Le Tue, 10 Jun 2003 22:51:00 +0200, Apollonie Raffalli a �crit :
> Non, je ne l'ai pas eu... Etrange...
Bizarre autant qu'�trange ;-)
> Si tu pouvais me la renvoyer.
Le revoici :
Le Tue, 10 Jun 2003 10:49:16 +0200, Apollonie Raffalli a �crit :
> Apollonie est un nom de fille... Je sais, nous sommes en minorit� sur la
> liste ;-)
Ce n'est que plus appr�ciable :-)
>> iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner squid \
>> -s ! 192.168.0.1 -j REDIRECT --to-ports 8080
>>
>> Parce que je ne souhaite pas que le surf en intra passe par squid.
>
> Je suppose que "intra" veut dire tout le r�seau local et non seulement la
> passerelle.
Oui, mais il faut justement distinguer le cas du reste du lan, du cas de
la passerelle elle-m�me qui est mon poste.
> La chaine � utiliser pour du proxy transparent est PREROUTING.
[...]
Oui, mais bon, j'avoue que mon message �tait tr�s mal pr�sent�e et est
arriv� comme un cheveu sur la soupe.
Je reprends donc depuis le d�but pour faciliter ta compr�hension et
t'aider � m'aider :-)
Je voulais avoir un proxy transparent, donc ne pas avoir � param�trer de
proxy sur les clients du r�seau.
Config de squid :
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Et ajout de la r�gle iptables :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
-d ! 192.168.0.1 -j REDIRECT --to-ports 8080
�a fonctionne parfaitement.
Or, comme j'utilise shorewall, j'ai transform� cette r�gle en r�gle
shorewall :
REDIRECT loc 8080 tcp www - !192.168.0.1
Et cela fonctionne tout aussi parfaitement.
Mais cela ne redirige que ce qui rentre par eth0, donc des autres postes
du r�seau local.
Or, je souhaiterais exactement la m�me chose, pour la passerelle elle m�me
puisqu'elle est aussi un poste de travail et non pas un serveur d�di�.
On m'a donc conseill� de faire des r�gles iptables qui redirigent toutes
les sorties 80 en 8080, sauf celles de squid lui m�me.
Mais shorewall ne semble pas �tre capable de prendre en compte l'option
owner.
Par cons�quent, je suis oblig� de faire une(des) r�gle(s) que je rajoute
dans le fichier /etc/shorewall/start et qui sont lanc�es en plus par
shorewall � son lancement.
J'ai donc fait la r�gle :
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner squid \
-j REDIRECT --to-ports 8080
Qui semblait faire ce que je voulais, mais dans ce cas, m�me les acc�s au
serveur http local, par la passerelle, passaient par le proxy, ce que je
ne veux pas.
J'ai donc rajout� -d ! 192.168.0.1
Et c'est l� que mon probl�me se pose concretement.
Si une requ�te de la passerelle, vers le net, n'est pas honor�e
rapidement, c'est directement mon serveur http qui r�pond, et non plus
squid, soit parce que je suis hors connexion internet, soit parce que la
page n'existe pas sur le net, soit qu'elle met trop de temps � r�pondre.
Exemple, si je suis hors connexion, et que j'appelle www.google.fr/linux
dans mon navigateur, j'obtiens dans mes logs apache :
kanelxp.novazur.fr - - [28/May/2003:11:28:28 -0400] "GET /linux HTTP/1.1"
404 336 "-" "Mozilla/5.0 (X11; U; Linux i686; fr-FR; rv:1.3.1)
Gecko/20030428"
Et rien dans les logs de squid.
Je pr�cise que si la requ�te aboutie bien, et dans des temps courts,
c'est bien squid qui envoie la page (les logs me le confirment). Le
probl�me se pose si l'url est inaccessible (serveur down, inexistante,
etc...) ou qu'elle met trop de temps � r�pondre.
J'ai alors essay� de scinder cette r�gle en plusieurs comme on me l'a
conseill� :
iptables -t nat -A OUTPUT -p tcp --dport 80 -d 192.168.0.1 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -d 127.000.0.1 -j DNAT
--to-destination 192.168.0.1
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner squid
-j DNAT --to-destination 192.168.0.1:8080
Mais le probl�me reste identique.
Donc en r�sum�, ce que je veux, c'est que tous les acc�s, � partir de tous
les postes, y compris la passerelle, vers le net, passent par le proxy
sans configuration des clients.
Et ceci, de pr�f�rence en r�gles shorewall si possible, pour rester
homog�ne.
> En esp�rant que cela r�glera ton probl�me...
Pas encore, mais j'esp�re l�, avoir �t� plus clair dans l'expression de
mon besoin.
Merci pour ton aide.
--
Christophe PEREZ
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";.
Foire Aux Questions de la liste : http://mdk.mondelinux.org
