Re: Squid et masquerading

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: Squid et masquerading
    Bonjour,

Le 05/03/2011 11:17, Julien Mercier a écrit :
> Bonjour à tous.
> je viens d'installer une passerelle/parefeu/proxy avec shorewall et squid.
> j'ai bien pensé à activer le masquerading des interface locales dans
> /etc/shorewall/masq.
> Mon proxy fonctionne en mode transparent et j'ai ajouté les règles dans
> shorewall pour rediriger les requêtes http vers le proxy.


    Est-ce que tu es sûr que cela fonctionne ? Est-ce que tu vois passer ta
connexion dans les logs du proxy ?


> Tout fonctionne, mais lorsque je vais sur les sites tel que
> www.mon-ip.com pour afficher mon adresse public il m'affiche l'adresse
> de mon proxy mais aussi l'adresse locale.
> Est ce que cela signifie que je dois modifier quelque chose au niveau de
> mon proxy pour cacher les adresses locales? Ou faut-il créer un règle
> qui change la source de destination du proxy?
>
> Cordialement
>
> Julien Mercier


    Le problème ne vient pas de netfilter, mais du proxy lui-même, car il
doit rajouter une instruction HTTP_FORWARDED (ou équivalent) dans le
header HTTP : http://en.wikipedia.org/wiki/Proxy_server


<extrait>
Some anonymizing proxy servers may forward data packets with header
lines such as HTTP_VIA, HTTP_X_FORWARDED_FOR, or HTTP_FORWARDED, which
may reveal the IP address of the client. Other anonymizing proxy
servers, known as elite or high anonymity proxies, only include the
REMOTE_ADDR header with the IP address of the proxy server, making it
appear that the proxy server is the client. A website could still
suspect a proxy is being used if the client sends packets which include
a cookie from a previous visit that did not use the high anonymity proxy
server. Clearing cookies, and possibly the cache, would solve this problem.
</extrait>

    La solution pour la configuration de Squid est là :
http://squid-web-proxy-cache.1019090.n4.nabble.com/How-to-turn-off-HTTP-X-FORWARDED-FOR-on-squid-3-and-setup-it-as-high-anonymous-proxy-td1033374.html


<extrait>
The single header_access directive from 2.X was expanded into
request_header_access and reply_header_access in Squid 3. My guess
would be that you were using "header_access X_Forwarded_For deny all".
This should be changed to "request_header_access X_Forwarded_For deny all".
</extrait>

    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!