Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

#26 17/07/2003 16:43:23

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Andesi, pour vous, c d'où?

d'ac  big_smile


ioguix@jabber.org
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#27 17/07/2003 16:49:40

Gnux
Moderator
Inscription : 10/07/2003
Messages : 439
Site Web

Re : Andesi, pour vous, c d'où?

Et comment on passe outre le filtre?
Y'a une solution?
ça serait cool  8)

Hors ligne

#28 17/07/2003 16:51:23

CSCMEU
Membre
Lieu : Paris
Inscription : 29/05/2003
Messages : 1 497
Site Web

Re : Andesi, pour vous, c d'où?

Et comment on passe outre le filtre?
Y'a une solution?
ça serait cool  8)

Yep smile) Il y a toujours une solution wink
On va faire un doc avec ioguix wink


X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930  193E DE3B 44D2 5467 94DA
--
http://csquad.org

Hors ligne

#29 17/07/2003 16:52:04

arnaud
Administrateur
Lieu : Savoie
Inscription : 23/03/2003
Messages : 1 436
Site Web

Re : Andesi, pour vous, c d'où?

Salut,

CSCMEU et ioguix: n'hésitez pas à publier votre doc afin que nous sachions également comment faire fonctionner cette « bestiole » smile

++ Arnaud (et bon courage quand même)

Hors ligne

#30 17/07/2003 16:52:10

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Andesi, pour vous, c d'où?

Et comment on passe outre le filtre?
Y'a une solution?
ça serait cool  8)

et ben c ce que CSCMEU va bientot nous expliquer...avec httptunnel...
perso, j'en ai entendu parlé, mais jamais eu le temps de m'y plonger...


ioguix@jabber.org
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#31 17/07/2003 18:09:42

Gnux
Moderator
Inscription : 10/07/2003
Messages : 439
Site Web

Re : Andesi, pour vous, c d'où?

Yes smile)
je pourrais aller au taf sur Andesi wink
J'attends la doc avec impatience...
8)

Hors ligne

#32 18/07/2003 01:59:30

CSCMEU
Membre
Lieu : Paris
Inscription : 29/05/2003
Messages : 1 497
Site Web

Re : Andesi, pour vous, c d'où?

Bon comme on n'en a meme pas parler durant les third jeudi je vais poster
le principe ici vite fait :

Donc pour reussi a outre passer un proxy-filtre il faut utiliser le programme httptunnel. Le but de ce petit programme est d'encapsuler des trames tcp/ip dans du http. A l'aide des commandes PUT et GET du protocole on va se passer  des packets TCP/IP comme dans le cas d'un VPN smile
Bon je vous cache pas ke c'est assez  tordu a mettre en place et c'est assez lent.

un petit schema :

browser web qui utilise localhost:8080 comme proxy
            |
            | (HTTP)
            |
HTTP TUNNEL CLIENT sur localhost:8080
            |
            | (HTTP (HTTP))
            |
Proxy de la boite proxy:3128
            |
            | (HTTP (HTTP))
            |
HTTP TUNNEL SERVEUR bouncer.mechant.com:8080
            |
            | (HTTP)
            |
Proxy sur bouner localhost:3128
            | 
            | (HTTP)
            |
            Z
N'importe quel site internet non filtrer

Donc pour faire marcher le systeme il faut absolument un bouncer.
Les commandes a taper sont les suivantes :
sur le bouncer

$hts -F localhost:3128 8080 

sur la machine cliente il faut :

$htc -F 8080 -P proxy:3128 bouncer.mechant.com:8080

Il ne faut pas oublier de regler le proxy de votre browser sur localhost:8080
Il faut desactiver l'option keep-alive de moz (je sais pas pourkoi ;( )
Et voila ca marche
Apres il peux arriver ke le proxy de la boite soit une merde finit (les ms proxy par exemple smile ) dans ce cas la les truc radical c'est d'activer le ssl sur le tunnel ca va le calmer ... et en plus l'admin ne verras plus le contenu des frames dans le tunnel
Bon j'ai pris l'exemple avec un browser mais ca marche aussi pour ssh smile
Voila


X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930  193E DE3B 44D2 5467 94DA
--
http://csquad.org

Hors ligne

#33 18/07/2003 08:47:19

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Andesi, pour vous, c d'où?

oka, donc, pour mon cas trés simple que je t'ai formulé en partant hier, il me faut:
1 - lancer "htc -F 8080 -P IP.PR.OX.Y:PORT M.O.N.IP:8080" sur ma bécanne de ma boite;
2 -  lancer "hts -F localhost:22 8080" sur mon serveur ssh.

Ensuite si je fait "ssh M.O.N.IP", tout roule c ça??
Pasque un doute m'habite ...


ioguix@jabber.org
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#34 18/07/2003 09:37:36

y0m
Membre
Lieu : Paris
Inscription : 30/05/2003
Messages : 455
Site Web

Re : Andesi, pour vous, c d'où?

Non, je ne me rappelle plus la ligne de commande, mais le principe c'est que tu ouvres un port sur ta becanne de destination, ensuite tu lances htc pour qu'il se connecte a cette becanne, sur ce port, au travers du proxy. Au passage, tu indiques a htc d'ouvrir un port local (donc la on est bien sur ta becanne source), et tous les paquets envoyes a ce port local seront donc interpretes par htc et rebalances au travers du tunnel HTTP. Tu me suis ?


- Tu sais ce qui ferait bien sur le bar ?
- Uh ?
- TON NEZ ! *BUNK*
-+- Culture générale in GPJ: Full Throttle -+-

Hors ligne

#35 18/07/2003 11:12:35

CSCMEU
Membre
Lieu : Paris
Inscription : 29/05/2003
Messages : 1 497
Site Web

Re : Andesi, pour vous, c d'où?

oka, donc, pour mon cas trés simple que je t'ai formulé en partant hier, il me faut:
1 - lancer "htc -F 8080 -P IP.PR.OX.Y:PORT M.O.N.IP:8080" sur ma bécanne de ma boite;
2 -  lancer "hts -F localhost:22 8080" sur mon serveur ssh.

Ensuite si je fait "ssh M.O.N.IP", tout roule c ça??
Pasque un doute m'habite ...

Ouais pour du ssh c'est bien plus simple  mais les commandes ca serais plus tot :

$htc -F 2222 -P proxy:3128 bouncer.mechant.com:8080

Sur le client et ca sur le serveur :

$hts -F localhost:22 8080 

Et apres tu fait sur le client :

$ssh -v localhost:2222

Met ton client et ton serveur en mode verbose comme ca tu serais si tu ce pass bien et si ton proxy ne filtre pas les packets smile


X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930  193E DE3B 44D2 5467 94DA
--
http://csquad.org

Hors ligne

#36 18/07/2003 12:18:15

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Andesi, pour vous, c d'où?

oka, j'essaierai ça demain...
...ben ouai, g po la main sur mon serveur ssh à cause du fw pour aujourd'hui lol


ioguix@jabber.org
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#37 18/07/2003 20:08:42

Antares
Membre
Inscription : 10/07/2003
Messages : 70

Re : Andesi, pour vous, c d'où?

je ne suis pas certain de comprendre:
un client bouncer en local sur la machine, sur 8080. Je donne 8080 comme proxy a mon IE. Sur le client bouncer qui est installé sur ma becane, je configure le vrai proxy (adresse et port).
Ensuite, quand je fais un requete, mon client bouncer prend ma requete, l'encapsule dans son truc a lui, l'envoie au serveur bouncer avec lequel il parle toujours, et enfin, le serveur en question me branche la ou je veux. C'est ca?

Si c'est ca, j'ai une question, j'ai l'ipression que le HTTP aussi est filtré ici. Alors en fait, si le serveur bouncer se trouve sur un site qui lui aussi es tfiltré on est de la b... ??

deja est ce qu'il y a plusieurs types de filtrage? Ils filtrent quoi? Un proxy de base, interdit des adresses non? qq soit le port?

bref, est ce que un de vous qui semblez savoir tout ca peut expliquer un peu le principe du filtrage ici?


war for peace like fucking for virginity

Hors ligne

#38 19/07/2003 09:12:37

CSCMEU
Membre
Lieu : Paris
Inscription : 29/05/2003
Messages : 1 497
Site Web

Re : Andesi, pour vous, c d'où?

je ne suis pas certain de comprendre:
un client bouncer en local sur la machine, sur 8080. Je donne 8080 comme proxy a mon IE.

Je serais pas te dire si ca marche sur ie ...
Lorsque j'ai fait la demonstration avec IE ...
En changant l'ip du proxy toute la becane a freezer et j'etait oubliger de la rebooter ...
J'espere que tes clients n'ont pas IE smile

Sur le client bouncer qui est installé sur ma becane, je configure le vrai proxy (adresse et port).
Ensuite, quand je fais un requete, mon client bouncer prend ma requete, l'encapsule dans son truc a lui, l'envoie au serveur bouncer avec lequel il parle toujours, et enfin, le serveur en question me branche la ou je veux. C'est ca?

Euuh d'apres le mon shema qui est pas clair ptet smile
Mais regarde la doc surt le site d'httptunnel.
Le programme encapsule des packet tcp/ip dans du http.
Donc apres pour obtenir le service que tu veux il faut  jongler avec les ports smile

Si c'est ca, j'ai une question, j'ai l'ipression que le HTTP aussi est filtré ici. Alors en fait, si le serveur bouncer se trouve sur un site qui lui aussi es tfiltré on est de la b... ??

Oui tu as tout compris si le serveur block cette address tu ne peux pas bouncer dessus.

deja est ce qu'il y a plusieurs types de filtrage? Ils filtrent quoi? Un proxy de base, interdit des adresses non? qq soit le port?

bref, est ce que un de vous qui semblez savoir tout ca peut expliquer un peu le principe du filtrage ici?

Un proxy de base ne filtre pas wink

Pour faire court tu as le flitrage par :
- url avec des mot cle, regex, black  list
- contenu des pages


Bien sur le deusieme bouffe des resources monstres est il est tres peux utiliser jamais vu presque.
En tout ca si tu utilise le mode SSL de httptunnel il est presque impossible de filtrer tes packet car pour cela il fauderait que le proxy fasse un "man in the middle" entre toi et ton bouncer.
Et ca je te raconte pas les resources que ca bouffe ...
Generallement les boites font ca pour reduire le coups lier a la perte de productivite (pas dans l'administration smile ) donc le but c'est de mettre de l'argent dans une solution pas trop chere.
Ils vont pas investir dans un cluster pour filtrer le web smile
D'autant plus que la perte lire au surf sur le web est difficlement chiffrable .

Voila


X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930  193E DE3B 44D2 5467 94DA
--
http://csquad.org

Hors ligne

#39 19/07/2003 10:18:53

Antares
Membre
Inscription : 10/07/2003
Messages : 70

Re : Andesi, pour vous, c d'où?

merci pour le complement d'info.
en fait, d'ici on ne peut pas avoir acces a httptunnel
le filtre chez nous doit etre un filtre avec le contenu des pages, puisqu'il nous dit en plus a chaque fois pourquoi il nous a filtré, c'est a dire, il dit que telle page n'est pas accessible parcequ'elle appartient a telle type ou categorie de pages (pages perso, sex, proxy avoidance dans le cas d'httptunnel etc etc). J'imagine qu'ils cherchent les contenus des pages et qu'ils les interdisent ou pas. ¨Parfois ca donne des resultat cocasses, des sites sur les avions monomoteurs a pistons qui deviennent des pages de cul, par exemple s'il y a le mot cock.
je vais me taper la doc de httptunnel depuis chez moi, qui sait, peut etre ce soir à 3h du mat !!     smile

encore merci


war for peace like fucking for virginity

Hors ligne

#40 19/07/2003 18:54:02

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : Andesi, pour vous, c d'où?

Vas-y Antares, ch'uis avec toi ;-)
Peut-être en vendant le nom de ton URL à tes collègues tu pourras te faire un  petit pactole.
Lla vente est autorisée pour tous sauf pour moi, bien sûr ;-)


« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#41 19/07/2003 18:58:26

Antares
Membre
Inscription : 10/07/2003
Messages : 70

Re : Andesi, pour vous, c d'où?

depuis quand tu t'interresses aux monomoteurs a piston toi ??
j'ai re essayé l'autre jour, maintenant c'est filtré pour cause de vehicule !!
va comprendre charles. Enfin, a cette heure ci et aujourd'hui j'arrive a y acceder, c'est libre le week end (d'intervention)
Sinon, c'est www.fna.asso.fr


war for peace like fucking for virginity

Hors ligne

#42 19/07/2003 19:01:40

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : Andesi, pour vous, c d'où?

Non je te parlais de l'URL pour bluffer le proxy de notre boîte !!!

T'es nul tu comprends même plus mes posts boooouuuuuuu  :cry:


« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#43 19/07/2003 19:05:33

Antares
Membre
Inscription : 10/07/2003
Messages : 70

Re : Andesi, pour vous, c d'où?

mais je le connais pas puisque httptunnel ne fonctionne pas. Il y en avais un autre pendant un certain temps, ca s'appelait *proxy* (remplacer * par le bon nom) mais ca a ete decouvert. Je ne sais pas si tu te souviens.
bon, j'arrete d'ecrir, ca va faire flood, et en plus il faut que je bosse sur ces àç_"-éatjàç'u(   de machine unix !!


war for peace like fucking for virginity

Hors ligne

Pied de page des forums