installation de squid - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 04-04-2006 à 12:19:41
B0nd a écrit : |
Marsh Posté le 04-04-2006 à 13:17:36
- Puis je utiliser un seul server proxy pour l'ensemble de mes sites ?
Qu'est ce que tu appelle " bien sur, si ils utilisent tous le meme support pour sortir "
Et merci pour ta bonne volonté, les réponses aux questions
b0nd
Marsh Posté le 04-04-2006 à 15:50:21
B0nd a écrit : - Puis je utiliser un seul server proxy pour l'ensemble de mes sites ? |
Ils sortent tous par la meme connexion Internet?
Marsh Posté le 04-04-2006 à 23:00:58
Non, justement chaque ont un accès Internet free.
L'interconnexion de site à site (siege-filiale) se fait par un VPN.
Donc les filiales utilisent leurs propre connexion Internet pour surfer
A mon avis je crois que c'est mieu d'avoir un proxy par site (siege et filiale) car sinon j'aurais une surcharge de trafic au siege.
Ou alors, lorsque un utilisateur d'un filiale veut utiliser Internet passe par le proxy siege et que le proxy renvoie les paquet vers le réseau du filiale
Dis moi ce que t'en pense ou propose u
Marsh Posté le 04-04-2006 à 23:03:58
(suite)
Dis moi ce que t'en pense ou propose une solution plus complète et moins couteuse car je crois que ce n'est la meilleurs solution d'installer un proxy sur les 14 sites (filiale)
Merci d'avance
B0nd
Marsh Posté le 05-04-2006 à 09:47:33
Pour ma part, ce serait 1 par site parceque je me voit pas refaire passer tout le traffic par le VPN
Marsh Posté le 05-04-2006 à 13:02:28
Tout d'abord merci pour ton éclairage, mais je me permet de t'expliquer un peu plus en détail le réseau actuel
Actuellement les 14 filiale utilisent chacun une connexion VPN pour se connecter au réseau du siege
De plus le siège utilisent 2 connexion Internet, 1 pour les connexion filiale et un autre pour les utilisateur du siège
Donc j'ai déjà une communication de trafic VPN entre le siege et filiale qui est relativement correct
Mon idée serai installer sur ce meme réseau un 2 proxy pour filiales
Est ce que tu crois que le faite d'intercaler un proxy provoquerais une communication médicore.
Fonctionnement
Spoiler : user filiale demande une requete -->la requete rediriger vers le proxy-->le proxy valide par oui/non -->oui :le proxy renvoie la requete vers le routeur du filiale pour accèder à Internet. |
Peux tu me dire si mon raisonnement peut tenir la route ou pas
Merci
B0nd
Marsh Posté le 05-04-2006 à 13:05:25
Fonctionnement
user filiale demande une requete -->la requete rediriger vers le proxy-->le proxy valide par oui/non -->oui :le proxy renvoie la requete vers le routeur du filiale pour accèder à Internet.
Si c'est non : proxy renvoie à l'utilisateur un popup
Marsh Posté le 05-04-2006 à 16:27:58
B0nd a écrit : Fonctionnement |
C'est un proxy, donc le flux passe http passe obligatoirement par lui, et non pas seulement un ACK à une demande d'autorisation ou non
Marsh Posté le 05-04-2006 à 17:58:01
C'est un proxy, donc le flux passe http passe obligatoirement par lui, et non pas seulement un ACK à une demande d'autorisation ou non
je ne comprend pas ce que tu veut me dire, peux m'expliquer plus en détail
merci
B0nd
Marsh Posté le 05-04-2006 à 23:32:33
Egalement pouvez vous m'expliquer les termes suivantes car je n'arrive pas à comprendre la différence entre :
-squid
-squidguard
-squid transparents
Merci
B0nd
Marsh Posté le 06-04-2006 à 09:16:38
Je te renvois a ce lien que quelqu'un t'a déjà donné dans ce topic et qui explique bien tout cela :
http://christian.caleca.free.fr/squid/
Marsh Posté le 06-04-2006 à 22:00:27
J'eu la validation pour installer squid, pour l'instant on va acheté le serveur, puis dernère je vais commencer à installer debian et squid après.
Si besoin je vous demanderai votre aide. Pouvez vous m'aider SVP
Merci
B0nd
Marsh Posté le 07-04-2006 à 11:13:36
B0nd a écrit : C'est un proxy, donc le flux passe http passe obligatoirement par lui, et non pas seulement un ACK à une demande d'autorisation ou non |
Bah c'est ton squid qui telecharge la page que le client à demander et qui lui envoie
Marsh Posté le 07-04-2006 à 14:06:31
B0nd a écrit : Egalement pouvez vous m'expliquer les termes suivantes car je n'arrive pas à comprendre la différence entre : |
salut,
Squid est un proxy (mets en cache les pages internet statiques les + fréquemment accédées): donc quand tu essaies d'accéder à une page internet, la requête passe par squid qui vérifie si la page à laquelle tu tentes d'accéder n'est pas déjà dans son cache, si c'est le cas il te renvoie directement la page sans envoyer la requête sur le net, sinon il transmet la requête au site.
Squidguard est une extension (plugin?) de squid qui te permet de gérer des listes de sites interdits (site porno, webmail, site de paris...). A noter que Squid est capable de le faire sans squidguard via les ACL (access control list), mais ça devient vite très lourd à gérer, et c'est pourquoi squidguard est là
un proxy transparent: c'est simple, quand tu mets en place un proxy tu dois dire à tout tes utilisateurs de modifier leur paramètre de config dans firefox... pour leur dire qu'il faut passer par le proxy avec tel IP et sur tel port... le proxy transparent te permet de t'affranchir de cela (à condition que l'@ de la passerelle et celle du proxy soit la même).
Marsh Posté le 08-04-2006 à 16:06:12
ce qu'il faudrai à mon avis c'est un proxy par filliale, mais une bdd des sites interdits et autres parametres au siege
donc quand un proxy dois verifier si un site est authorisé, il demande à la bdd du siege, et apres il fait la connexion au site lui meme
donc le seul traffic filliales -> siege serai pour la connexion à la bdd
bon apres je sais pas si c'est possible
Marsh Posté le 13-04-2006 à 17:30:37
Un plus sur notre réseau
Je crois que je vous omis de vous parler d'une autre réseau qui est important. Les filiales que nous avons utilisent une connexion ICA pour se connecte à notre application métier, pour résumer nous avons une ferme citrix sur notre réseau.
Je vous en parle car j'ai une idée, pourquoi ne pas utilier cette connexion Citrix, je m'explique un peu de ce que je souhaite mettre en place :
Le réseau LAN utilisera un proxy-cache (Plutôt proxy transparent)
Le réseau des filiales utilisera le même proxy-cache en passant par une connexion ICA, c'est à dire sur leur bureau ils auront un IE publié qui utilisera le proxy-cache du LAN.
Voir le schéma Merci
Explication :
Pour le réseau LAN du siège
1- Lorsquun user souhaite se connecter sur Internet
2- User passe par le firewall/ routeur (port 80)
3- Le routeur renvoit les vers le port 8080 (PROXY), regarde les reglès puis renvoit ou non sur Internet
Pour le réseau Filiale
Le réseau des filiales utilisent une application publié, Ce que je compte faire cest utiliser un IE publié pour utiliser un seul PROXY se trouvant au siège
1- Un user du filiale lance IE publié et passe par le routeur, VPN, routeur du siege et arrive sur PROXY
2- PROXY renvoie ou non sur Internet selon les règles
PS : Dans le futur on va regrouper le réseau en 1, il ny aura pas 2 réseaux (FERME CITRIX + RESEAU LAN)
Merci de m'aider et de me dire si cela vous semble réalisable
Merci encore
B0nd
Marsh Posté le 13-04-2006 à 17:43:11
Il est vrai qu'il sera bien plus simple de publier un IE sur le citrix, comme ca, un seul proxy
On l'utilise nous mais en TSE, donc pas de difference
J'ai pas compris le PS
Marsh Posté le 13-04-2006 à 17:49:58
Ouaip ca me parait pas forcement etre une bonne idée....Tousd les postes de tes sites distants, ont ils accès a l'application metier?
Car si ce n'est pas le cas, va vaut dire que pour chaque poste ayant acces Internet, tu paies une licence citrix...
De plus, le flux citrix doit etre reservé (pour optimiser les perf) a ton application metier (nous sommes dans le meme cas dans notre entreprise)...
Ne melangeons pas tout, tu optimiseras mieux en placant un proxy par site...Enfin ca reste mon avis..
++
Marsh Posté le 14-04-2006 à 15:50:33
Ouaip ca me parait pas forcement etre une bonne idée....Tous les postes de tes sites distants, ont ils accès a l'application metier?
Pour répondre à ta question "OUI" les filiales utilisent tous une application CITRIX et de plus cette application n'utilise pas beaucoup la bande passante, je crois que cela ne posera pas de problème en performance, mais je vais comme même étudier ta question.
Ne melangeons pas tout, tu optimiseras mieux en placant un proxy par site...Enfin ca reste mon avis..
C'est vrai que je pourrais utiliser un second serveur Proxy mais niveau budget, c'est cho, neanmoins je vais voir avec mon boss
Cependant je ne sais pas trop comment on met se système en place (IE publié doit passer par le proxy), pouvez vous m'aider
Merci d'avance
B0nd
Marsh Posté le 18-04-2006 à 17:22:04
un proxy par site avec une db centralisée répliquée la nuit
Marsh Posté le 19-04-2006 à 10:44:16
un proxy par site avec une db centralisée répliquée la nuit
Aujourd'hui nous avons 14 sous - site (filiales) et nous (le boss) ne pouvons pas se permettre de nous investir sur un proxy par site, cela nous reviens trop cher (Une étude a déjà été fait par un ancien mec).
De plus nous comptons les revendre les filiales.
C'est pour cette raison là que nous avions choisi d'utiliser un IE publié (citrix)
Merci
B0nd
Marsh Posté le 20-04-2006 à 10:58:02
splurf : trop cher???
Je ne sais de quoi tu parles, concernant le IE publié ou 1 proxy par site ??
Mais je te repond "OUI" concernant la solution : Un proxy par site
B0nd
Marsh Posté le 20-04-2006 à 11:07:03
Par ailleurs une publication D'IE est une grosse faille de securité au niveau des serveurs metaframes .... C'est pourquoi presque personne n'utilise ce style de connection....
Un ex parmis tant d'autres : publie IE, connecte toi d'un client, dans ta barre d'adresse IE tu tapes p: (si le DD est d: ...) et ho miracle tu te retrouves sur le DD de ton serveur metaframe....Quand meme moyen non?
Je reste sur mes positions mais le but de citrix n'est pas de publier un acces Internet (surtout IE)...Tu peux faire un proxy avec une petite machine pas performantes (un peu d'espace disque) qui traine souvent dans les salles des tech ;-)
++
Marsh Posté le 20-04-2006 à 17:37:40
ReplyMarsh Posté le 20-04-2006 à 17:54:00
splurf a écrit : trop cher de récupérer une machine de spare pour faire un proxy? |
+1
tu recupere des vieu pc qui ne servent plus, ça fera tres bien l'affaire...
Marsh Posté le 27-04-2006 à 23:27:15
Salut à tous,
J'ai une question : a quoi la module SARG pour SQUID
Je vous assure que j'ai vraiement chercher sur le net mais cela ne m'explique pas à quoi il est sert, comment on install,.....
Pouvez vous m'aider sVP à me donner un coup de pouce
B0nd
Marsh Posté le 28-04-2006 à 08:34:23
Sarg est un analyseur de log squid....
Citation : Je vous assure que j'ai vraiement chercher sur le net mais cela ne m'explique pas à quoi il est sert, comment on install |
Heu, apt-cache show sarg
Citation : |
A installer en stable, j'ai eu, dernierement, des soucis de bugs avec la version testing..
++
Marsh Posté le 03-04-2006 à 23:04:19
Bonjour à tous,
J'ai un projet à réaliser sous une debian (c'est mon choix perso), INSTALLER UN PROXY
Mon directeur souhaite que je me en place aussi vite que possible car nous rencontrons des problèmes sur nos réseaux. Voici une brieve historique :::
- Actuellement nous avons 10 filiales qui ont un accès Internet, mais nous n'avons pas de control sur les divers connexions des utilisateurs.
- Nous rencontrons des soucis au niveau bande passante dû a des téléchargements transparents
- Beaucoup des utilisateurs passent leurs temps à se connecter sur des sites d'adulte, donc ils attrapent des virus, spyware....
- Pendant les heures de travail beaucoup d'utilisateurs utilisent MSN
Ce que mon entreprise souhaite :
- Une meilleurs visibilité sur différents accès de site web
- Un rapport mensuel sur les divers connexion par filliale
- Créer une liste pour bloquer les accès vers des sites non professionnel
- Alerter un utilisateur landa lorsque celui ci va sur des sites porno
Et encore d'autre chose; dite moi si vous avez d'autres idée pour la sécurité de l'entreprise
Ce que je compte faire (dite moi si c'est correct et me dire si cela peut se réaliser merci pour vos conseils)
- Installer un proxy sous squid
- Installer apache en plus pour pouvoir administrer squid via une interface web (je ne sais pas si cela est possible)
- Mettre en place des alertes lorsque un utilisateur essaye d'aller sur site non autoriser (exemple : vous n'avez pas le droit d'aller sur ce site, si cela est dans votre cadre professionnel, envoyer moi votre demande par mail.....), par contre je ne sais pas comment on met en place ce système.
Les questions que je me pose :
- Est il préférable d'utiliser debian pour installer squid ?
- Quel est la différence entre squid et squidguard ?
- Est il possible d'installer squid sur windows (moi je ne préfére pas, mais c'est une question de mon boss) ?
- Puis je utiliser un seul server proxy pour l'ensemble de mes sites ?
Merci d'avance pour vos réponses
B0nd