Avant de migrer, il y a 2 questions à se poser (à mon avis) :
- quel intérêt ? nouvelles fonctions ? plus beau ? aimer le changement ?
- y’a-t-il toutes les fonctions / mes plugins ?

Pour la première question, entre le fait que Mozilla sorte ces dernières semaines une version plus vite que certains ne changent de slip et que la version 6 se viande trop souvent quoi que j’y fasse (réinstall, vider tout ce que tu peux, en version portable ou pas, sur différents OS, en supprimant des plugins…) et que la réputation de Chrome, pour la rapidité, semble faite, c’était l’occasion de tester. Restait donc à trouver les plugins « manquants » au logiciel de base, à coup sûr le genre FireGestures, TabMix Plus etc…

Je propose d’ailleurs à Mozilla de sauter tout de suite à la version « 15 pro ». « firefox 15 pro », ça serait tout de suite mieux que tous les autres logiciels, puisque le numéro est plus gros. Et c’est pro.

Bon allez, on abrège :

Premiers pas

Reprise de données

Mes données firefox sont synchronisées par le logiciel Firefox lui-même et j’utilise principalement (je vais pas m’étendre là-dessus) un firefox – 5, donc – portable (et crypté).
Première mission : reprendre tout ça. Chrome reprend tout (mots de passe, historique etc) d’une version *installée* et *sans mot de passe principal*. J’ai donc dû installer un firefox « normalement », écraser le contenu du profil vierge (sous Windows, dans C:\Docs&Settings\moi\Mozilla....\profile....\) en faisant en plus sauter le mot de passe principal.
La reprise fonctionne alors très bien.
Penser à effacer cette copie de profile devenue inutile.

Proxy

Au boulot, il y a le proxy officiel, et mon proxy au bout d’un tunnel SSH. Dans les options de configuration, on s’aperçoit que Chrome ne propose que le proxy paramétré dans le système (IE) ! Sans blague ???? quel choix débile : si c’est sensé faciliter le fonctionnement pour un boulet lambda qui installe Chrome entreprise, bah il faut blâmer les administrateurs de ne pas l’autoriser avec packaging à la clef. Sinon, il faut les blâmer de laisser faire. Et dernier choix, le particulier qui utilise un proxy ??? ça devient rare, ou alors il est au courant. Il reprendra sa conf.
Bref, devant ce merveilleux choix, Google m’expliqua que je devais mettre –proxy-server=mon.proxy:mon_port dans la ligne de commande. Pratique et hautement configurable. Enfin bon, ça me suffit et je suis sûr qu’il y a un plugin pour améliorer ça

Divers, impression, synchro multi-poste

Bon ensuite c’est parti ça marche, je note rapidement 2 choses : on peut « épingler » les sites, comme dans les firefox récents et il y a une fonction pour imprimer sur une imprimante d’un autre PC avec Chrome. Il faudra que j’essaye ça : sortir un papier trouvé chez soi pour le boulot et réciproquement. Pourquoi pas.
Les onglets épinglés reviennent lorsqu’on relance. Pas les autres. On peut faire ctrl-shift-T pour rappeler tous les onglets fermés, mais il va falloir vite trouver TabMix+ ou équivalent. Il faut dire que j’avais un peu ignoré l’option qui justement restaure les onglets après fermeture. Ca fait déjà une bonne partie de ce dont j’ai besoin dans TMP.
Ayant un compte Google et utilisant un bon panel de leurs applications, la synchro de mes paramètres (mdp etc) est tombée sous le sens. Ca marche bien et chose terrible : en installant un chrome « normal » (pas portable) sur un autre PC à moi, la synchro aura même redescendu les plugins ! Pas mal.

Bon bah voilà, reste à affiner avec des plug-ins.
Ah, et les raccourcis clavier sont les mêmes, globalement.

Equivalence des plugins

FireGestures => Mouse Stroke

Pareil, voire mieux (paramétrable par application ?)
Les raccourcis de base sont les mêmes

Adblock+ => inchangé

Ne pas confondre avec la palanquée d’autres outils qui ont presque la même icone.

Fox To Phone => Chrome To Phone

Pareil. Je crois que le plugin vient de Chrome au départ, de toute manière.

Auto-Translate

Pareil en mieux.

Google + + (plus plus) => Publish Sync

Google++ génial sur le papier (publications FB/G+/Twitter depuis l’un des 3, vers les 3) n’a jamais fonctionné pour moi. L’extension Publish Sync, uniquement pour Chrome, était donc une belle occasion. Ben ça marche, nickel.

NZBdStatus => SABConnect++

Ca marche et c’est même mieux que le NZBdStatus que j’utilisais sur Firefox.

ReadItLater => une page web

Avec Chrome, ça propose une page web. Finalement c’est mieux que le bouton que j’avais sur Firefox.

TabMix + => FreshStart / Session Manager ?

Gros sujets bloquant plein de personnes (dont moi).
Je n’utilise que :
- la réouverture de la session, même en cas de crash
- la sauvegarde de quelques ensembles d’onglets pour faciliter l’accès simultané à un paquet donné de sites.
- la protection contre la fermeture / le changement d’url d’un onglet.
Le premier point est disponible de base, sauf en cas de crash. Ca semble apporté par « FreshStart », mais je n’ai pas encore réussi à planter le navigateur. On verra, donc. A ce propos, chaque onglet semble donner naissance à un processus système différent, ça limite peut-être la casse en cas de plantage d’un site.
Le deuxième point vient avec FreshStart – j’avais trouvé Session Manager au départ. Ca ne faisait que ça. A voir si tout ça remonte via la synchro Google sur un autre PC….
Troisième et dernier point : rien trouvé. Je m’en passerai. Quand on ferme un onglet par erreur, on peut facilement le rouvrir.

Je ne dis rien sur les options de navigation : ouverture et placement des onglets car il y a longtemps que j’ai arrêté de bidouiller tout ça. Je m’adapte au logiciel. Avec chrome, ça ouvre un onglet juste à droite de l’onglet courant. Bon, soit.

Easy Youtube Video Downloader => FastestTube

Ca marche, point. Intégration pareil : une liste déroulante sous la vidéo.
Je n’ai pas regardé d’outils multi-site (dailymotion & co)

FireBug => ?

Rien vu vite fait, à part que le bouton droit sur un élément puis « Inspect » sort déjà pas mal de choses. Au pire, vu les rares fois où j’ai besoin de FireBug, je lancerai mon bon vieux « Firefox 27.2 pro limited edition »

Nouveau : Chromium Wheel Smooth Scoller

Tombé dessus par hasard, c’est vrai que le scroll à la souris est bien plus fluide. J’adopte.

Nouveau : Abonnement RSS

Nouveau : FastestChrome

Sensé accélérer le chargement, précharger des pages, faire la cuisine etc. On me l’a recommandé, j’ai installé mais je verrai plus tard

Voilà pour ce tour d’horizon rapide. Yapuka ne pas être déçu maintenant.

Hop,
Dans une infra avec un proxy central et des sites distants reliés par des connexions assez lentes (et pas d’accès web direct), j’ai décidé de mettre en place des proxies « fils » sur les sites distants, pour soulager l’inter-site.
Manque de bol, à distance, uniquement des serveurs Windows sous la main…
Bon, squid existe sous Windows. Et « calamaris » n’est que du PERL. Ca doit pouvoir le faire.
Je fais cet article comme aide-mémoire, comme souvent, et surtout parce-que quand il faut automatiser des choses sous Windows, on voit vite que c’est vraiment la merde… Alors pour ne pas chercher 107 ans la prochaine fois, voici les quelques commandes à enchainer.

Et puis je n’avais pas envie/possibilité d’installer un superbe proxy-by-Microsoft, genre ISA ou je ne sais plus comment il s’appelle. Pas la peine non plus de chercher les ennuis quand on a un squid qui marche très bien

Je parle sur mon blog à différents moments de Squid, ou de proxy. Ca me fait penser que je n’ai rien écrit sur la mise en place d’un squid tout bête. On va considérer que c’est acquis. Sinon, avec le présent article et les autres, vous devriez avoir une certaine aide.

Installation et configuration des squid Windows

Je passe sur le aptitude install téléchargement à la main du gros zip contenant squid pour Windows, qu’on trouve à partir du site officiel (faut chercher un peu. Bon OK, c’est là). J’ai pris la même version que pour Debian Lenny, histoire d’interconnecter des squid de même génération… sait-on jamais. C’est donc la 2.7-STABLE7 (en fait ça doit être 2.7-STABLE5 en Debian, il me semble).
Ensuite, j’ai dézippé comme un cochon dans c:\squid\ et adapté la conf. Ce que je décris ci-dessous.

Configuration minimale

Il faut copier les fichiers c:\squid\etc\*conf.default en c:\squid\etc\*conf et adapter les contenus, notamment dans squid.conf :

• Adapter « acl localnet src » pour votre sous-réseau
• Déclarer le cache à utiliser : cache_dir ufs d:/squid/var/cache 4000 16 256
• Taille limite des objets mis en cache, à voir suivant votre cas : maximum_object_size 81920 KB
• Différents répertoires pour les fichiers de logs : cache_log d:/squid/var/logs/cache.log
• cache_store_log d:/squid/var/logs/store.log
• netdb_filename d:/squid/var/logs/netdb.state

J’ai voulu séparer les logs sur un disque à part. A noter les « / » (et non pas des « \ »).

Service, initialisation du cache

Ensuite, il faut installer le service et créer le cache (j’ai laissé le format de cache par défaut, une arborescence de répertoires avec des fichiers aux noms codés) :

cd c:\squid\sbin
squid -k
squid -i
net start Squid

A noter que le nom du service n’est pas spécifié, ce sera donc par défaut « Squid », c’est important pour la rotation de logs.
Le « net start Squid » ne devrait être fait qu’après configuration du lien avec le proxy « père » central, ce qu’on n’a pas encore fait. Mais bon, je le montre maintenant pour illustrer.

En images, ça donne :

Installation de Squid sous Windows

Déclaration du squid « père »

Dans la conf, il faut simplement caser un :

cache_peer proxycentral.maboite.fr parent 3128 3130 name=pxycentral
acl ftp proto FTP
always_direct allow ftp

J’explique : on déclare que ce proxy a un père (parent), sur le port 3128, machine « proxycentral.maboite.fr ». On attaquera l’interrogation du contenu de son cache via le protocole ICP (UDP/3130) et on le surnomme « pxycentral » dans les logs access.log histoire d’y voir clair.
Evidemment, le proxy central doit être ouvert sur le port TCP/3128 et UDP/3130 depuis les proxies « fils ».

Rotation de logs

Pour la rotation de logs, c’est en général un grand moment de bonheur pur sous Windows lorsqu’on amène un outil « du monde libre, tout ça » dans Windows. Heureusement ce coup-ci, Squid embarque ce qu’il faut :

c:
cd \squid\sbin
squid -k rotate -n Squid

Reste à mettre ça en « tâche planifiée » Windows.

Maintenant que ça tourne (testez), reste à synthétiser les logs, comme on le ferait naturellement sous Linux.

calamaris sous Windows, youpiiiii

Dans mon cas, ramener les logs sur un Linux qui aurait fait tourné calamaris était compliqué à mettre en oeuvre. Dans votre cas aussi, je suppose, car la rotation des logs fait que les fichiers sont renommés. Donc même avec un rsync (ou truc du genre), vous allez vous resynchroniser des Mo de logs (compressés éventuellement) à chaque fois.
Bref, j’ai opté pour un déploiement de PERL sur les serveurs distants et une « tâche planifiée » pour générer les pages statiques de statistiques des « fils » Squid.

Sous Windows, rien n’est fourni, je noterai donc ici la ligne de commande bien longue qu’on n’a pas besoin de chercher sous Linux, car les scripts « cron » sont fournis avec le paquet calamaris. Sous Debian en tout cas.

J’ai donc utilisé ActivePerl et récupéré calamaris en .tar.gz sur le site de l’éditeur. Manque de bol, j’ai retrouvé le même bug que décrit ici, donc j’ai fini par recopier le script perl /usr/bin/calamaris issu de ma Debian, patché pour corriger ledit bug.
Ensuite, plutôt que de ramer avec le fichier de conf, j’appelle calamaris en ligne de commande, via une « tâche planifiée », et ça fait le boulot. C’est pas terrible mais bon, ça marche.
Pire que tout, pour générer les stats « weekly » et « monthly », je recalcule tout en concaténant les différents « access.log.* » issus des rotations de logs, sur X jours.

En résumé, ça donne :

• Installation de ActivePERL
• Création dans C:\PERL\lib d’un répertoire calamaris avec les 3 fichiers .pm (modules PERL) pour la génération de graphiques dans les stats ; je n’ai pas trouvé comment lui spécifier d’utiliser ces modules, sans avoir à les copier dans PERL/lib. Je n’ai pas trop cherché non plus. Ca doit être avec « -I » ou quelque chose comme ça.
• Recopie du script « calamaris » issu de Debian, quelque part sur le Windows
• Mise en place de tâches planifiées appelant des « .bat » dans ce genre là :

  @echo off
  d:
  cd D:\calamaris-2.99.4.0
  type d:\squid\var\logs\access.log.0 | perl calamaris -a -F html,graph -H lookup --output-path d:\calamaris\output\daily

Notez que GD::Graph, nécessaire pour les graphiques, est installé par défaut avec ActivePERL.

Et voilà, mettez tout ça en oeuvre et ça devrait le faire.

Quelques remarques en vrac

Si tous les codes de retours de Squid ne vous parlent pas, lisez cette documentation là.

Comme je parle dans cet article d’un environnement mixte Windows & Linux, on peut parler de WSUS. Ces considérations pour Squid concernant les mises à jour Windows peuvent vous intéresser : http://wiki.squid-cache.org/SquidFaq/WindowsUpdate

    Bonjour à tous,

    Suite à une demande récurrente, et visiblement partagée par un certain nombre d'organisme, nous créons une nouvelle catégorie : "social_networks".

    Elle permettra de filtrer plus spécifiquement les sites de réseaux sociaux, en ne les incluant pas dans des catégories finalement inadaptées.

    Nous essayerons, tant que faire ce peut, de sortir les sites complets des autres catégories (par exemple facebook de la catégorie blog).

    Cordialement 

FIN

Pour faire suite à l’article sur la mise en place de Privoxy pour faire sauter les pubs dans toute votre société (ou chez vous sur votre petit réseau local), voici un complément : le filtre d’URL par catégorie.

J’ai eu l’occasion de jouer avec SquidGuard à travers un serveur IPCOP mis en place par mes soins dans l’école primaire de mon village, avec la bénédiction du Ministère de l’Education. Ca marche pas mal, il faut avouer. N’ayant pas de moyen, une école optera certainement pour des listes de filtrages gratuites. Si une seule était à retenir, ce serait celle de l’Université de Toulouse.

Deux objectifs possibles :

• éviter les abus en entreprises :sites sociaux à la facebook, vidéos à gogos, porno et autres contre-productivités sur le clavier etc…
• filtrer les sites pour vos enfants (lisez ça aussi, ça donnera d’autres pistes)

Mise en place sur Debian

Installation et docs de base

Contrairement à pas mal d’outils sous Debian, l’installation ne fait rien en soit, elle amène simplement de l’outillage et la plus grosse part est après.
Commencez par installer le logiciel, via un classique aptitude install squidguard.
Evidemment, votre squid est déjà en place et fonctionnel.

Pensez à lire le fichier /usr/share/doc/squidguard/README.Debian ; c’est d’ailleurs une règle générale après une installation de paquet Debian, mais surtout pour SquidGuard qui, après l’installation, ne fait rien tout seul.

Principes de fonctionnement

Je décris le principe avant de foncer la tête dans le guidon.

SquidGuard est simplement une sorte d’extension à base de scripts et d’ACL Squid pour filtrer des URL en se basant sur des domaines et des expressions régulières d’URL
Lui même n’apporte aucun niveau de filtrage et il faudra aller chercher une liste à jour de sites. C’est là toute la difficulté.
J’arrête tout de suite ceux qui pensent bloquer facebook.com en écrivant une ACL bidon genre deny blabla facebook.com dans Squid. Entre les sites genre how-to-un-unblock-facebook.com et les « redirectors » genre proxies anonymes, ce sera impossible. D’où l’aide de listes, payantes ou non, robotisées ou non, mises à jour régulièrement ou non.
Soit vous payez une liste type urlblacklist.com, soit vous optez pour une gratuite, mais néanmoins efficace, comme celle de l’Université de Toulouse, cf. plus haut. Sinon, allez voir là – je n’ai pas testé les 2 premiers liens.

La README évoqué ci-dessus parle d’un paquet « chastity-list », apt-cache search chastity n’ayant rien donné, je n’ai pas cherché plus loin.

Une fois la liste choisie, vous obtiendrez généralement des fichiers textes, classés par catégories. Il faut les transformer en base de données type Berkeley-machin (fichiers .db) pour qu’ils soient efficaces en mémoire.
Ce sera évidemment à scripter automatiquement toutes les nuits (nouvelles listes => nouveaux .db => rechargement de Squid).
A noter que les fichiers .db seront générés par SquidGuard uniquement lorsqu’il verra que vous utilisez telle ou telle catégorie dans /etc/squid/squidGuard.conf. SquidGuard n’ira pas compiler les bases inutilisées (ce qui prend du temps sur des grosses listes, genre « adult » (=porno))

Enfin, vous ajouterez les catégories qui vous intéressent en ayant pris soin de créer une belle page qui indique à l’utilisateur pourquoi tel site est bloqué (je suis sympa, je vous fournis un tel script minimaliste ; en gros une correction de celui fourni dans le package SquidGuard qui est passablement foireux)

Je ne parle pas des aspects communication en entreprise : filtrer les sites aura sûrement un impact important sur le moral des troupes, fonction du gain de bande passante, fonction de la productivité

Mise en place pratique

J’illustre la suite par le blocage de la catégorie « hacking », où l’on pourra tester par exemple www.warez.com, à partir des listes de l’Université de Toulouse

Récupération de la liste de l’Université de Toulouse

La base : récupérez soit une catégorie, soit la totalité (je pars sur cette option). Voyez l’explication de chaque catégorie ici.

mkdir /root/squidguard
cd /root/squidguard
wget ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
tar xzvf blacklists.tar.gz
mv blacklists/* /var/lib/squidguard/db/
chown -R  proxy:proxy /var/lib/squidguard/db/

Choix d’une catégorie

Dans /etc/squid/squidGuard.conf, on va toucher le minimum. Ajoutez n’importe où :

dest hacking {
   domainlist hacking/domains
   urllist hacking/
   log guard_hacking.log
}

Pour savoir si une catégorie contient des « domaines », des « URL » ou des « expressions », allez voir dans /var/lib/squidguard/db/la_categorie/. En effet, seules quelques catégories ont des « expressions », il s’agit avant tout des catégories de pubs. Je considère que privoxy est là pour ça. Donc je n’ajoute pas expression hacking/expressions (même pas sûr de la syntaxe). Pour m’assurer que les « expressions » sont utilisées uniquement pour la pub, j’ai fait ça et vu des fichiers de taille 0 ou non-existant pour la plupart des catégories :

srv:/var/lib/squidguard/db# ls -l */expres*
-rwxr-xr-x 1 proxy proxy  57 2006-05-10 07:47 ads/expressions
-rw-r--r-- 1 proxy proxy   0 2005-10-18 16:51 adult/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 aggressive/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 agressif/expressions
-rw-r--r-- 1 proxy proxy   0 1999-03-04 08:07 forums/expressions
-rw-r--r-- 1 proxy proxy   0 1999-03-04 08:07 mail/expressions
-rw-r--r-- 1 proxy proxy  42 2009-03-19 10:42 malware/expression
-rw-r--r-- 1 proxy proxy  47 2009-03-20 13:30 malware/expressions
-rw-r--r-- 1 proxy proxy   0 2005-10-18 16:51 porn/expressions
-rw-r--r-- 1 proxy proxy   0 1999-10-06 17:37 proxy/expressions
-rwxr-xr-x 1 proxy proxy  57 2006-05-10 07:47 publicite/expressions
-rw-r--r-- 1 proxy proxy   0 1999-10-06 17:37 redirector/expressions
-rw-r--r-- 1 proxy proxy 123 2005-06-14 21:33 strict_redirector/expressions
-rw-r--r-- 1 proxy proxy 505 2006-05-23 22:05 strong_redirector/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 violence/expressions
-rw-r--r-- 1 proxy proxy   0 1999-04-19 14:04 warez/expressions

Ensuite, on indique à SquidGuard (donc à Squid) comment réagir pour cette catégorie. Modifier la section acl {} du fichier /etc/squid/squidGuard.conf pour qu’il y ait ça (gardez ou non la palanquée de lignes de commentaires) :

acl {
   default {
      pass !hacking all
      redirect http://srv/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u
   }
}

Si vous voulez bloquer plusieurs catégories, ce sera à base de pass !hacking !adult !blabla all.
Notez dans la section acl {} l’adresse de redirection utilisée : une page spéciale hébergée sur le serveur, nommée squidGuard-simple.cgi. Il faut maintenant la mettre en place.
A noter aussi, il me semble que de base, la ligne « redirect » contient des « + » à la place des « & » pour passer les arguments. J’ai pas bien pigé, j’ai toujours vu des « & » et avec les « + », ça ne marchait pas.

Redirection vers une page spéciale

• Attention, j’ai ouï dire que si le script n’était pas là, ça passait silencieusement et la requête aboutissait malgré la demande de blocage. Je n’ai pas testé, j’ai surtout testé une URL de chaque catégorie que je suis censé bloqué.
• Je considère que votre site web est configuré pour que /cgi-bin/ soit en un « Alias » de « /usr/lib/cgi-bin/ », c’est en général défini dans la configuration par défaut d’Apache2 et vous pouvez vous en assurer rapidement avec cette commande grep cgi-bin /etc/apache2/sites-enabled/* pour voir si ça répond – en gros.
• La liste des variables que l’on peut passer au script de redirection est donnée dans la doc HTML, /usr/share/doc/squidguard/CONFIGURATION.html

Deux scripts sont fournis par le mainteneur du paquet Debian pour nous donner une trame pour l’écriture du script de redirection – le script qui dira « accès bloqué blabla, si vous pensez que c’est une erreur, contactez l’administrateur blabla ». Ils sont là :

srv:/var/lib/squidguard/db# dpkg -S squidGuard*.cgi
squidguard: /usr/share/doc/squidguard/examples/squidGuard.cgi.gz
squidguard: /usr/share/doc/squidguard/examples/squidGuard-simple.cgi.gz

Le premier est apparement plus complet, prévu pour du multi-langues etc, mais récupère comme un pied les variables qu’on lui passe. J’ai opté pour l’autre car rapidement, j’ai pu mettre en place une page qui indiquait clairement et simplement le site bloqué, la catégorie, l’IP du demandeur et donnait le mail de contact de l’administrateur.
Donc soit vous optez pour ces scripts, soit pour le mien fourni ici, basé sur le 2è script, traduit en français et épuré de certains trucs inutiles. Voyez :

On est fin prêt pour un test grandeur nature.

Relance de Squid via la compilation des listes de blocage

Lancez la commande /usr/sbin/update-squidguard pour contrôler les droits sur les fichiers de /var/lib/squidguard/db/ et générer les .db.
Attention, sur la liste « adult » (environ 1 million de domaines), ça peut prendre quelques minutes.
Ce script recharge Squid.
Testez un site de la catégorie « hacking », exemple www.warez.com

Script de mise à jour automatiques des listes

Voici un script que j’ai mis en crontab pour automatiser la récupération de la liste de l’Université de Toulouse (si mise à jour), la mise à jour qui va bien, création de .db et relance de Squid.

srv:~# cat /root/squidguard/update_toulouse.sh
#!/bin/sh
cd /root/squidguard
wget -N ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
rm -rf blacklists
rm -rf /var/lib/squidguard/db/*
tar -xzvf blacklists.tar.gz
# proprio et perm fixées de toute manière par update-squidguard
chown -R proxy:proxy blacklists
mv blacklists/* /var/lib/squidguard/db/
/usr/sbin/update-squidguard
# A priori, si le site est down ou connx internet HS, on reutilisera le .tar.gz actuel
# donc pas de risque de se retrouver avec une base vide

Mettez les droits d’exécution via chmod u+x /root/squidguard/update_toulouse.sh et collez ça dans la crontab :

0 3 * * 1-5     root    /root/squidguard/update_toulouse.sh

Ca devrait rouler !

Divers

Log des accès interdits

J’ai passé sous silence la ligne « log guard_hacking.log ». Elle est optionnelle et permet de garder ou non une trace des accès interdit, par catégorie. A voir, vie privée des gens, tout ça. J’ai choisi de la nommer quelque_chose.log car ce fichier ira directement dans /var/log/squid/ et sera donc « logrotaté » naturellement comme tous les logs Squid, via ce qu’on trouve en standard dans le logrotate de Squid, /etc/logrotate.d/squid, à savoir : /var/log/squid/*.log
Vu ?

Plages horaires

Vous noterez que la conf simpliste ici peut être étoffée, dans le fichier /etc/squid
/squidGuard.conf, vous avez tous les commentaires nécessaires, notamment pour faire du [dé]blocage par plages horaires.

D’autres compléments pour Squid ?

Après Privoxy, il faudrait un 3è article maintenant sur HAVP. Je vais y penser éventuellement.

Générer la conf pour toutes les catégories

Ne réutilisez pas le résultat brutalement, vous bloqueriez même Google, car il est listé dans ce qui ressemble plus à une whiteliste propre à l’Université de Toulouse, la catégorie « liste_bu ».
Afin d’obtenir la liste complète des déclarations de catégories pour squidGuard.conf, vous pouvez utiliser celà :

srv:/var/lib/squidguard/db# for i in `find . -maxdepth 1 -type d|awk -F'/' '{print $2}' | sort`
do
	echo -e dest $i {
	echo -e \\t"domainlist $i/domains"
	echo -e \\t"urllist $i/urls"
	echo -e \\t"log guard_$i.log"
	echo }
done

Allez zou, mise en place de la chose sur un serveur avec Squid, pour en faire profiter tout le monde.

Quelques remarques par rapport à Debian

Je ne connais pas trop le rythme d’update des règles de privoxy. Ce que j’en ai compris, c’est qu’elles sont intégrées au package privoxy. A mon sens, ça devrait être dissocié, par exemple dans le dépôt « volatile ».
Ca ne l’est pas. Et comme les pubs évoluent, j’ai un peu hésité.

EDIT : j’ai changé d’avis sur ce qui suit : j’ai pris la version officielle Debian. Cf. les commentaires

Finalement, j’ai opté pour la version packagée Debian sur le site de privoxy plutôt que la version officielle dans la « stable ». Moins pratique pour mettre à jour, mais je n’aimerais pas qu’un nouveau genre de pubs ne soit pas filtré ou à l’inverse, trop de coups de haches sur certains sites.
En « stable », on est en 3.0.9 si je ne dis pas de bêtise, contre 3.0.12 en .deb sur le site.

J’ai aussi essayé de trouver une méthode facile pour convertir les expressions régulières d’Adblock Plus pour privoxy. J’ai lâché l’affaire. Si quelqu’un sait faire, ça peut être intéressant.

Quelques chiffres après 2 semaines d’utilisation

Histoire de mettre l’eau à la bouche. 100 personnes surfant raisonnablement ont vus (façon de parler) 10% de leurs requêtes bloquées par privoxy. C’est toujours ça d’économisé, mais c’est surtout le gain sur la pollution visuelle qui vaut le coup.
Je n’ai pas vu de différences sur quelques sites où j’avais l’habitude d’aller via « Firefox+AdBlockPlus » par rapport à « n’importe quel navigateur+privoxy sans adblock plus évidemment ».

Mise en place sur Debian

Installation

Installez donc le package Debian , précédemment téléchargé, avec la commande suivante :

dpkg -i privoxy_3.0.12-1_i386.deb

Paramétrage et tests de base

Tout se passe dans /etc/privoxy/config. Vous n’avez qu’une chose à modifier pour tester votre privoxy en direct :

listen-address  localhost:8118

Si le service est sur un serveur (et pas votre PC), changez « localhost » en « * » ou l’IP de la machine sur le LAN et relancez via /etc/init.d/privoxy restart
Bien sûr, il faut indiquer à votre navigateur d’utiliser le proxy sur cette machine, port 8118.
A la fin : faites bien attention à la valeur choisie (ou à vos règles de firewall si elles filtrent l’accès au serveur squid/privoxy), il ne faudrait pas qu’un utilisateur puisse adresser en direct privoxy en court-circuitant squid…

Interco avec Squid

La doc officielle de privoxy dit de chaîner dans l’ordre : PC -> squid -> privoxy
Il doit y avoir une raison, peut-être pour ne pas court-circuiter les éventuelles ACL de Squid, qui permettraient par exemple un certain traitement suivant l’IP source de la requête.
Bon bref, c’est donc au niveau de Squid qu’il faut paramétrer. Cherchez le mot « squid » dans la doc http://www.privoxy.org/user-manual/config.html. En résumé, ajoutez où il faut dans /etc/squid/squid.conf :

cache_peer 127.0.0.1 parent 8118 7 no-query
acl ftp proto FTP
always_direct allow ftp
never_direct allow all

Dans l’exemple, 127.0.0.1 indique que privoxy est sur la même machine que squid, sinon mettez l’IP de privoxy, et son port, par défaut 8118.
A noter que squid fait proxy FTP dans mon exemple, sinon adaptez.
Relancez squid, un /etc/init.d/squid reload doit suffire.

Pour voir les stats vite fait

http://p.p/
Ca peut servir pour configurer l’outil aussi, si vous avez activé ce qu’il faut
Evidemment, vous serez gentils de whitelister michauko.org. Je me suis pas tapé la mise en place de Google AdSense pour rien ouais bon, ça va… c’est pour financer un jour quelques mois de mon serveur…

A suivre

L’article SquidGuard, l’ami de Squid quand l’accès Internet est un peu trop surchargé par 99% d’inutile.

Let’s go
En relisant l’article, je vois que c’était vraiment vulgarisé pour être accessible au plus grand nombre, pardonnez donc les imprécisions techniques et le baratin simplifié – MERCI

–

J’ai écrit ce document pour 2 raisons. La première est que j’en ai marre d’expliquer sans cesse à mes amis cette méthode, la deuxième est que c’est vraiment une méthode très pratique, puissante et qui n’a que quelques limitations (et encore – voir chapitre à venir : VPN sur SSH).

1. Avez-vous besoin de SSH au boulot ?

Vous êtes 8h par jour au boulot et le proxy chargé de la sécurité de l’entreprise se charge surtout de vous bloquer quelques sites web et quelques protocoles réseaux à priori non professionnels. En gros, il vous emmerde à longueur de temps et vous aimeriez pouvoir faire les choses suivantes depuis votre boulot :

• Lire vos mails en POP, IMAP (par un client mail classique plutôt que via le web et l’interface nullissime de votre fournisseur).
• Utiliser Jabber, ICQ, MSN (ou autre protocole) depuis le boulot pour pouvoir rester en contact avec belle-maman.
• Prendre le contrôle à distance (VNC, pcAnywhere etc) de votre PC perso avec sa ligne ADSL pour faire je ne sais quoi. D’autant plus que des outils comme VNC ne gèrent tout simplement PAS les proxys.
• Suivre les résultats du football ou consulter un site d’actualités – en général le proxy bloque largement les sites foot, jeux, facebook et bien d’autres.
• et plein d’autres choses encore…

Dans ce document, je présenterai le concept ainsi que la mise en oeuvre de la solution (sous Linux ou Windows).

2. Principe général

SSH est un outil qui permet de se connecter à une machine distante en mode texte. Sous Linux, on accède à un shell, sous Windows, on pourra voir ça comme l’accès à une fenêtre DOS, à priori pas très utile, certes. Ca ressemble donc de loin à une connexion telnet, sauf que c’est laaaaargement plus sécurisé (je n’en débattrai par ici mais vous pouvez me croire sur parole) et beaucoup plus puissant.
SSH permet notamment de faire du transfert de fichiers (SFTP) et surtout, des tunnels de communication, dans les deux sens (vous comprendrez plus tard). Un tunnel va servir à encapsuler (capturer) des flux réseaux entre le SSH client (votre PC en entreprise avec accès web restreints qu’on veut contourner) et votre serveur SSH (votre PC à la maison avec ADSL branché 24/24).

Tout se résume à ça : le client SSH établit une connexion avec le serveur SSH à travers le proxy en utilisant une connexion autorisée par le proxy (méthode CONNECT vers un port autorisé). Ensuite, grâce à ça, des tunnels vous permettront de faire passer presque n’importe quoi à travers le proxy (voir chapitre 4 sur les limitations de ce système).

Le client SSH que j’utilise est putty (premier lien sur google), c’est un client libre, gratuit etc, qui permet de faire du telnet, du ssh et surtout d’utiliser les fonctionnalités de ssh, les tunnels par exemple. Il sait aussi se connecter à travers un proxy.

3. Mise en place

3.1. Côté serveur SSH

Chez vous, il faut d’abord installer un serveur SSH.

3.1.1. Installation

Sous Linux, vous trouverez forcemment un paquet correspondant à votre distribution. Exemple sous Debian, tapez « apt-get install ssh » et ça devrait le faire.

Sous Windows, c’est moins simple. Je ne connais pas d’implémentation libre directement fonctionnelle sous Windows. Et comme vous n’allez quand même pas payer la version payante de www.ssh.com, vous devrez utiliser www.cygwin.com pour installer un « environnement Linux dans votre Windows ». Cet environnement comprend ensuite la plupart des outils Linux, dont OpenSSH bien sûr. Deux options (au moins) s’offrent à vous :

• Installer cygwin de manière classique avec ce qu’il faut, notamment le paquet ssh (il vous faudra lire un peu de doc à priori).
• Utiliser le projet sshwindows qui propose un programme d’installation global comprenant un cygwin minimaliste et sshd associé. Je n’ai pas testé personnellement cette solution.

Présentation barbare de l’installation de cygwin : dans les grandes lignes, vous téléchargez le setup.exe puis vous choisissez un miroir de téléchargement, vous installez le minimum vital (par défaut je crois) et vérifiez bien que le paquet ssh est inclus. Au final, vous obtenez une sorte de raccourci façon « fenêtre DOS », sauf que vous êtes dans un environnement Linux et disposez de sa panoplie d’outils en ligne de commande et même graphique si vous cherchez bien (pour peu que vous ayez installé les paquets qu’il faut).

3.1.2. Génération des clefs

Si vous ne connaissez pas le principe d’authentification par clefs de SSH, sachez juste que vous devez générer une paire de clefs cryptées utilisées pour la communication entre le serveur et les clients. Même si dans ce document je ne vais pas détailler l’authentification par clefs, mais juste par mot de passe, cette paire de clefs est nécessaire pour l’identification du serveur et pour les premières étapes de l’établissement de la connexion (par mot de passe).
Si vous avez installé SSH sous Debian, le programme d’installation génère automatiquiment les clefs, pour les solutions, je ne sais pas. Sous cygwin par exemple, vous devrez donc générer ces clefs via la commande « ssh-keygen -t dsa ». Vous pourrez voir ces clefs dans « /etc/ssh », les fichiers sont ssh_host_dsa_key*.

3.1.3. Etape supplémentaire pour Cygwin

Un détail sous cygwin (encoooooore), il faut que vous lisiez les docs pour savoir comment lancer le serveur SSH en tant que service Windows plutôt qu’à la main le matin en partant au boulot… (cherchez des infos sur le programme cygrunsrv.exe). Pour la version « packagée » par le projet sshwindows, je ne sais pas, lisez la doc.

Sous Linux, ce sera forcemment fait automatiquement.

3.1.4. Changement du port du serveur SSH

SSH tourne sur le port 22 par défaut et vous pouvez être quasimment sûr que le proxy du boulot bloque ce port. Donc vous ne pourrez pas atteindre votre serveur depuis chez vous. Ajoutez donc dans le fichier de configuration de sshd (/etc/ssh/sshd_config) une ligne « Port 443 » après la ligne « Port 22 » ou remplacez cette dernière. Redémarrez le service. On choisit le port 443 car c’est le port https par défaut et le proxy du boulot tolèrera forcemment ce port (au pire, prenez le port 80, http). De plus, https et SSH présentent des similitudes (la couche SSL) et donc utiliser le port 443 a l’avantage d’être plus discret (voir chapitre 4.2.).
Si votre firewall le tolère, vous pouvez aussi faire un forward du port 443 vers le 22 en ne laissant que la ligne « Port 22 » dans sshd_config.

3.1.5. Votre firewall

Enfin, vous avez certainement chez vous un firewall, n’oubliez pas d’ouvrir le port 443 ou 22 (voir chapitre précédent).
Vous avez très probablement aussi une adresse IP dynamique et donc il faut que vous vous trouviez un nom de domaine (essayez www.dyndns.org, ils ont un service gratuit et vous aurez un nom du style chezmoi.dyndns.org mis à jour à chaque reconnexion de votre ADSL). Sinon, vous devrez récupérer votre adresse IP tous les matins et priez pour que l’ADSL ne tombe pas auquel cas vous risqueriez de changer d’IP.

Je suppose maintenant que votre serveur est lancé, accessible depuis l’extérieur et qu’il fonctionne correctement.

3.2. Côté client SSH

3.2.1. Récupération des paramètres proxy

Pour les utilisateurs d’Internet Explorer, allez dans Outils -> Options Internet -> Connexions -> Paramètres réseaux. Vous aurez 2 possibilités, soit l’adresse et le port sont directement écrit :

Soit votre entreprise utilise un script d’autoconfiguration :

Dans ce dernier cas, téléchargez ce script en recopiant l’adresse dans votre navigateur. Ouvrez-le, c’est un fichier texte. C’est simple à comprendre et en général, les dernières lignes vous donnent le proxy qui permet d’atteindre les sites extérieurs (Internet). La fin ressemble à quelque chose comme « PROXY host:port ».

Si vous utilisez un autre navigateur (je l’espère pour vous , vous saurez sûrement où trouver ces informations.

3.2.2. Installation de putty (client SSH)

Téléchargez putty. Il n’y a pas d’installation, pas besoin d’être admin de son poste. Vous n’avez besoin que de putty.exe sinon prenez le zip qui contient tous les binaires. Le paramétrage se fait comme suit :

Vous saisissez dans le menu « Session » l’adresse du PC chez vous (IP ou DNS), précisez le protocole SSH et modifiez le port où tourne le serveur SSH (443 à priori – voir chapitres précédents).

Dans le menu « Connection », activez l’envoi de paquets vides réguliers, toutes les 10 secondes par exemple. La connexion SSH se faisant via la méthode CONNECT (comme pour du https), le proxy risque fort de la couper régulièrement si aucun trafic n’est généré.

Dans le menu « Proxy », vous indiquez le type de proxy, à priori HTTP, son adresse, son port et l’utilisateur/mot de passe si besoin. La ligne « telnet command » représente en gros le début de la communication entre putty et le proxy pour permettre la connexion au serveur distant (le PC chez vous). Tentez la ligne suivante : « connect %host %port HTTP/1.1\nHost: %host » si la ligne par défaut ne fonctionne pas.

Enfin, dans le menu « SSH », vous précisez que vous utilisez le protocole en version 2 et activez la compression – c’est toujours ça de gagné.

Retournez dans le menu « Session », donnez un nom à votre session et faites « Save » à nouveau. Puis « Open ».

3.2.3. Le moment de vérité

Faites « Open », si tout va bien, vous obtiendrez un écran du genre :

Connectez vous et ça roule. Dans les autres cas, vérifiez bien les informations saisies et éventuellement changez le type de proxy. Parmi les 25 entreprises que j’ai pu visiter (grandes multinationales comprises), seules 2 ont refusé cette connexion, la première car le proxy était un logiciel merdico-archaïque de Microsoft qui avait déjà du mal à fonctionner normalement avec IE, la deuxième car le proxy était buggé et avait l’air de ne pas respecter le protocole « normal » entre putty et le serveur ssh (d’après les traces que j’ai analysées, le serveur SSH était atteint puis tout partait n’importe comment).

A ce niveau là, si la connexion est établie et que vous pouvez accéder à votre machine, c’est banco, vous pourrez « tuyauter » n’importe quoi via SSH

3.3. Les tunnels

3.3.1. Créer un port mapping

Dans le menu « Tunnels », créez un tunnel vers vos serveurs de messagerie (ATTENTION, lisez le chapitre 4.1.3 à propos du forward de messagerie) :

Cette fois-ci, lorsque la fenêtre putty sera ouverte et que vous serez signé sur le serveur SSH, il y aura eu création d’un port mapping du port local 10110 du poste client vers le port 110 du serveur POP de votre provider (le tout via le relai SSH . Idem pour les ports 10025/smtp:25. J’ai choisi des numéros de ports locaux (10110 et 10025) différents des vrais ports notamment pour la compréhension. Rien (ou presque) ne vous empêcherait de mapper les port 25 et 110 vers les ports 25 et 110 des serveurs POP et SMTP de monprovider.com.

Ca veut dire que si un programme de messagerie (mozilla, thunderbird, outlook express, lotus notes etc) s’adresse à votre propre machine (localhost) sur le port 10025, c’est bien le serveur SMTP de monprovider.com:25 qui répondra. Idem pour le port 10110/110, c’est le serveur POP qui répondra. A partir de là, configurez votre client mail en indiquant que les serveurs POP et SMTP de monprovider.com sont respectivement localhost (sur port 10110) et localhost (sur port 10025).
Lorsque le client mail fera une requête, c’est putty qui interceptera la communication et dira au serveur d’effectuer la requête à partir de l’autre bout du tunnel vers le serveur:port précisé. Et voilà ! (j’espère que c’est clair

Attention : vérifiez bien que votre client mail n’utilise aucun proxy pour les connexions locales ! (exemple : « outlook express » utilise la configuration de IE, veillez bien à cocher dans IE la case qui précise de ne « pas utiliser de proxy pour les connexions locales », ça devrait être fait par défaut).

Avec un beau schéma, ça donne ça :

Maintenant que vous savez faire ça, vous pouvez mapper n’importe quoi et vous coimprendrez rapidement que le port mapping n’est pas la solution pour tous les problèmes. Exemple, si vous voulez faire de l’IRC, le serveur que vous joindrez ne sera pas toujours le même suivant les réseaux que vous voulez utiliser.

3.3.2. Tunnel dynamique (pour ICQ par exemple)

La limitation des port mapping apparaît rapidement car il faut définir absolument toutes les connexions dont vous avez besoin, ce qui peut être très lourd. Imaginez que vous vouliez mapper certains sites web interdits, comme www.pleindetrucsinterdits.com. Vous n’avez qu’à créer un port mapping du style « localhost:12345 -> www.pleindetrucsinterdits.com:80 ». Ca fonctionne – pas dans tous les cas à cause des « virtual hosts » (Merci Toine) – mais il ne faut pas avoir 50 sites à mapper sinon c’est l’enfer.

Une autre limitation est que vous ne pouvez tout simplement pas de cette manière vous connecter à certains services comme ICQ par exemple : en effet, vous pourriez faire un port mapping vers le serveur d’authentification login.icq.com:5190 par exemple, mais le reste de la communication ne se fera pas car il y a ensuite tout un tas de ports dynamiques alloués qui entrent en jeu. Impossible donc.

La solution est le mapping dynamique. En gros, vous créez un port d’écoute (port 1080 dans la suite du texte) qui se charge de prendre toute trame réseau qui rentre telle quelle et de la « faire exécuter » depuis l’autre bout du tunnel. Ca ressemble à un proxy n’est-ce pas ? En effet, c’est bien un service que l’on utilise pour contacter n’importe quel site/port inaccessible depuis le réseau où l’on est. C’est pas beau ça ?
Ca veut notamment dire que dans l’application qui doit utiliser ce « proxy », vous devez préciser que le nouveau proxy est localhost:1080 et non pas le proxy de l’entreprise.

Dans putty, créez un tunnel « Dynamic » sur le port 1080 par exemple :

Ca donne ça :

Et globalement, on peut donc schématiser ça comme ça :

ATTENTION : une fois ce système mis en place, n’oubliez pas de dire à l’application concernée que le proxy pour sortir n’est plus le proxy de l’entreprise mais le « proxy » de type SOCKS 4 (si vous avez besoin de le préciser) situé sur localhost, port 1080 ! Pigé ?

(MAJ 2009)
Si vous n’arrivez pas à faire utiliser ce proxy à votre navigateur, pourquoi ne pas installer un vrai proxy sur votre serveur relai et le mapper via un tunnel normal ? (un « squid » local à votre serveur relai fera l’affaire)

3.3.3. Tunnel remote ? Ou comment exporter un serveur local (interne) vers l’extérieur

Enfin, sur l’interface de putty, vous avez peut-être remarqué une fonctionnalité inexplorée jusqu’à présent : les tunnels « remote », par opposition aux tunnels « locaux ». Ca permet non pas de mapper un port local vers un couple machine/port distant mais de faire l’inverse : mapper un couple machine/port local vers un port distant (sur la machine PC ADSL). Vous ne voyez pas à quoi ça peut servir ? Lisez la suite :

Attention : c’est mal de faire ça car ça vous permet de rendre accessible un serveur d’Intranet (par exemple) à partir de votre machine extérieure (PC ADSL) et donc potentiellement accessible à tout le monde depuis le web si vous ne faites pas attention à votre configuration réseau !

4. Compléments d’informations

4.1. Limitations

4.1.1. Bande passante

Gardez à l’esprit que vous faites tout passer par la machine chez vous, certainement plus lente en débit que l’accès web de l’entreprise notamment pour l’upload (le retour de communication de votre PC ADSL vers putty). Donc si vous mappez des sites web interdits, ne vous étonnez pas si ça raaaaame, surtout si votre client favori de peer-to-peer tourne plein pot…

4.1.2. Jouer en réseau ?

Décidemment, votre boulot vous passionne… Bon désolé, c’est pas possible. La plupart des jeux en réseaux fonctionnent en mode non connecté (UDP) et c’est pas possible de relayer de l’UDP avec cette solution. Si vous voulez quand même, cherchez des infos sur un soft qui s’appelle ZeBeDee, j’avais pas eu le temps de creuser à l’époque.

(MAJ 2009) Sinon, pensez VPN, hamachi…

4.1.3. Remarques sur la messagerie

A propos du mapping vers des serveurs de messagerie, notez que les fournisseurs bloquent en général l’accès à leur propre SMTP si l’IP émettrice n’est pas sur une plage appartenant à l’opérateur. Pour éviter le spam d’inconnus. Donc évitez de passer par le SSH d’un copain ayant son accès web chez un autre fournisseur pour atteindre votre SMTP, ça risque de ne pas fonctionner. Exemple : vous voulez utiliser le SMTP de wanadoo en passant par une passerelle SSH chez Nerim.

Dans le même ordre d’idées, il faut en général faire du POP avant de pouvoir envoyer un mail, ça s’appelle pop before smtp me semble-t-il et c’est aussi fait pour s’assurer à peu près que l’adresse IP de l’émetteur du mail n’est pas un inconnu car il s’est authentifié par un login/password pour accéder au POP.

4.2. « Légalité » de la chose

Si vous avez peur qu’un gros baraqué de l’équipe réseaux débarque dans votre bureau en disant « qui c’est l’abruti qui fait du SSH ? », n’ayez pas peur.
Premièrement, la connexion au serveur SSH ne se traduit que par une ligne dans les logs du proxy, une ligne du style « CONNECT votrenom.dyndns.org:443 », exactement comme si vous vous connectiez au site https de votre banque. C’est même mieux vu qu’il n’y aura qu’une ligne alors que pour un vrai site web en http(s), il y a aura une ligne par ressource (image, page web etc).
Deuxièmement, au niveau volumétrie de données échangées, étudions l’exemple de la lecture de vos mails : on utilise grâce au tunnel SSH un protocole dédié à la lecture de mail et l’envoi (POP/SMTP). Ca consommera laaaaaaaargement moins de bande passante que de lire les même mails par l’interface web (bourrée de pubs par exempe). De plus, comme ça ramera moins que le chargement complet de pages web, vous mettrez moins de temps à lire vos mails.
Rassuré ?
Une nuance tout de même, si un psychopathe réalise qu’il s’agit de SSH sur port 443 et non de HTTPS, il devrait se poser des questions tout de même. Je n’ai pas encore rencontré de tels psychopathes.

Enfin, rappelez vous quand même la charte informatique que vous avez signée en rentrant dans votre entreprise.

4.3. Partage de tunnels ?

Si vous souhaitez faire profiter de votre tunnel un collègue qui tient absolument à suivre aussi le match de football bloqué par le proxy, regardez les options de putty/ssh pour permettr l’accès aux ports mappés depuis autre part que votre poste local. Exemple : votre collègue entrerait l’adresse ip de votre machine et un port mappé pour accéder à un site web particulier…

4.4. Bug dans putty

Je ne sais pas si ce bug est toujours d’actualité, mais à un moment donné, il fallait absolument mettre le tunnel dynamique en dernier dans la liste des tunnels, sinon il ne fonctionnait pas.

4.5. Transfert de fichier ?

Installez filezilla, il permet de faire du SFTP. Vous n’aurez pas besoin de tunnels SSH mais je tenais à signaler cet outil, libre, gratuit etc etc.
Il vous suffit de déclarer le proxy de l’entreprise dans les préférences puis de créer une connexion de type SFTP (changez le port en 443) et le tour est joué.

Sinon, sous Windows, le produit commercial « Total Commander » permet d’utiliser votre tunnel dynamique (SOCKS 4).

4.6. Méthodes alternatives

Si SSH ne vous plait pas (pauvre fou), vous pouvez toujours vous renseigner sur les outils suivants : httport, httptunnel (linux only je crois). Ils font un peu le même genre de choses, mais en laaaaaaaargement moins bien.
Les deux encapsulent votre trafic réseau dans des trames HTTP, c’est lourd, c’est lent etc. Le seul avantage de httport est que les éditeurs vous fournissent des serveurs (htthost) publics, donc pas besoin d’avoir un serveur relai chez vous ou chez un ami, mais ils rament, sauf si vous payez Quitte à mettre en place un outil pour faire relai, optez pour SSH !
(MAJ 2009)
A noter stunnel pour faire du tunnel SSL pur (si votre admin réseau a grillé votre communication SSH sur un port SSL…
(MAJ 2009)
Quelques liens récemment donnés par Toinator et que je n’ai pas creusé. Lui oui, c’est du lourd apparement.
Un bon gros guide :
http://dag.wieers.com/howto/ssh-http-tunneling/
sslh : en PERL (fixme : retrouver l’url)
sshl : le même recodé en C pour raisons d’optimisations

5. Remerciements

• Toinator pour la relecture et quelques précisions, l’initiation à ce genre d’outils et le chapitre à venir sur le VPN over SSH, si on peut dire.
• Mandraxe

Il y a un truc bien merdique (sous IE :O) avec les fichiers PAC. Je vous en fais part car pour le coup, j’ai trouvé beaucoup de monde sur google se posant une question et personne n’y répondant correctement.

Une fois votre « proxy.pac » créé, il s’agit de le mettre à dispo des utilisateurs. Deux solutions :
- le publier sur un serveur web (interne)
- le copier d’une manière ou d’une autre sur le PC des utilisateurs, localement

La première méthode est bien pour une utilisation interne (serveur web interne toujours accessible), mais pour les personnes mobiles, c’est naze : quel que soit le serveur web utilisé, il faudra pouvoir l’atteindre, ce qui n’est pas nécessairement possible depuis un site quelconque de connexion à Internet.

La deuxième méthode est bonne pour tout le monde, du moment que vous avez moyen d’injecter le fichier sur le PC des utilisateurs.
Ensuite, dans ce cas, vous indiquez dans votre navigateur un chemin du genre c:\mon repertoire\monproxy.pac
Et c’est là le début des ennuis.
- Firefox va convertir l’adresse en file:///c:/mon%20repertoire/monproxy.pac
- IE ne convertit rien et ne trouve pas le fichier. Bref, ça-marche-pas (c) MS

Comment faire ? j’ai vu plein de fois la question sur le web, jamais la réponse.
Pour que ça marche sous IE, il faudra donc :
- commencer par file://c:/
- ne pas mettre d’espace ni de %20. Comment faire ? nommer les répertoires à l’ancienne, façon Windows 95. C’est pas beau ça ? c’est pas un navigateur génial IE ? Exemple : file://c:/docume~1/mon_id/mon_proxy.pac

Et voilà. La clef, c’est le « ~1″ des familles.

J’entends dans le fond de la salle une question : « pourquoi ne pas mettre le fichier sur C:\ ou C:\Windows directement ? ». Parce-que j’ai des utilisateurs non admin de leur poste et le script de logon au domaine n’a pas les droits d’écrire là-dedans. Par contre dans %USERPROFILE% (ie, C:\Documents and settings/mon_id/) c’est bon.

Simple, mais de quoi perdre des heures.
Merci Microsoft.

Pourquoi donc ? par exemple pour ne rendre visible dans une DMZ que les relais et non pas les serveurs POP/IMAP directement. Ca peut permettre aussi (dans le cas du logiciel PERDITION que je vais montrer ci-dessous) de faire une répartition par utilisateur (donc par exemple par origine) entre différents serveurs POP ou IMAP de votre infrastructure, pour de la répartition de charge ou toute autre raison qui vous semble intéressante.

Bon là, si ça ne vous parle pas, l’article ne vous servira à rien, revenez plus tard. Sinon, let’s go pour une introduction par un exemple de mise en place du logiciel PERDITION.

En deux mots, le principe d’un relai comme ça est de prendre les demandes d’authentification, de les relayer au vrai serveur de mail et suivant le résultat, de faire ou non un « pipe » vers le vrai serveur de mail (selon le protocole voulu).

Commencez donc par installer l’application. Sous Debian : apt-get install perdition par exemple.

Ensuite, allez dans /etc/perdition/ et dupliquez votre fichier perdition.conf en perdition.imap.conf suivant vos besoins. Le manuel préconise en fait de créer un fichier par protocole utilisé. A la limite, le fichier d’origine perdition.conf ne sert plus à rien à la fin. Vous pouvez le conserver néanmoins si vous n’utiliserez dans votre proxy qu’un seul des 4 protocoles.

Il faut maintenant éditer ce(s) fichier(s) pour chaque protocole. Tous les paramètres sont par défaut en commentaire. A vous de choisir ce qu’il faut. Le minimum vital pour de l’IMAP4s par exemple est, (dans le fichier /etc/perdition/perdition.imap4s.conf du coup :

protocol IMAP4S
outgoing_port 993
outgoing_server imap.mondomaine.com # votre vrai serveur IMAP
ssl_mode ssl_listen # ou ssl_all, voyez la doc
ssl_ca_file /etc/ssl/certs/masociete.crt
ssl_cert_file /etc/ssl/certs/mon_imap.cert
ssl_key_file /etc/ssl/certs/mon_imap.key

Quelques remarques :
1) Vous n’êtes pas obligé d’utiliser une « Certification Authority », donc dans ce cas, pas besoin de "ssl_ca_file".
2) Les chemins et noms de fichiers des certificats/clefs sont arbitraires.
3) Pour de l’IMAP non sécurisé, vous n’auriez qu’à modifier les 3 premières lignes et laisser en commentaire celles commençant par "ssl".
4) Pour du POP ou POP3s, c’est le même principe.
5) Enfin, le fichier de config /etc/perdition/perdition*conf contient pas mal d’aide sur chaque paramètre, et le man perdition aussi.

Enfin, dernière brique, préciser quels protocoles on prend en charge et vérifier que perdition est bien lancé par le système. Ca se passe dans le fichier /etc/default/perdition où vous irez contrôler ça :

RUN_PERDITION=yes
POP3=no #ou yes
POP3S=no #ou yes
IMAP4=no #ou yes
IMAP4S=yes #ou no

Pour chaque protocole que vous utilisez, vous aurez donc créé le /etc/perdition/perdition.protocole.conf qui va bien. Relancez le service via "/etc/init.d/perdition restart" et vérifiez que les processus "perdition.protocole" qui vous intéressent tournent.

Evidemment, vous vérifierez enfin que toute votre configuration firewall ressemble à quelque chose et permet notamment l’accès aux ports qui vont bien de votre proxy POP/IMAP.

J’oubliais, pour faire de la répartition par utilisateur (tel utilisateur sur tel serveur), il faut éditer le fichier "/etc/perdition/popmap". Quelques exemples sont donnés, genre :

horms:mailserver1
tymm:mailserver2

Puis créer une « base de données » (un fichier .db) via un "make" basé sur le Makefile disponible dans /etc/perdition/Makefile.
(C’est un peu le même principe, en plus glauque, que le fichier /etc/aliases et sa version base de données générée par la commande postalias).
Personnellement, je n’ai pas mis en place ce système de répartition, mais ça ne doit pas être bien plus compliqué que ça.

Voilou.

Il existe un putty pour linux. Sous Debian, c’est une vieille version, et franchement, je n’ai pas réussi à lui faire utiliser un proxy.
A côté de ça, la commande ssh ne sait pas nativement établir de connexion par dessus un proxy. Par contre elle sait donner la main à un outil qui sait le faire. Typiquement, on trouve un programme connect.c sur Internet assez facilement. Vous pouvez le compiler et l’utiliser. Finalement, plutôt que d’utiliser ce programme dont je ne suis jamais sûr de l’origine, j’ai récemment trouvé un paquet Debian appelé « connect-proxy ». Il vous installe un programme connect (ou connect-proxy, je ne sais plus je fais de mémoire j’ai jeté ma conf et pas l’occasion de la refaire là).

Ensuite, il faut configurer le fichier ~/.ssh/config et faire un truc dans ce goût là (ou adaptez votre fichier si vous en avez déjà un) :

Host toto.com
  ProxyCommand connect-proxy votre_proxy:port %h %p

toto.com étant le serveur SSH extérieur injoignable sans passer par le proxy « votre_proxy ».
Vous pourriez aussi mettre tout ça directement dans la ligne de commande ssh (via -o ProxyCommand, mais ça devient lourdingue)

Enfin, on me souffle dans l’oreillette que l’outil « corkscrew » (paquet Debian dispo) permet cela aussi.

Le principe est de pouvoir allumer son PC à distance, du moment qu’il est encore sous tension (ainsi que tous les éléments électriques/réseau menant à lui) et que la carte réseau le permette (toutes les cartes récentes le font). Il faut s’assurer aussi dans le BIOS de votre machine que le WOL est activé, ce qui n’est probablement pas le cas par défaut.

A la base, ça sert dans la gestion des parcs de machines sur un réseau local. Par extension, ça permet de réveiller n’importe quelle machine, même sur Internet. On parle quelques fois de Wake-On-WAN. Il suffit de connaitre l’adresse MAC de la carte réseau et de pouvoir l’adresser (la joindre par le réseau).

Le « programme de Wake-On-LAN » envoie simplement une trame réseau particulière en mode UDP sur le port 9. Cette trame peut s’accompagner d’un mot de passe encodé, si la carte le permet, là encore.

Le cas que je décris est le suivant : une machine sur un LAN derrière un modem/firewall/routeur (ici une Freebox). La machine n’est donc pas visible directement depuis Internet, c’est la Freebox qui l’est. Donc il faut mettre en place le « proxy WOL » de la Freebox, dans la console d’administration Free :

Ce proxy va faire en sorte que les requêtes type UDP/9 arrivant à l’entrée de la freebox puissent traverser et être réémises à tout le réseau local derrière ; l’adresse MAC garantissant l’unicité de la machine dans le LAN.

Donc, une fois le BIOS OK, votre modem/routeur OK, reste à envoyer la trame magique.

Sous Debian, au moins deux applications existent : etherwake et wakeonlan. La première permet de mettre des mots de passes mais pas d’envoyer la trame sur Internet ; la deuxième, c’est l’inverse (évidemment

Sous Windows, j’ai trouvé un WakeOnLANGUI gratuit. Mais ce dernier ne sait pas gérer les proxys (si par hasard vous êtes au boulot) ; c’est un problème qui se pose moins (me concernant) depuis une machine Linux.

Exemple avec « wakeonlan » sous Debian :

apt-get install wakeonlan

Puis :

wakeonlan -i 82.x.y.z 00:12:34:56:78:90

(Si vous ne connaissez pas votre adresse MAC : ipconfig /ALL sous Windows dans une fenêtre DOS, et /sbin/ifconfig sous Linux).

D’un point de vue sécurité, le risque que quelqu’un connaisse votre adresse MAC sur un réseau non visible (LAN derrière votre routeur) est faible. Vous pouvez de plus ajouter un mot de passe et au pire, vous risquez simplement un allumage intempestif.