Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Squid] bloquer les sites web sans configurer le proxy sur le client

khaled01

Bonjour,

Dans l'entreprise ou je bosse j'ai installé Squid sur le serveur qui roule sous Ubuntu 20.04 tout marche bien sauf que pour que les sites que je veux bloquer ne soient pas accessible depuis un poste client (windows 10) faut que je configure le proxy sur ce dernier pour que ça marche!

C'est pas terrible car ce que je veux c'est que les sites que j'ai bloqué ne soient plus accessibles sur les clients sans configurer le proxy.

J'ai entendu parler de cette histoire de "TRANSPArent" que je dois rajouter à coté de la ligne "http_port 3128" dans le fichier squid.conf je l'ai fais on suivant le cours officiel mais ça n'a rien donné.

Pouvez vous m'aider svp ?

Cdt.

bruno

Bonjour,

Voir le point 2.7 de la doc [doc]squid[/doc] (à adapter).

Pour avoir un proxy transparent il faut que le routeur/pare-feu de l'entreprise redirige tous le trafic à destination du web, ports 80 et 443, vers les ports du serveur Squid.

https://tektab.com/2012/09/28/squid-transparent-proxy-for-https-ssl-traffic/
https://wiki.archlinux.org/index.php/Squid#Transparent_web_proxy

NicoApi73

Bonjour,

La notion de proxy transparent est relative. Avec ce type de configuration, tu vas avoir ton proxy en situation de "man in the middle". De plus tu auras des messages d'alertes sur tes postes client. Et, de plus, ça ne résoudra pas ton problème comme l'a décrit bruno

khaled01

Re,

J'ai la version 4 de squid la 4.10 très exactement j'ai fais des recherches sur internet la transparence du proxy marche juste avec la version 3 et inférieur 🙁 !!!

Y aurai t'il un moyen de la faire fonctionner sur la version 4.10 ?

Cdt.

bruno

C'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.

Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.

khaled01

bruno a écritC'est faux. Ce n'est pas parce que la directive transparent n'existe plus (http_port 3128 transparent) que l'on ne peut pas rendre le proxy transparent, c'est à dire en faire de manière invisible un passage obligé pour l'utilisateur su réseau.

Comme je l'ai déjà dit on rend un proxy transparent en redirigeant une partie du trafic (HTTP, HTTPS, voire FTP ou autres) vers le serveur Squid. Cela se fait à l'aide de règles de routage ou de pare-feu.

Pourriez vous me montrer comment faire svp ?
Cdt.

Update :

j'ai essayé ces deux possibilités mais ça n'a rien donné 🙁

iptables -t nat -I PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp0s8 --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i enp0s8 --dport 443 -j DNAT --to-destination 192.168.1.1:3128

mais ça n'a rien donné!

Avez vous une idée svp ?

Cdt

khaled01

Petit up

NicoApi73

Comment est organisé ton réseau?

khaled01

NicoApi73 a écritComment est organisé ton réseau?

Le serveur ubuntu a deux cartes réseaux une branché au modem et la deuxième carte distribue l'internet aux client via un switch (les clients sont branchés au switch) un réseau en étoile.

Le serveur dhcp donne les adresses ip aux clients

NicoApi73

ok, ton réseau est correct. Sur ce type de réseau, j'ai monté mon serveur en bridge.

Tu peux soit utiliser le couple ebtables iptables ou utiliser nftables. Au final ça revient au même, ebtables et iptables étant maintenant remplacés par nftables.

Voici de la doc pour monter un bridge : https://wiki.debian.org/fr/BridgeNetworkConnections Attention, la table BROUTING de ebtables n'existe plus. A remplacer par la table PREROUTING

Tu dois d'abord monter ton serveur en bridge. Chacun des ports physiques n'auront plus d'adresse IP, seul le bridge (qui est un port virtuel) en aura un, visible des 2 côtés. Ensuite, il faut rediriger les paquets (port 80 et 443) en entrée du bridge vers le bridge lui même pour qu'il les traite et les redirigent vers le port 3128

bruno

Il n'y aucune nécessité de « monter le serveur en bridge », c'est à dire créer un pont réseau entre les deux interfaces.
Il suffit de rediriger le trafic web (port 80 et 443) arrivant sur l'interface reliée au switch vers les ports du serveur SQUID, cf. la doc de SQUID :
https://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute

khaled01

Ça ne marche pas :/

bruno

Ça ne marche pas ne donne aucune indication sur les problèmes rencontrés et ne permet donc pas de t'aider.
Personnellement je n'ai pas mis en place ce type de configuration depuis des années et uniquement en HTTP. Ce qui simplifie largement les choses mais n'est plus envisageable aujourd'hui où la majorité du trafic se fait en HTTPS. Je ne pourrais donc t'aider davantage

khaled01

Bonjour ,

Y aurai t'il une autre alternative pour bloquer les sites web sur les machines clientes depuis le serveur ubuntu sans rien toucher comme configuration sur ces dernières ?

Cdt.