AccueilCalendrierFAQRechercherMembresGroupesS'enregistrerConnexion
Derniers sujets
» Cndidature de Xerxes
Sam 11 Juil - 9:56 par - tichan -

» Condidature Zizou-Touat
Lun 11 Mai - 20:36 par Cogitum

» candidature
Ven 13 Mar - 19:11 par flammenoire

» Candidature ryancooper885.
Dim 7 Déc - 11:23 par - tichan -

» candidature jcduss
Mar 4 Nov - 22:15 par jcduss

» Fabien88230 [En cours]
Sam 1 Nov - 14:13 par half life 92

» Candidature Ouatzefuk (bis)
Lun 22 Sep - 16:08 par Cogitum

» candidature lucky 33
Sam 20 Sep - 8:34 par poppen94


Partagez | 
 

 Eléments pour jouer à travers un proxy (c-a-d au taf)

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
ZapimaX

avatar

Messages : 344
Date d'inscription : 27/08/2012

MessageSujet: Eléments pour jouer à travers un proxy (c-a-d au taf)   Ven 19 Oct - 8:49

Vous avez constaté qu'Eredan ne passe pas les proxy. La raison est qu'il ouvre certains ports directement vers le serveur de Feerik sans utiliser la configuration du proxy du navigateur.

Il n'y a rien à faire au niveau navigateur pour contourner ce pb. L'idée générale est plutôt de forcer les connexions internet (TCP/IP) à passer par votre propre proxy mais de sorte que la conf du navigateur soit de type "pas de proxy" (no-proxy). Ensuite votre proxy se connecte au proxy que vous voulez traverser. Puis la connexion arrive vers un ordi sur internet que vous contrôlez et décode la connexion pour la rediriger proprement vers le serveur de Feerik. Les connexions retour se font de la même façon en sens inverse.

La machine sur laquelle tourne Eredan est votre poste de "travail". Selon la méthode utilisée, l'ordi qui sert de proxy peut ou ne peut pas être la même machine que votre poste de travail. Par contre il faut impérativement une machine accessible sur l'internet. Si vous avez un accès ADSL chez vous, c'est très simple, il suffit de laisser tourner votre machine lorsque vous pensez en avoir besoin.

Sur votre proxy et la machine externe, il faudra installer un logiciel pour gérer le bazar.

Ca donne ça :

Eredan (dans votre navigateur) => un ordi qui sert de proxy (peut être le même) => le proxy à traverser => un ordi à vous (sur internet)




Dernière édition par Loloic le Lun 7 Jan - 15:33, édité 2 fois (Raison : MAJ)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ZapimaX

avatar

Messages : 344
Date d'inscription : 27/08/2012

MessageSujet: Avec des machines Unix (Linux ou Mac OSX)   Ven 19 Oct - 8:50

Explication avec Unix

Prérequis

CONVENTION

Dans les exemple ci-dessous toto sera le nom de l'utilisateur de votre machine à la maison. Le nom de l'utilisateur de votre machine au taf sera zapimax.

Les commandes à taper sont encadrées par des guillemets, ne les mettez pas lorsque vous les tapez Smile

UNIX

Le plus simple est d'utiliser des machines fonctionnant sous une version d'Unix. Je ne parlerais pas d'Androïd, utilisé le plus souvent sur des tablettes ou des téléphones. Les Unix les plus courants sont Linux version Ubuntu et Mac OS X, l'Unix d'Apple (qui n'est pas un Linux).

Si vous avez a portée de main un Linux ou une Mac OS X la manip suivante est possible. Notez que c'est aussi possible sur des Unix tel que Solaris, AIX ou HP-UX.

Vous pouvez utiliser une solution mixte avec un Windows à la maison et un Unix au boulot ou un Windows au boulot et un Unix à la maison. Pour une solution complètement ou partiellement Windows je donnerais les billes dans un autre post.

WINDOWS AVEC UN LINUX DEDANS

Si vous n'avez que des Windows sous la main, il est possible de faire fonctionner un Linux facilement dans une machine virtuelle. Cherchez VirtualBox sur le net. Je ne vais pas expliquer comment installer Linux ou VirtualBox. Vous trouverez ça facilement sur le net, si vous avez des questions vous pouvez me les poser.

LOGICIELS

Je vais décrire ici une solution à base des logiciels ssh et sshuttle.

CONFIGURATION RÉSEAU

Il faudra impérativement configurer votre box ADSL (appelé routeur ADSL) pour autoriser certaines connexions entrantes. Cette partie de la configuration dépend de votre opérateur ADSL et/ou du manuel de votre routeur.

AUTRES PRE-REQUIS

Vous devez avoir le mot de passe administrateur des machines du boulot et celle de chez vous. Ca peut être problématique pour celle du boulot. L'alternative serait d'utiliser une machine virtuelle (VirtualBox) dans laquelle vous serez administrateur ou un ordi portable personnel (si c'est autorisé à votre taf).

Vous devez avoir le mot de passe de configuration de votre box ADSL, ce qui est normalement le cas.

Il est possible de traverser un proxy n'autorisant que les connexions de type Web, c'est à dire http ou https. C'est à dire, il est possible de passer à travers un proxy qui interdit le passage de ssh. J’expliquerais comment faire en dernière partie.

AVERTISSEMENT

Notez que les opérations nécessaires peuvent contrevenir à la charte d'utilisation du réseau de votre taf.

Il est nécessaire d'ouvrir une connexion vers votre machine, il existe des risques de piratage de votre machine. Je vais indiquer comment mettre en place une sécurité minimum.

Configuration de SSH et sshtuttle

Ssh est un logiciel qui permet d'ouvrir des connexions sécurisées entre 2 machines.

Sshuttle est un logiciel qui fait office de proxy transparent, c'est à dire un proxy sans avoir à configurer votre navigateur. Il se connecte via une connexion sécurisée utilisant ssh sur une machine distante. On appelle ça aussi un tunnel.

Ajoutez un utilisateur (c'est toto !), limitez ses droits d'accès. Choisissez un mot de passe complexe avec des chiffres, des lettres et des symboles d'au moins 12 caractères ex : eXy!3m3=ze-B3St. N'utilisez pas un mot de passe que vous utilisez par ailleurs. Cet utilisateur sera utilisé uniquement pour les connexions à distance.

Installez un serveur ssh sur votre machine chez vous. Sous Ubuntu, lancez le gestionnaire de logiciels ou packets (synaptic) et installez sshd aussi appelé openssh-server. Installez le package fail2ban, c'est une sécurité en cas de tentative d'attaque de votre machine via la connexion ssh. Normalement avec Ubuntu rien de plus à faire.

Sur Mac (NB j'ai pas de Mac sous la main). Allez dans préférences, partage, accès à distance (remote login en anglais) et choisissez comme utilisateur seulement Toto. Vous pouvez installer fail2ban pour Mac, l'explication dépasse le cadre de ce tuto. Fail2ban est une sacrée bonne sécurité contre les attaques par force brute et certaines attaques simples par déni de service. Si vous avez un mot de passe complexe ET autorisé seulement l'accès via Toto, fail2ban n'est pas obligatoire, néanmoins je préfère la ceinture et les bretelles Smile

Pour info, vous pouvez aussi installer le serveur ssh sur une machine Windows. freesshd me semble le plus simple à installer.

Configuration réseau

Vous devez aussi autoriser les connexions externes à venir sur le port du serveur ssh. Cela se fait sur l'interface de configuration de votre routeur ADSL. Cela vous permettra de vous connecter sur votre machine depuis le boulot.

La configuration dépend de votre opérateur (consultez la doc de votre opérateur). Vous devez rediriger les connexions sur le port 22 vers l'IP de la machine chez vous. Si votre machine obtient son IP par DHCP (le machin qui donne des adresses IP automatiquement), ce qui est le cas par défaut, vous devez lui fixer son IP. Autrement elle risque d'en changer et vous devrez changer aussi la conf de votre routeur ADSL à chaque changement.

Pour configurer une adresse fixe, le plus simple est d'utiliser l'adresse déjà attribué par le serveur DHCP de votre box. Utilisez le gestionaire réseau de votre machine pour la connaitre et la fixer. Si vous n'arrivez pas à connaitre les paramètres avec le gestionnaire :

Dans une console tapez "ifconfig -a". Vous allez avoir un truc cryptique et assez long du style

Code:
eth0     
          Link encap:Ethernet  HWaddr 00:14:4f:3a:61:ce
          inet addr:10.166.65.45  Bcast:10.166.65.255  Mask:255.255.255.0
...
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
...
          Interrupt:46

Ce qui vous intéresse c'est le "net addr:10.166.65.45 Mask:255.255.255.0", c'est l'adresse IP de la machine sur votre réseau à la maison.

Puis netstat -rn

Code:
Kernel IP routing table
Destination    Gateway        Genmask        Flags  MSS Window  irtt Iface
0.0.0.0        10.166.65.1    0.0.0.0        UG        0 0          0 eth0
10.166.65.0    0.0.0.0        255.255.255.0  U        0 0          0 eth0
169.254.0.0    0.0.0.0        255.255.0.0    U        0 0          0 eth1
192.168.122.0  0.0.0.0        255.255.255.0  U        0 0          0 virbr0

Ce qui nous intéresse est à l'intersection de la ligne comprenant UG et de la colonne gateway. C'est le routeur par défaut, c'est à dire l'adresse IP de votre box ADSL sur votre réseau à la maison.

Allez dans la conf réseau de votre machine (variable selon Ubuntu, Mac etc..) et forcez l'IP de votre machine à ces valeurs. "Net" étant l'IP, "mask" le masque de sous réseau et "gateway" le routeur.

Testez maintenant l'accès à votre machine à l'aide de ssh depuis chez vous. Cf le chapitre résolution de problèmes.

Utilisation de sshuttle

Testez maintenant l'accès à votre machine à l'aide de ssh depuis le boulot.

Sur votre machine au taf, chargez le zip de sshuttle, décompresser le quelque part et lancez la commande suivante dans un terminal.

Code:
cd /sshuttle/apenwarr-sshuttle-(version de sshuttle)
./sshuttle  -x 10.0.0.0/8 -x 172.16.0.0/12 -x 192.168.0.0/16 --dns -v -r toto@(ip de votre connexion adsl) 0/0

* IP de votre connexion ADSL : c'est l'IP de votre box ADSL sur le net. Ce n'est ni l'IP de votre machine à la maison, ni celle de votre box à la maison. Pour connaitre votre ip vous pouvez consulter la configuration de votre box ou simplement utiliser un service tel que mon ip depuis chez vous (pas depuis le boulot hein, sinon vous aurez votre IP du boulot !).
* Les "-x 10.0.0.0/8 -x 172.16.0.0/12 -x 192.168.0.0/16" correspondent aux plages d'adresse IP à ne pas faire passer par le tunnel. Ce sont les plages d'adresse internet non routables, potentiellement utilisées à votre taf. Dans des cas maintenant rarissimes certains organismes utilisent en interne des adresses routables. Si c'est votre cas il vous faudra compléter cette liste

Sshuttle va vous demander le mot de passe administrateur de la machine locale, si vous ne l'avez pas lancé comme administrateur. Ensuite, si tout va bien il va vous demander le mot de passe de votre machine à la maison. A partir de maintenant toutes les connexions vers l'extérieur, c-a-d, hors des plages d'adresses IP non routables (les -x ci-dessus) vont passer par le tunnel. Ca veut dire que ça passe par chez vous, donc ça sera lent, crypté jusque chez vous et non filtré.

Une fois la connexion réalisée, allez dans la conf proxy de votre navigateur, cochez "pas de proxy". Lancez Eredan

Traversée de proxy exclusivement http

(à compléter)

Généralement les proxy ne laissent passer que certains protocoles et rarement ssh. En utilisant corkscrew (tirebouschtroumph) on va expliquer à ssh comment se faire passer pour du web classique, c'est à dire du http. Sous Ubuntu corkscrew est installable via le gestionnaire de paquets.

Sur mac il faut le compiler, récupérer le binaire (ici par ex.) ou l'installer via un repository, ce qui dépasse le cadre de ce tuto.

Ensuite dans le fichier de configuration du client ssh, c'est à dire dans le répertoire /home/toto/.ssh/config on ajoute les lignes

Host *
ProxyCommand /chemin/d/acces/a/corkscrew http-proxy.exemple.com 8080 %h %p

- /chemin/d/acces/a/corkscrew est l'endroit ou se trouve le binaire corkscrew (tapez "which corkscrew" pour avoir l'emplacement si vous l'ignorez)
- http-proxy.exemple.com est l'adresse ou le nom du proxy de votre boulot.
- 8080 est son numéro de port
- %h %p sont utilisés par corkscrew.

Comment connaitre le nom du proxy, CF résolution de problèmes.

Résolution de problèmes

(à compléter)

TESTER LA CONNEXION SSH

La base du test est toujours la même. Ouvrez un terminal et tapez "ssh -v toto@(IP de votre connexion ADSL)". Le -v permet d'avoir une trace de ce que fait ssh. Le test se fait en 3 temps.

- Depuis votre machine à la maison en utilisant son adresse interne. Mais au lieu de mettre l'adresse IP de votre connexion ADSL, mettez l'adresse IP de votre machine sur le réseau de la maison. Ça va donner une commande du style "ssh -v toto@192.168.0.45" Si il échoue c'est que vous avez problème très basique probablement que vous vous êtes trompé d'adresse IP ou d'utilisateur. Essayez de comprendre la trace de la connexion, ça devrait vous aider.
Si ça marche passez à la 2eme étape.

(à suivre)

CONNAITRE LE NOM DU PROXY DU TAF

Regarder la Configuration réseau du navigateur. Pour Firefox c'est "préférence", "avancée", "réseau". Si c'est un fichier d'autoconfiguration simplement ouvrir le fichier en tapant l'URL dans le navigateur. Souvent le fichier pointe sur http://wpad/wpad.dat

Si c'est un fichier, vous allez avoir un machin cryptique mais vous reconnaitrez facilement l'URL du ou des proxy, elles sont du style http://proxy-cache.fr.machin.com:8080 ou http://123.45.67.89:8080

L'OPERATEUR NE DONNE PAS D'IP FIXE

(à compléter)


Dernière édition par ZapimaX le Ven 19 Oct - 12:34, édité 7 fois (Raison : ajouté conf ssh et proxy, et sécurité)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ZapimaX

avatar

Messages : 344
Date d'inscription : 27/08/2012

MessageSujet: Avec des machines Windows   Ven 19 Oct - 8:50

(explication avec des Windows)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Sangetsu17
Admin


Messages : 215
Date d'inscription : 31/07/2012

MessageSujet: Re: Eléments pour jouer à travers un proxy (c-a-d au taf)   Ven 19 Oct - 9:04

y'aura-t-il des explication mac?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
IDKant

avatar

Messages : 941
Date d'inscription : 04/08/2012
Age : 101
Localisation : PLOP

MessageSujet: Re: Eléments pour jouer à travers un proxy (c-a-d au taf)   Ven 19 Oct - 9:28

Mac OS, c'est un linux avec une surcouche, si tu sais passer en console tu pourra tout faire pareil Wink
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ZapimaX

avatar

Messages : 344
Date d'inscription : 27/08/2012

MessageSujet: Re: Eléments pour jouer à travers un proxy (c-a-d au taf)   Ven 19 Oct - 10:10

Oui je vais donner un max de billes pour Mac. Pour info Mac OSX utilises un Unix BSD open source mais propriétaire ce n'est pas un Linux. Mais bon c'est un peu sioux comme distinction Smile
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Eléments pour jouer à travers un proxy (c-a-d au taf)   

Revenir en haut Aller en bas
 
Eléments pour jouer à travers un proxy (c-a-d au taf)
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Eléments pour jouer à travers un proxy (c-a-d au taf)
» Trop un gros Chest pour jouer au tennis
» [Job Annexe] - Demande de Récompense pour Akira [30/03/14]
» Aide pour une Team Feunard.
» Une corde pour jouer? (Mini-jeu)

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Partie Publique :: Discussions Publiques :: Quelques tuyaux collectifs-
Sauter vers: