Re: proxy transparent : rediriger le port 80

["Pascal@plouf" <pascal.mail@plouf.fr.eu.org>]

Salut,

Jean-Louis Louër a écrit :
> Je souhaite mettre en place un proxy transparent avec squid sur une
> machine qui sert également de desktop et donc à la consultation
> internet. 
>
> Le proxy avec squidguard semble correctement configuré. Quand j'accède à
> internet avec le proxy déclaré dans firefox, l'accès est bien filtré. Je
> voudrais que le filtrage soit effectif sur tous les navigateurs, sans
> paramètrage particulier. J'ai donc mis en place la règle iptables :
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
> ou bien :
> iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp
> --dport 80 -j REDIRECT --to-port 3128

Une seule règle regroupant tous les critères suffirait.

> La commande "iptables -t nat -n -L" me renvoie ceci :
> Chain PREROUTING (policy ACCEPT)
> target     prot opt source               destination         
> REDIRECT   tcp  --  192.168.111.0/24     0.0.0.0/0  tcp dpt:80 redir ports 3128 
                      ^^^^^^^^^^^^^
M'étonnerait que la règle ci-dessus ait pu donner ça.

> REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0  tcp dpt:80 redir ports 3128 
>
> Par contre, la redirection ne fonctionne pas et il n'y a aucun filtrage
> si le port 3128 n'est pas spécifié dans les paramètres de connexion du
> navigateur.

Pour la navigation depuis la machine proxy elle-même : AMA ça ne peut 
pas marcher. La chaîne PREROUTING traite les paquets entrants, or il 
s'agit d'une connexion sortante. Une règle similaire dans la chaîne 
OUTPUT intercepterait aussi les connexions lancées par Squid lui-même.

Pour la navigation depuis les autres machines : la machine proxy 
est-elle bien leur passerelle par défaut ?