none
Routage et accès distant : règles de filtrage inopérantes RRS feed

  • Question

  • Bonjour,

     

    Afin de filtrer le trafic Internet d’une école, j’ai installé sur un serveur (Windows SERVER 2012) le proxy open-source Squid. Pour m’assurer qu’aucune machine ne puisse contourner le filtrage du proxy (en s’adressant directement à la passerelle, que seul mon FAI peut gérer), j’ai placé physiquement le serveur entre le LAN interne et cette passerelle. Pour cela, j’ai paramétré les deux cartes réseau du serveur comme suit : une communique avec le LAN (IP 192.168.100.30), et l’autre communique avec la passerelle (IP 192.168.1.30). J’ai installé RRAS sur le serveur pour assurer le routage entre les deux cartes, et ça fonctionne parfaitement.

    Je paramètre ensuite Squid pour qu’il écoute sur l’interface réseau interne, sur le port 3128, et lorsque je définis les paramètres proxy du navigateur des ordinateurs de l’école sur cette adresse (IP 192.168.100.30:3128), le filtrage s’opère correctement.

    Le souci est que je ne peux pas gérer les paramètres locaux du navigateur de tous les clients (par exemple le wifi des étudiants, qui surfent sur leur propre ordinateur). Ceux-ci « traversent » en effet mon serveur sans souci, puisque RRAS fait (trop) bien son travail et les dirige automatiquement sur la passerelle, sans leur imposer de passer par la solution de filtrage (sur le port 3128).

    J’ai donc cherché à bloquer les paquets qui ne s’adressent pas à l’interface réseau interne sur le port 3128. J’ai d’abord tenté de le faire depuis le firewall, mais tout se passe comme si mes règles étaient purement et simplement ignorées (pas d’effet notable). En allant dans la gestion RRAS, j’ai défini un filtre d’entrée sur l’interface réseau interne : tous les paquets non « TCP - port 3128 » sont bloqués et cela fonctionne impeccablement.

    Mon dernier souci à finaliser (et là, je cale) : permettre également le passage des paquets relatifs à la messagerie électronique. J’ai donc rajouté des règles complémentaires au filtre d’entrée, en précisant que les paquets TCP adressés sur les ports 110 et 995 (POP), 143 et 993 (IMAP) et 25, 465 et 587 (SMTP) ne soient également pas bloqués. Impossible d’utiliser le mail pour autant (Outlook Office, Thunderbird, …) : les logiciels de messagerie restent dans l’incapacité d’envoyer ou recevoir leurs messages. Y a-t-il quelque chose que j’aurais mal paramétré ?

    Merci encore pour votre aide !

    vendredi 27 mars 2015 08:35

Réponses

  • Bonjour,

    D'après ce que vous décrivez, vous avez défini le filtre suivant :

     tous les paquets non « TCP - port 3128 » sont bloqués 

    en même temps vous voulez que :

    les paquets TCP adressés sur les ports 110 et 995 (POP), 143 et 993 (IMAP) et 25, 465 et 587 (SMTP) ne soient également pas bloqués

    le premier filtre est prioritaire => tout trafic non TCP 3128 est refusé y compris les comms pour de l'IMAP SMTP POP ...

    Lancez un coup wireshark et vous allez constater un blocage des paquets IMAP POP et SMTP.

    Je crois qu'il faut simplement refaire votre régle /filtre pour faire en sorte qu'uniquement IMAP POP SMTP avec leurs ports respectifs et les flux TCP 3128 soient autorisés, mais faut jouer sur l'ordre de traitement de ces filtres niveau RRAS.

    ++
    HK.


    Hicham KADIRI | Just Another IT Guy

    • Marqué comme réponse Boris Ivanov lundi 27 avril 2015 13:38
    mardi 7 avril 2015 19:33