aide pour accés pop a travers squid

aide pour accés pop a travers squid - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-12-2007 à 15:25:17    

Go


Message édité par mickael1er le 28-07-2025 à 22:45:50
Reply

Marsh Posté le 03-12-2007 à 15:25:17   

Reply

Marsh Posté le 03-12-2007 à 16:23:18    

C'est plutot dans ton firewall qu'il faut faire des modif, pour moi j'ai  un truc genre:  
 

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELA
TED  --dport 110 -j ACCEPT
 
# Seules les connexions déjà établies ou en relation avec des connexions déjà ét
ablies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED  
-j ACCEPT


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 03-12-2007 à 17:56:44    

J'ai pas de firewall de type IPtables derriere
 
mais merci

Reply

Marsh Posté le 03-12-2007 à 18:03:02    

Explique ton architecture réseau dans ce cas.
Ton proxy squid est il transparent ? Tout les types de trafic (http, pop, ftp, imap, ssh...) sont censés passer par lui ?
Certains protocoles peuvent ils ne pas passer par ce proxy ? si oui par quel équipement passe t il ? y a til un firewall ou un équipement effectuant du routage dans l'histoire ?


Message édité par O'Gure le 03-12-2007 à 18:14:52

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 03-12-2007 à 18:06:50    

accés internet a l'aide d'un routeur environs 10 personne en accés direct en passant par le routeur et également j ai une 10 ene de poste derreire mon proxy pour donc limiter les accés au net qui lui pointe sur le routeur.

Reply

Marsh Posté le 03-12-2007 à 18:13:50    

Peux tu préciser les autres points que je t'ai demandé ?


Message édité par O'Gure le 03-12-2007 à 18:14:16

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 03-12-2007 à 18:16:24    

dsl proxy transparant non pas encore, ts les trafic oui car je défini le proxy dans les postes que je souhaite bloquer, et non pas de firewall proxy directe apres le routeur.
 
merci

Reply

Marsh Posté le 03-12-2007 à 18:18:15    

Citation :

les url_**** correspondent aux sites valable pour la ou les personnes
les nom_**** correspondent aux noms sites valable pous la ou les personnes
 


Là j'avoue ne pas comprendre, et j'ai du passer a travers les nom_
 
Bref les utilisateurs qui souhaite acceder à leur mail (donc pop / imap pas en webmail ?) et pour qui ca bloque passe par ton proxy?  
Bizarre car suivant ta conf, j'ai pas l'impression que la messagerie soit empacté par squid... Si tu les fais passer en direct sur le routeur, ca passe?
Si tu ajoutes le serveur de 1&1 dnas l'url_regex ca passe ou pas?
l'analyse de log squid nous en dira plus sur le bloquage...
 
++

Reply

Marsh Posté le 03-12-2007 à 18:20:11    

Tu as défini comment le proxy pour que outlook utilise le proxy pour le pop ?
Tu as regardé dans les logs de squid pour voir si il te refusait quelque chose (pour au moins s'assurer que tes outlook utilsent réellement ton proxy) ?
Tu es sûr que le trafic ne peux pas passer par autre part que ton proxy ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 03-12-2007 à 18:20:48    

oui ceux pour qui je souhaite qui acces a leur mail passe par mon squid et non si j'ajoute le pop.1and1.fr ca passe pas

Reply

Marsh Posté le 03-12-2007 à 18:20:48   

Reply

Marsh Posté le 03-12-2007 à 18:22:06    

pour outlook dans les parametre de connection j'ai défi que je passait par mon proxy non j'ai pas regarder mes logs j'admes  
passer par autre part non pas pour ces poste la pas de DNS défini ni passerelle

Reply

Marsh Posté le 03-12-2007 à 18:25:15    

Rho pinaize un petit effort syntaxique serait le bienvenue ...
Enleve le fait que tu passes par un proxy dans ta conf Outlook .... Pas de DNS Ni de passerelle pour ces clients ?

Reply

Marsh Posté le 03-12-2007 à 18:28:03    

dsl pour le syntax je vais faire mieux...
 
j'ai défini mon proxy dans ma config outlook et oui pas de DNS ni passerelle pour mes clients.
 

Reply

Marsh Posté le 04-12-2007 à 08:24:45    

amha, tu enlèves ta conf du proxy dans outlook, et tu définis une passerelle et un dns sur le client... Ton proxy ne doit faire proxy que sur http.. Il ne relais pas le pop ...
++

Reply

Marsh Posté le 04-12-2007 à 09:47:04    

mais comment fair epour qu'il relait du POP ?? a ce moment la ? snifff

Message cité 1 fois
Reply

Marsh Posté le 04-12-2007 à 10:04:21    

mickael1er a écrit :

mais comment fair epour qu'il relait du POP ?? a ce moment la ? snifff


si tu regarde la 2eme réponse ca devrait t'aider

 

comme tu me l'a demandé via mp voici mon script :

#!/bin/bash

 

# /8      /255.0.0.0
# /16     /255.255.0.0
# /24     /255.255.255.0
#
#

 

###################

 

LOCAL="eth0"
INTERNET="eth1"
PRIVATE="192.168.0.0/24"
POSTE="192.168.0.84"
SERVEUR="192.168.0.10"

 


# Fonction pour arrêter le firewall (on flush)
stop() {
echo -n "Flush des règles Iptables: "
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

 

#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

 

#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F

 

#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

 

iptables -X
iptables -t nat -X

 

# Message de fin ok
echo -e "[ \E[$40;32m OK \E[$40;0m ]"

 

#echo -e "[\E[$40;33mfailed\E[$40;0m]"#failed
}

 

start(){

 

echo -n "Chargement des règles Iptables: "

 

# Pour activer le forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

 

###################
# Pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
       echo 1 > $filtre
    done
fi
###################

  

###################
# Pas de synflood
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
###################

 

###################
# Pas de icmp

 

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
###################

 

modprobe ip_conntrack

 

modprobe iptable_nat

 

#modprobe iptable_filter

 

# Pour autoriser les connexions ftp :
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

 

# Pour autoriser le DCC sous IRC :
#modprobe ip_conntrack_irc

 

# Activation du partage de connexion
echo "1" > /proc/sys/net/ipv4/ip_forward

 


# Remise à zero d'iptables:

 

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
###################

 

# La on logue et on refuse le paquet
iptables -N LOG_DROP
iptables -A LOG_DROP -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 1 -- DROP '
iptables -A LOG_DROP -j DROP

 

# ici, on logue et on accepte le paquet
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j ULOG --ulog-nlgroup 1 --ulog-prefix 'RULE 2 -- ACCEPT '
iptables -A LOG_ACCEPT -j ACCEPT

 

######################################

  

###################
# Regles par defaut:
# on refuse les connexions entrantes
iptables -P INPUT DROP
# on refuse les connexions destinées à être forwardées
iptables -P FORWARD DROP
# les connexions sortantes sont refusées par défaut
iptables -P OUTPUT DROP
###################

 

# Translation d'adresse pour tout ce qui sort vers l'internet
iptables -A POSTROUTING -t nat -o $INTERNET  -j MASQUERADE

 

#####################################################################
# Regles générale sur les differente interfaces

 

# On accepte tout ce qui entre et sort de l'interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

 

# On accepte les packets entrants relatifs à  des connexions déjà établies sur l'interface connectée au net
iptables -A INPUT -i $INTERNET -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

  

# On accepte les packets entrants relatifs à des connexions déjà établies sur l'interface connectée au lan
iptables -A INPUT -i $LOCAL -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $LOCAL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 

####################################################################
# Regles

 

# Partage de fichiers uniquement en local

 

iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 445 -j ACCEPT

 

# on accepte l'envoie de mail sur le serveur a partir du reseau local
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 25 -j ACCEPT

 


# seulement mon poste peut acceder au serveur en ssh
iptables -A INPUT -i $LOCAL -s $POSTE -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT

 

# Webmin accessible seulement depuis mon poste
iptables -A INPUT -i $LOCAL -s $POSTE -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 10000 -j ACCEPT

 

#on laisse passer les requetes dns
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 53  -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53  -j ACCEPT

 

#on laisse passer le proxy
#iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 3128  -j ACCEPT

 

# on autorise le trafique web de partout
iptables -A INPUT -p tcp --dport 80  -j ACCEPT
iptables -A INPUT -p tcp --dport 443  -j ACCEPT

 

# Redirection du port 80 vers le port 3128 ( celui du poxy squid )
iptables -t nat -A PREROUTING -s $PRIVATE -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i $LOCAL  -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 3128  -j ACCEPT

 

############################################################
# Forwarding

 

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 

# Seules les connexions déjà établies ou en relation avec des connexions déjà établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT

 

# on bloque MSN
iptables -I FORWARD -p tcp --dport 1863 -j DROP

 

# Permet à l'ensemble du LAN de dialoguer sur internet avec la même adresse IP
iptables -t nat -A POSTROUTING -s $PRIVATE -j MASQUERADE

 


# Ici on refuse les connexion entrantes et les paquets invalides
iptables -A INPUT -i $INTERNET  -m state --state NEW,INVALID -j LOG_DROP
iptables -A OUTPUT -o $INTERNET  -m state --state INVALID -j LOG_DROP

 

# Toutes les règles qui n'ont pas passé les règles du firewall seront refusées et loguées...
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP

 


# Message de fin ok
echo -e  "[ \E[$40;32m OK \E[$40;0m ]"
}

  


case "$1" in
        start)
                start
                ;;
        stop)
                stop
                ;;
        reload)
                stop
                start
                ;;
         status)
                /sbin/iptables -L
                /sbin/iptables -t nat -L

 

                ;;
        *)
                echo -e "Usage: /etc/init.d/Firewall {start|stop|reload|status}"
                exit 1
                ;;
esac

 

exit 0


Message édité par carot0 le 04-12-2007 à 10:34:19

---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 04-12-2007 à 10:40:52    

Oui mais non, certes ton script est instructif, j'en garde d'ailleurs une copie ... Mais son soucis ne provient pas de là ...
squid n'est pas un proxy pop/smtp  mais http/ftp/Gopher...

Message cité 1 fois
Reply

Marsh Posté le 04-12-2007 à 10:56:30    

merci c est super simpa il a l air plutot complet et bien fait  
merci bcp

Reply

Marsh Posté le 04-12-2007 à 10:57:48    

boobaka a écrit :

Oui mais non, certes ton script est instructif, j'en garde d'ailleurs une copie ... Mais son soucis ne provient pas de là ...
squid n'est pas un proxy pop/smtp  mais http/ftp/Gopher...


oui donc c'est le firewall qui fait le forwarding pour que le pop soit relayé.
J'ai un squid également et il ne s'occupe que du trafique http. Pour que le pop puisse entré j'ai cette regle  

# Les connections venant du lan destiné a etre forwardé sont accepté
iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
# Seules les connexions déjà établies ou en relation avec des connexions déjà établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT



---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 04-12-2007 à 11:08:59    

Oki
 :jap:

Reply

Marsh Posté le 04-12-2007 à 11:11:05    

carot0 tu as un serveur mail ??  
merci  
 
boobaka tu penses que je devrais faire quoi ?  
 
merci

Message cité 1 fois
Reply

Marsh Posté le 04-12-2007 à 11:23:14    

mickael1er a écrit :

carot0 tu as un serveur mail ??  
merci  
 
boobaka tu penses que je devrais faire quoi ?  
 
merci


seulement un smtp sur la passerelle.
d'ou l'ouverture du port smtp et pour le reste le forwarding


---------------
In a world without walls and fences, who needs Windows and Gates
Reply

Marsh Posté le 04-12-2007 à 11:32:15    

donc ne possedant pas de serveur Mail je devrais forwarder le SMTP alors ? non ?

Reply

Marsh Posté le 04-12-2007 à 11:36:36    

ben oui, sauf si tu veux qu'ils recoivent seulement (pas d'envoi... juste du pop)


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 27-04-2009 à 17:04:54    

bonjour,
 
ayant le mm soucis mais ne comprenant pas tout, j'aimerais avoir une aide concernant ce sujet ....
 
Est ce que le problème à été résolu ?
Quelqu'un pourrait me consacrer un peu de temps pour ça ?
 
merci !
 
j'ai copié sur le serveur debian ceci :  

Code :
  1. # Les connections venant du lan destiné a etre forwardé sont accepté
  2. iptables -A FORWARD -i $LOCAL -o $INTERNET -m state --state NEW,ESTABLISHED,RELA
  3. TED  --dport 110 -j ACCEPT
  5. # Seules les connexions déjà établies ou en relation avec des connexions déjà ét
  6. ablies sont acceptées venant du Net vers le LAN
  7. iptables -A FORWARD -i $INTERNET -o $LOCAL -m state --state ESTABLISHED,RELATED 
  8. -j ACCEPT


 
et voici mon squid.conf :

Code :
  1. http_port 192.168.10.1:8080
  2. #dns_nameservers 194.2.0.50
  3. hierarchy_stoplist cgi-bin ?
  4. acl QUERY urlpath_regex cgi-bin \?
  5. cache deny QUERY
  6. cache_mem 128 MB
  7. #maximum_object_size 15 MB
  8. redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  9. #redirect_children 4
  10. acl apache rep_header Server ^Apache
  11. broken_vary_encoding allow apache
  12. cache_dir ufs /var/spool/squid 200 16 256
  13. access_log /var/log/squid/access.log squid
  14. hosts_file /etc/hosts
  15. refresh_pattern ^ftp:           1440    20%     10080
  16. refresh_pattern ^gopher:        1440    0%      1440
  17. refresh_pattern .               0       20%     4320
  18. acl all src 0.0.0.0/0.0.0.0
  19. acl manager proto cache_object
  20. acl sph src 192.168.10.0/255.255.255.0
  21. acl localhost src 127.0.0.1/255.255.255.255
  22. acl to_localhost dst 127.0.0.0/8
  23. acl SSL_ports port 443 # https
  24. acl SSL_ports port 563 # snews
  25. acl SSL_ports port 873 # rsync
  26. acl Safe_ports port 80 # http
  27. acl Safe_ports port 21 # ftp
  28. acl Safe_ports port 443 # https
  29. acl Safe_ports port 70 # gopher
  30. acl Safe_ports port 210 # wais
  31. acl Safe_ports port 1025-65535 # unregistered ports
  32. acl Safe_ports port 280 # http-mgmt
  33. acl Safe_ports port 488 # gss-http
  34. acl Safe_ports port 591 # filemaker
  35. acl Safe_ports port 777 # multiling http
  36. acl Safe_ports port 631 # cups
  37. acl Safe_ports port 873 # rsync
  38. acl Safe_ports port 901 # SWAT
  39. acl Safe_ports port 22 # SSH
  40. #acl Safe_ports port 1863 # MSN
  41. #acl Safe_ports port 6667 # IRC
  42. #acl Safe_ports port 5800 # VNC JAVA
  43. #acl Safe_ports port 5801 # VNC JAVA 2
  44. acl purge method PURGE
  45. acl CONNECT method CONNECT
  46. http_reply_access allow all
  47. icp_access allow all
  48. visible_hostname sph-server
  49. cache_mgr joelkomo@gmail.com,alex.rapior@gmail.com
  50. coredump_dir /var/spool/squid
  51. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  53. # Authentification by aRAPIOR && jKOMOROWSKI #
  54. #auth_param negotiate program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  55. #auth_param negotiate children 5
  56. #auth_param negotiate keep_alive on
  57. #auth_param ntlm program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  58. #auth_param ntlm children 5
  59. #auth_param ntlm keep_alive on
  60. #auth_param digest program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs.pwd
  61. #auth_param digest children 5
  62. #auth_param digest realm sph-server
  63. #auth_param digest nonce_garbage_interval 5 minutes
  64. #auth_param digest nonce_max_duration 30 minutes
  65. #auth_param digest nonce_max_count 50
  66. ###auth_param basic program /usr/lib/squid/ncsa_auth /etc/webmin/squid/users
  67. auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs
  68. auth_param basic credentialsttl 12 hour
  69. acl utilisateurs proxy_auth REQUIRED
  70. http_access allow localhost
  71. http_access deny !Safe_ports
  72. http_access allow purge localhost
  73. http_access allow !utilisateurs
  74. http_access deny purge
  75. http_access deny manager
  76. http_access allow sph
  77. http_access allow manager localhost
  78. http_access allow all


 
merci de votre aide !

Reply

Marsh Posté le 04-05-2009 à 15:13:42    

je me permets un petit up !

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed