La connerie faite Blog (le blog de Splqsh)
Retour au blog <<

Proxy ?

Vendredi 16 janvier 2009 à 14 h 36
Je cherche une solution matérielle/logicielle pour contrôler mon réseau chez moi. Ce que je veux, c'est maîtriser tout ce qui entre ou sort de certains pc.

L'idée que j'en ai c'est ça :



Ce que je veux savoir, c'est la meilleure solution pour configurer le PC master , quoi utiliser d'un point de vue matos et logiciel en sachant que je veux pouvoir bétonner mon pc clientN au niveau de la connexion internet. Par exemple si j'ai envie de bloquer youtube ou autre conneries, un site ou y'aurait écrit "KKK en force" etc ...
par Rom.1
Vendredi 16 janvier 2009 à 15 h 09
Pour faire plus simple. Mets le PC master avec une distrib linux de proxy. Et tu le place dans le sens Internet -> routeut -> pc master -> pc clients.
Le pc master sera proxy, dns et dhcp pour tous les clients. Il aura deux ports ethernet, un sur le réseau local (client) et l'autre collé au routeur/modem.

par e-t172
Vendredi 16 janvier 2009 à 15 h 13
Il est plus judicieux de mettre un simple switch derrière le PC master plutôt qu'un routeur .

Ensuite, comme le dit Rom.1, avec Linux tu peux faire absolument tout ce que tu veux avec ton PC passerelle (on dit passerelle ou gateway plutôt que master) au niveau du contrôle du trafic qui transite par la machine. Le problème c'est qu'en fonction de ce que tu veux faire ça peut varier du moyennement simple au très très compliqué au niveau de la configuration.
par Splqsh
Vendredi 16 janvier 2009 à 15 h 24
donc mon pc master doit avoir 2 carte réseau ou une carte réseau avec 2 ports ?
Tout ce que je veux faire sera configurable avec linux ou je vais devoir installer des progs en plus ?
par albanc
Vendredi 16 janvier 2009 à 15 h 43
une seul carte réseau avec 2 adresses de réseaux même
par e-t172
Vendredi 16 janvier 2009 à 17 h 11
albanc a écrit :
> une seul carte réseau avec 2 adresses de réseaux même

Non, il n'y aura pas une vraie isolation entre les deux réseaux, les pc clients pourront bypasser le master si ils s'y prennent correctement. Et il y a d'autres problèmes, par exemple il y aura deux DHCP sur le même segment...

Splqsh a écrit :
> donc mon pc master doit avoir 2 carte réseau ou une carte réseau avec 2 ports ?

2 cartes réseaux, ou une carte réseau deux ports, c'est kif-kif.

Splqsh a écrit :
> Tout ce que je veux faire sera configurable avec linux ou je vais devoir installer des progs en plus ?

Tout dépend de ce que t'appelles "linux". Au sens strict, Linux c'est qu'un noyau, tu ne peux rien faire avec... si ta question c'est "est-ce qu'une distribution contient tout ce qu'il faut", là encore tout dépend : elle contiendra probablement les outils nécéssaires... en ligne de commande et au plus bas niveau, c'est à dire une horreur à configurer si tu es néophyte. Il existe en revanche des logiciels qui simplifient et automatisent pas mal de choses (par contre je ne les connais pas, je préfère foutre les mains dans le cambouis).
par DjinnS
Vendredi 16 janvier 2009 à 17 h 39
Un Linux (Debian obs ...) avec 2 cartes réseaux.

Une pour le WAN et une pour le LAN. Je comprends pas trop le "Chez Moi" sur ton schéma mais bon ... Si tu veux un autre réseau, rajoute une carte. Sinon tu as la possibilité d'utiliser les VLAN, mais là il te faudra un switch supportant les VLANS (~50€ un linksys 5 port). Via l'utilisation des VLANs, une seule carte réseau suffira, mais pense à prendre du Giga histoire de pas trop être emmerdé.

Ensuite tu n'as qu'a faire du proxy transparent. Tu peux utiliser squid pour la partie proxy.

iptables sera ton ami par la partie filtrage (tu l'utilisera aussi dans la partie proxy transparent pour faire passer tes requêtes à destination du 80 via squid avant qu'elles ne sortent vers le WAN).

Le routage se fera tout seul à condition de bien set un "1" dans /proc/sys/net/ipv4/ip_forward.

Dans l'ensemble ce n'est pas trop "compliqué", mais va falloir user de la ligne de commande. Au final c'est très intéressant à faire tu y apprendra beaucoup de chose.
par e-t172
Vendredi 16 janvier 2009 à 17 h 49
DjinnS a écrit :
> Dans l'ensemble ce n'est pas trop "compliqué", mais va falloir user de la ligne de commande.

Franchement, au vu de la façon dont Splqsh s'exprime, lui parler de configurer Squid (avec son fameux fichier de config de 500 pages) et d'utiliser directement iptables (très rigolo aussi), il risque de décrocher en moins de 5 minutes.
par Sylario
Vendredi 16 janvier 2009 à 18 h 15
Un vieux PC avec une bonne distro Routeur/Firewall comme monowall et le tour est joué.
par DjinnS
Vendredi 16 janvier 2009 à 18 h 39
Ah le fichier de conf de Squid ... des centaines de lignes et seulement quelques une à modifier pour qu'il marche (et encore ?). Sinon:

# cat squid.conf | grep -v "^#"

Permet de le clean rapidement :p

iptables n'a rien de compliqué. Des frontend existent (firewallbuilder par exemple).

Je pense qu'il en sortira grandi et il obtiendra ce qu'il cherchait à avoir dès le début.

Pour être passé sur des distribes "routeur/firewall" je peux dire qu'un Debian from scratch en netinstall sans aucun package fait la même chose, en moins crade.

Après il cherche à faire quelque choses d'assez complexe, d'où l'utilisation des bons outils (iptables par exemple). Sinon je vois pas trop comment il va pouvoir faire ...

Sqlqsh, si t'as des problemes avec iptables, n'hésites pas à faire des posts sur le sujet ...
Toutes les personnes enregistrées peuvent poster un commentaire dans ce blog.

Commenter

Tags autorisés : [b] [/b], [i] [/i], [u] [/u], [code] [/code], [img]Adresse d'une image[/img], [url=Adresse d'un site web] [/url]
Vous pouvez aligner vos images à droite ou à gauche en modifiant le tag [img] comme ceci : [img right] ou [img left].

Pour vos vidéos/animations flash : [video]Adresse d'une animation[/video], pour préciser la largeur et hauteur : [video width=100 height=200]...[/video]