[gull] proxy Squid explicite sur ubuntu

Frederic Dumas f.dumas at ellis.siteparc.fr
Thu Oct 29 10:11:05 CET 2020


[Je rebascule sur la liste du Gull un échange qui a commencé en mails 
privés avec Daniel, mais dont le sujet est lié à la question d'origine]


Le 27/10/2020 à 15:42, Daniel Cordey a écrit :
> Dans mes investigations, sur plusieurs dizaines de milliers de 
> tentatives, j'ai détecté 1'000 adresses IP différentes. Cela
> signifie que les attaquants détectent les temps de quarantaine, de
> nombre de tentatives et s'arrange pour rester en-dessous du radar et
> font tourner les adresses IP. fail2ban n'y voit que du feu...


Intéressante statistique. Un millier d'adresses seulement? Ça fait 
finalement très peu de ranges IP concernés.

Du coup, si le pool de rogue IP est limité, ça vaut le coup de les tenir 
indéfiniment bloquées. Je viens de passer bantime à -1.

Je ne sais pas où fail2ban l'enregistre, mais sur cette 18.04, les 
adresses blacklistées sont bien déchargées et rechargées dans netfilter 
à chaque arrêt/démarrage de fail2ban. Une quarantaine définitive 
survivra donc au redémarrage du serveur.


> En attendant que Félix se manifeste (mais il ne répond même plus à 
> mes mails ces temps ci), voici un lien sur lequel je suis tombé hier:
> 
> https://linuxize.com/post/how-to-install-and-configure-squid-proxy-on-ubuntu-20-04/


Merci pour ce tuto, il est particulièrement clair. Mais donne-t-il à 
configurer Squid pour forwarder le https aussi ? De nos jours, c'est ce 
trafic là qui nous intéresse avant tout.

D'autres tutoriaux montrent à associer Squid à une autorité de 
certification locale. J'imagine que ce n'est nécessaire que pour 
terminer la connexion https sur Squid et la rouvrir depuis Squid vers le 
serveur cible ? Ce n'est pas ce que je cherche à faire.

Pour mon usage (faire croire au site marchand que le trafic provient 
d'un pays autre que celui de véritable origine) je préfère terminer les 
sessions https directement sur le serveur cible. Seule l'IP change, le 
User-Agent reste le même (impossible pour Squid de le modifier, 
puisqu'il est chiffré dans la session https). Est-ce le résultat obtenu 
par la config proposée par ton tuto ?

Dès lors que Squid est incapable de filtrer les requêtes https, est-ce 
que ça donne des moyens aux webmestres de détecter la véritable IP 
d'origine dans les headers du client web ? J'ai un vague souvenir d'une 
fonction WebRTC utilisable dans ce but. Mais si on pense à la désactiver 
(Firefox laisse probablement ce choix), ça devrait être bon ?


Merci pour ces premières réponses.


Félix, es-tu là ? Je profiterai volontiers de ton savoir de Manitou de 
Squid.


--
Frederic Dumas
f.dumas at ellis.siteparc.fr







More information about the gull mailing list