Comment créer une passerelle masquant un proxy ? - réseaux et sécurité - Linux et OS Alternatifs
MarshPosté le 06-05-2008 à 19:26:17
Bonjour,
Situation :
Sur un réseau de petite entreprise, je souhaite créer un réseau de test sur une plage IP différente de celle du réseau de production
Réseau de prod : 192.168.7.0/24 Réseau de test : 172.16.0.0/16
Je me suis donc créé une petite machine passerelle tournant sous Ubuntu 8.04
Pour des raisons pratiques et de manque de matériel, je ne souhaite pas lui greffer un serveur DHCP sur son interface 172.16.0.1, préférant adresser mes postes de test en manuel.
A l'aide d'iptables, j'ai créé une règle masquerade. J'y ai ajouté dnsmasq pour ne pas avoir à me rappeler des adresses DNS de mon réseau ...
Tout celà fonctionne à merveille ...
Ma question :
J'utilise un proxy HTTP et FTP sur mes postes de production (serveur squid non présent sur mon réseau local, mais sur un autre réseau routé).
Pour ne pas me coltiner la saisie du proxy sur les navigateurs de mes postes de test, j'aimerais faire en sorte que toutes les requêtes HTTP passant pas ma passerelle soient faîtes par l'identité de la passerelle.
Comment puis-je faire ?
Par ailleurs, je suis toujours un petit peu en délicatesse avec la gestion des proxy sous "linux". Avec export http_proxy=http://url:port, j'arrive à le configurer pour une session particulière (exemple un terminal putty). Mais comment puis-je faire pour l'activer pour la machine globale ? J'ai déjà ajouté un script renseignant cette variable d'environnement au démarrage (avec update-rc.d mon script ...), mais ça ne répond pas à mon besoin.
En vous remerciant d'avance pour vos lumières,
Cordialement.
_________________________
Bon, je me suis imaginé un semblant de réponse.
A mon petit avis, il faut que je me monte un squid sur ma passerelle.
A l'aide de iptables, je le rend "transparent" en redirigeant les requêtes port 80 vers le 3128. Jusque là, pas de problème ... Le problème, c'est que je ne veux pas que mon proxy fasse autorité, mais bien celui que j'utilise sur mon réseau local. Il faut donc que je le rende "esclave" et je n'ai aucune idée de la manière dont je devrais le faire, et surtout si celà nécessite des opérations sur le proxy maître, sur lequel je n'aurai en aucun cas la main.
Pouvez-vous me dire si je suis sur la bonne voie ?
Marsh Posté le 06-05-2008 à 19:26:17
Bonjour,
Situation :
Sur un réseau de petite entreprise, je souhaite créer un réseau de test sur une plage IP différente de celle du réseau de production
Réseau de prod : 192.168.7.0/24
Réseau de test : 172.16.0.0/16
Je me suis donc créé une petite machine passerelle tournant sous Ubuntu 8.04
Pour des raisons pratiques et de manque de matériel, je ne souhaite pas lui greffer un serveur DHCP sur son interface 172.16.0.1, préférant adresser mes postes de test en manuel.
A l'aide d'iptables, j'ai créé une règle masquerade. J'y ai ajouté dnsmasq pour ne pas avoir à me rappeler des adresses DNS de mon réseau ...
Tout celà fonctionne à merveille ...
Ma question :
J'utilise un proxy HTTP et FTP sur mes postes de production (serveur squid non présent sur mon réseau local, mais sur un autre réseau routé).
Pour ne pas me coltiner la saisie du proxy sur les navigateurs de mes postes de test, j'aimerais faire en sorte que toutes les requêtes HTTP passant pas ma passerelle soient faîtes par l'identité de la passerelle.
Comment puis-je faire ?
Par ailleurs, je suis toujours un petit peu en délicatesse avec la gestion des proxy sous "linux". Avec export http_proxy=http://url:port, j'arrive à le configurer pour une session particulière (exemple un terminal putty). Mais comment puis-je faire pour l'activer pour la machine globale ? J'ai déjà ajouté un script renseignant cette variable d'environnement au démarrage (avec update-rc.d mon script ...), mais ça ne répond pas à mon besoin.
En vous remerciant d'avance pour vos lumières,
Cordialement.
_________________________
Bon, je me suis imaginé un semblant de réponse.
A mon petit avis, il faut que je me monte un squid sur ma passerelle.
A l'aide de iptables, je le rend "transparent" en redirigeant les requêtes port 80 vers le 3128. Jusque là, pas de problème ... Le problème, c'est que je ne veux pas que mon proxy fasse autorité, mais bien celui que j'utilise sur mon réseau local. Il faut donc que je le rende "esclave" et je n'ai aucune idée de la manière dont je devrais le faire, et surtout si celà nécessite des opérations sur le proxy maître, sur lequel je n'aurai en aucun cas la main.
Pouvez-vous me dire si je suis sur la bonne voie ?
Merci d'avance !