faire du NAT vers un proxy, possible ?

faire du NAT vers un proxy, possible ? - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 08-08-2008 à 16:53:37    

Voici, presque tout est dans le titre !
 
j'aimerais savoir si il est possible avec du NAT sur un firewall de rediriger mon traffic HTTP vers un serveur proxy ?
 
Merci de votre réponse.

Reply

Marsh Posté le 08-08-2008 à 16:53:37   

Reply

Marsh Posté le 09-08-2008 à 14:14:00    

Il me semble qu'avec IPCop, un pare-feu logiciel qui fait office de proxy tu peux créer de règles de pare-feu, connecté les clients sur le proxy IPCop et rediriger le flux vers un autre proxy. C'est ça que tu veux faire ? Je te confirme la chose la semaine prochaine.

Reply

Marsh Posté le 10-08-2008 à 20:14:00    

il faut faire du policy based routing
 
source : any
source port : any
destination : any
destination port : 80
gateway : ip du proxy
 
 
fonction de routage avancée deja présente dans pfsense 1.2 mais pas au top mais qui avec la 1.3 alpha que je test en ce moment va fonctionner parfaitement.
 
J'ai ce besoin moi aussi et je suis en train de bosser dessus et je suis equipé de parefeu pfsense, voila pourquoi j'en parle

Reply

Marsh Posté le 10-08-2008 à 20:17:50    

Si c'est pour du proxy transparent la solution propre s'appelle WCCP, la solution sale s'appelle PBR :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-08-2008 à 10:08:41    

Ouep, il suffit de rediriger le trafic vers le proxy et configurer le proxy en mode transparent. Avec Squid, c'est 2-3 lignes en plus dans le fichier de conf.

Reply

Marsh Posté le 11-08-2008 à 10:19:50    

Ouep, merci de vos réponse.
 
J'ai un firewall Netscreen 50, et j'ai pour le moment fait un policy:
 
Source: Any
Destination: Any
Service: HTTP
Application: None
 
NAT: Destination Translation: Translate to ip: [server proxy]
Map to port: 8080
 
qui me redirige en mode NAT le traffic du service HTTP vers l'adresse de mon proxy avec modification du port vers le port 8080...
Ca "presque" marche !!
 
Mais maintenant, lorsque je tape une adresse dans mon navigateur par exemple http://www.google.com/, j'ai une réponse du proxy qui me dit que l'adresse / n'est pas valide, et si je tape http://www.google.com/toto, il me réponse que l'adresse /toto n'est pas valide !
 
C'est un proxy squid 2.5 sur FreeBSD 5.4 !
 
Le proxy n'est pas configuré en mode transparent ! suis-je obligé de le faire ?
Sinon, ma policy est-elle fausse ?
 
@dreamer18, le WCCP n'est disponible que sur du Cisco non ?  j'ai un Netscreen.... il n'y a pas d'équivalent si ce n'est de faire une PBR .... :-/
 
 
 
Merci d'avance


Message édité par flourman le 11-08-2008 à 10:36:56
Reply

Marsh Posté le 11-08-2008 à 10:30:10    

Citation :

Mais maintenant, lorsque je tape une adresse dans mon navigateur par exemple http://www.google.com/, j'ai une réponse du proxy qui me dit que l'adresse / n'est pas valide, et si je tape http://www.google.com/toto, il me réponse que l'adresse /toto n'est pas valide !
 


Ca veut dire que Squid n'est pas configuré en mode transparent. Il va falloire demander à Google car ça fait bien longtemps que j'ai arrété ce genre d'accrobaties !

Reply

Marsh Posté le 11-08-2008 à 10:42:00    

shinmaki a écrit :


Ca veut dire que Squid n'est pas configuré en mode transparent. Il va falloire demander à Google car ça fait bien longtemps que j'ai arrété ce genre d'accrobaties !


 
ok, donc visiblement le problème ne vient pas de la conf de mon firewall ?
 
J'connais pas trop le NAT et autr PBR, je me demandais si il était possible que lors de la translation de l'adresse de destination, mon firewall, pour une raison x ou y, modifiait le header de ma requette, d'ou ce message d'erreur !
 
ok, alors j'vais mon plonger dans la configuration en mode transparent de mon squid.
 
 
Merci pour vos réponse.

Reply

Marsh Posté le 12-08-2008 à 13:01:51    

A ma connaissance, les firewalls sont susceptibles de modifier les en-têtes que dans le cas des protocoles "complexes" comme FTP ou SIP.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed