squid (cf how to de config de dansguardian)

il te restera qu'a verifier que les gens ne se connectent pas
directement a squid.

>
> Peut on rediriger le port 80 vers le port 3128 sans faire de squid un
> proxy transparent ?

avec la db e-smith il te suffit de parametrer le port desiré (80) en
tant que port voulu a la place de 3128 ... une reconfiguration +
redemarrage se chargera de faire adopter a squid et à masq le bon
parametrage.... mais si tu bloque le port 80 avec la commande au dessus
suivant l'ordre utilisé dans la commande ca marchera ou pas ;) ... cf
doc de iptables qui est une pile FIFO : "first in , first out" avec
comme particularité: les instruction -A sont traitée par ordre d'ajout,
les -I son traités par ordre inverse d'ajout avant les -A.

et si une instrution rentre dans le filtre d'une regle (port 80) elle
est traité dans cette chaine (bloquée ou redirigée) et ne voit donc pas
la chaine suivante si une deuxieme existe plus loin dans le tableau.