Bonjour,

Pour un réseau domestique, avec des enfants grandissants dedans, et une
passerelle sur laquelle marchent dansguardian et squidguard (sur les
ports par défaut), avec un firewall qui dit entre autres (tout copié sur
internet):

## $EXT est l'interface qui sort sur internet...
$IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
80,3128 -j REDIRECT --to-port 8080
## evidemment, juste pour s'entrainer:
$IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j REDIRECT
--to-port 3128

Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
un port moins trivial que 6666).

La question: peut-on définir une règle qui permette de passer
directement, en évitant dansguardian et squidguard ?

--
Cordialement,

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sat, 15 Mar 2008 15:31:05 +0400, Frédéric Moinard <fcjotw@orange.fr>
wrote:
> Bonjour,

Bonjour,

> Pour un réseau domestique, avec des enfants grandissants dedans, et une
> passerelle sur laquelle marchent dansguardian et squidguard (sur les
> ports par défaut), avec un firewall qui dit entre autres (tout copié
sur
> internet):

[...]

> La question: peut-on définir une règle qui permette de passer
> directement, en évitant dansguardian et squidguard ?

Il faudrait, je pense préciser dans un premier temps quelles sont
les conditions pour ne pas passer pas le proxy (ordinateur, identitié,
port) ?

---
Franck Joncourt
http://www.debian.org/ - http://smhteam.info/wiki/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sat, 15 Mar 2008 15:31:05 +0400, Frédéric Moinard <fcjotw@orange.fr>
wrote:
> Bonjour,

Bonjour,

> Pour un réseau domestique, avec des enfants grandissants dedans, et une
> passerelle sur laquelle marchent dansguardian et squidguard (sur les
> ports par défaut), avec un firewall qui dit entre autres (tout copié
sur
> internet):

[...]

> La question: peut-on définir une règle qui permette de passer
> directement, en évitant dansguardian et squidguard ?

Il faudrait, je pense préciser dans un premier temps quelles sont
les conditions pour ne pas passer pas le proxy (ordinateur, identitié,
port) ?

---
Franck Joncourt
http://www.debian.org/ - http://smhteam.info/wiki/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Franck JONCOURT a écrit :
> On Sat, 15 Mar 2008 15:31:05 +0400, Frédéric Moinard <fcjotw@orange.fr>
> wrote:
>> Bonjour,
>
> Bonjour,
>
>> Pour un réseau domestique, avec des enfants grandissants dedans, et une
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
> sur
>> internet):
>
> [...]
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> Il faudrait, je pense préciser dans un premier temps quelles sont
> les conditions pour ne pas passer pas le proxy (ordinateur, identitié,
> port) ?

DéjÃ, je pense que pour comprendre le principe, un port devrait me
suffire...?

--
Merci

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Franck JONCOURT a écrit :
> On Sat, 15 Mar 2008 15:31:05 +0400, Frédéric Moinard <fcjotw@orange.fr>
> wrote:
>> Bonjour,
>
> Bonjour,
>
>> Pour un réseau domestique, avec des enfants grandissants dedans, et une
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
> sur
>> internet):
>
> [...]
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> Il faudrait, je pense préciser dans un premier temps quelles sont
> les conditions pour ne pas passer pas le proxy (ordinateur, identitié,
> port) ?

DéjÃ, je pense que pour comprendre le principe, un port devrait me
suffire...?

--
Merci

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

Frédéric Moinard a écrit :
>
> passerelle sur laquelle marchent dansguardian et squidguard (sur les
> ports par défaut), avec un firewall qui dit entre autres (tout copié sur
> internet):
>
> ## $EXT est l'interface qui sort sur internet...
> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
> 80,3128 -j REDIRECT --to-port 8080
> ## evidemment, juste pour s'entrainer:
> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j REDIRECT
> --to-port 3128

Pour s'entraîner à quoi ?
A quoi correspond le port 6666 ?

> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
> un port moins trivial que 6666).

Faire mieux que quoi ?

> La question: peut-on définir une règle qui permette de passer
> directement, en évitant dansguardian et squidguard ?

On peut par exemple insérer avant les règles de redirection une règle
avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
est en place.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

Frédéric Moinard a écrit :
>
> passerelle sur laquelle marchent dansguardian et squidguard (sur les
> ports par défaut), avec un firewall qui dit entre autres (tout copié sur
> internet):
>
> ## $EXT est l'interface qui sort sur internet...
> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
> 80,3128 -j REDIRECT --to-port 8080
> ## evidemment, juste pour s'entrainer:
> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j REDIRECT
> --to-port 3128

Pour s'entraîner à quoi ?
A quoi correspond le port 6666 ?

> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
> un port moins trivial que 6666).

Faire mieux que quoi ?

> La question: peut-on définir une règle qui permette de passer
> directement, en évitant dansguardian et squidguard ?

On peut par exemple insérer avant les règles de redirection une règle
avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
est en place.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonsoir,

Pascal Hambourg a écrit :
> Salut,
>
> Frédéric Moinard a écrit :
>>
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
>> sur internet):
>>
>> ## $EXT est l'interface qui sort sur internet...
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
>> 80,3128 -j REDIRECT --to-port 8080
>> ## evidemment, juste pour s'entrainer:
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j
>> REDIRECT --to-port 3128
>
> Pour s'entraîner à quoi ?

A essayer de comprendre un peu moins mal iptables ;-) ?

> A quoi correspond le port 6666 ?
A celui qui envoie directement sur squid sans passer par la case
dansguardian, non ? Ce qui évite à ceux aux courant (je rappelle: réseau
à la maison, les enfants vont forcément devenir inventifs...) de ce port
d'être filtré sur internet.

>> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
>> un port moins trivial que 6666).
>
> Faire mieux que quoi ?
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> On peut par exemple insérer avant les règles de redirection une règle
> avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
> sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
> est en place.

Normalement, oui. Je m'en vais me documenter dans cette direction, merci !

--
Cordialement,

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonsoir,

Pascal Hambourg a écrit :
> Salut,
>
> Frédéric Moinard a écrit :
>>
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
>> sur internet):
>>
>> ## $EXT est l'interface qui sort sur internet...
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
>> 80,3128 -j REDIRECT --to-port 8080
>> ## evidemment, juste pour s'entrainer:
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j
>> REDIRECT --to-port 3128
>
> Pour s'entraîner à quoi ?

A essayer de comprendre un peu moins mal iptables ;-) ?

> A quoi correspond le port 6666 ?
A celui qui envoie directement sur squid sans passer par la case
dansguardian, non ? Ce qui évite à ceux aux courant (je rappelle: réseau
à la maison, les enfants vont forcément devenir inventifs...) de ce port
d'être filtré sur internet.

>> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
>> un port moins trivial que 6666).
>
> Faire mieux que quoi ?
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> On peut par exemple insérer avant les règles de redirection une règle
> avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
> sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
> est en place.

Normalement, oui. Je m'en vais me documenter dans cette direction, merci !

--
Cordialement,

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

reBonsoir,

Pascal Hambourg a écrit :
> Salut,
>
> Frédéric Moinard a écrit :
>>
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
>> sur internet):
>>
>> ## $EXT est l'interface qui sort sur internet...
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
>> 80,3128 -j REDIRECT --to-port 8080
>> ## evidemment, juste pour s'entrainer:
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j
>> REDIRECT --to-port 3128
>
> Pour s'entraîner à quoi ?

ben... à pas être surveillé... y'a un âge où faut s'arrêter ?

> A quoi correspond le port 6666 ?
>
>> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
>> un port moins trivial que 6666).
>
> Faire mieux que quoi ?
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> On peut par exemple insérer avant les règles de redirection une règle
> avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
> sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
> est en place.
>

un exemple: je suis en train de passer un site qui tourne avec spip svn
en local en production ; sur le site public: une mise à jour de plugin;,
qui passe bien; en local (je sais, je n'ai pas tout bien fait dans
l'ordre), il faut télécharger
http://jquery.bassistance.de/validat....validate.zip; la mise Ã
jour rate avec des noms d'oiseaux qui citent entre autres pclzip; tour
sur google, rien de probant; en fait, c'est dansguardian qui me bloque;
donc, je préfère avoir aussi un accès non filtré à internet pour ce
genre de situation...

--
Cordialement,

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

reBonsoir,

Pascal Hambourg a écrit :
> Salut,
>
> Frédéric Moinard a écrit :
>>
>> passerelle sur laquelle marchent dansguardian et squidguard (sur les
>> ports par défaut), avec un firewall qui dit entre autres (tout copié
>> sur internet):
>>
>> ## $EXT est l'interface qui sort sur internet...
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport
>> 80,3128 -j REDIRECT --to-port 8080
>> ## evidemment, juste pour s'entrainer:
>> $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j
>> REDIRECT --to-port 3128
>
> Pour s'entraîner à quoi ?

ben... à pas être surveillé... y'a un âge où faut s'arrêter ?

> A quoi correspond le port 6666 ?
>
>> Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir
>> un port moins trivial que 6666).
>
> Faire mieux que quoi ?
>
>> La question: peut-on définir une règle qui permette de passer
>> directement, en évitant dansguardian et squidguard ?
>
> On peut par exemple insérer avant les règles de redirection une règle
> avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien
> sûr que tout le nécessaire pour que la passerelle fonctionne en routeur
> est en place.
>

un exemple: je suis en train de passer un site qui tourne avec spip svn
en local en production ; sur le site public: une mise à jour de plugin;,
qui passe bien; en local (je sais, je n'ai pas tout bien fait dans
l'ordre), il faut télécharger
http://jquery.bassistance.de/validat....validate.zip; la mise Ã
jour rate avec des noms d'oiseaux qui citent entre autres pclzip; tour
sur google, rien de probant; en fait, c'est dansguardian qui me bloque;
donc, je préfère avoir aussi un accès non filtré à internet pour ce
genre de situation...

--
Cordialement,

Frédéric Moinard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric Moinard a écrit :
> Pascal Hambourg a écrit :
>> Frédéric Moinard a écrit :
>
> A essayer de comprendre un peu moins mal iptables ;-) ?
>
>> A quoi correspond le port 6666 ?
> A celui qui envoie directement sur squid sans passer par la case
> dansguardian, non ? Ce qui évite à ceux aux courant (je rappelle: réseau
> à la maison, les enfants vont forcément devenir inventifs...) de ce port
> d'être filtré sur internet.
>

déjà si les enfant font un recherche sur ce forum il ont gagné l'accès
non filtré ...

--
dominix

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric Moinard a écrit :
> Pascal Hambourg a écrit :
>> Frédéric Moinard a écrit :
>
> A essayer de comprendre un peu moins mal iptables ;-) ?
>
>> A quoi correspond le port 6666 ?
> A celui qui envoie directement sur squid sans passer par la case
> dansguardian, non ? Ce qui évite à ceux aux courant (je rappelle: réseau
> à la maison, les enfants vont forcément devenir inventifs...) de ce port
> d'être filtré sur internet.
>

déjà si les enfant font un recherche sur ce forum il ont gagné l'accès
non filtré ...

--
dominix

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org