Artisan Numérique » Révision de <em>Se prémunir des "SpyWebs" avec Privoxy</em> du <em>31 October, 2008

Se prémunir des "SpyWebs" avec Privoxy

Dans de précédents billets, nous parlions de Google Analytics et des moyens de se prémunir de ce \"spyweb\" et de ses nombreux petits frères à l'aide de l'extension FireFox, AdBlock. Et même si cette solution marche merveilleusement et reste très utile pour protéger un poste de travail isolé (en entreprise par exemple), son champ d'action reste limité à une seule machine. Je vous propose donc donc de passer la vitesse au-dessus et de protéger cette fois l'ensemble de votre réseau à l'aide de l'outil Privoxy , un proxy filtrant aux possibilités étonnantes disponibles sur tous les systèmes de Windows à Linux en passant par Mac. Il existe même une version AmigaOS , c'est dire

Historique (tout afficher)

v2 - Mise à jour, suppression de tproxy, passage direct de la transparence avec privox (2008-11-22 00:27)
v1 - Mise à jour des règles avec une 20aine de nouveaux blockages. Amélioration du script de lancement avec un mode pause/resume (2008-10-31 12:47)

Qu'est-ce qu'un proxy ?

Pour faire simple, un proxy est une application qui va jouer le rôle d'intermédiaire entre un logiciel client (ici votre navigateur WEB) et un serveur (ici, le site WEB visité). Il existe toute sorte de proxy différents permettant de partager une connexion internet ou encore de cacher son identité. Privoxy, lui, est un proxy "filtrant". Son rôle est "simplement" de regarder tous les sites que vous visitez avant vous pour y traquer les publicités et autre spywebs. Pour cela, il dispose de deux stratégies. Soit il va interdire comme AdBlock l'accès à certains sites au navigateur, soit il va modifier, "à la volée" les pages que vous recevez (par exemple pour y modifier des scripts dangereux).

Privoxy est aussi capable de "désanimer" des images GIF, de nettoyer vos cookies pour qu'ils ne laissent pas passer d'information, de maquiller l'identité de votre navigateur. Bref, c'est un outil complet, simple d'utilisation, rapide à installer, prêt à l'emploi et complètement paramétrable pour filtrer encore plus loin.

Installation

L'objectif de ce tutoriel est de mettre en place Privoxy pour tout votre réseau. Il va donc falloir choisir une machine qui sera connue des autres sur laquelle sera installé l'application. Il n'est pas nécessaire que ce soit une machine dédiée. Privoxy prend peu de ressource mémoire et CPU, n'importe quelle machine sous n'importe quel système devrait convenir. Pour la suite j'appellerais cette machine machine_de_gaston. Cependant, vous pouvez aussi utiliser ce proxy sur une machine seule. Auquel cas, vous remplacerez simplement dans ce qui va suivre machine_gaston par localhost.

Quel que soit votre système, toutes les versions binaires pour tous les Systèmes sont téléchargeables ici. L'installation se fait, comme dit plus haut, sur la machine machine_de_gaston.

Installation sous Linux

Il y a fort à parier que Privoxy est déjà intégré dans votre distribution. Sous Mandriva, l'installation se fait par la plus que classique commande :

urpmi privoxy

Une fois qu'URPMI a terminé son travail, il vous suffit de lancer le service :

service privoxy start

Installation sous Windows

Pour les Windowsiens, téléchargez le fichier .exe d'installation et exécutez-le. Validez toutes les demandes qui vous sont faites et à la fin de l'assistant, privoxy devrait être installé, lancé et en plus vous avez droit une belle petite console vous indiquant que le proxy est actif. Il ne reste plus qu'à configurer votre navigateur.

Paramétrage du navigateur

L'avantage d'un proxy est qu'il n'existe pas à ma connaissance de navigateur qui ne sache pas l'utiliser. Pour l'exemple nous allons faire ici le paramétrage de FireFox, mais il pourrait tout aussi bien s'agir de Safari, Opéra et même Internet Explorer...

Il faut donc maintenant aller sur la machine cliente pour indiquer à son navigateur d'aller chercher ses pages web sur la machine_de_gaston. Dans FireFox allez dans les menus Edition/Préférence/Réseau/Paramétres. Sélectionnez configuration manuelle du proxy et entrez pour HTTP les valeurs machine_de_gaston et 8118. Cliquer ensuite sur OK et enfin Fermer.

C'est tout ! Pour vérifier que tout fonctionne, saisissez l'adresse http://config.privoxy.org/ et validez. Vous devez voir apparaître la page de configuration de privoxy. Tout est donc opérationnel.

Privoxy à l'oeuvre

Pour se convaincre que tout est en place, il suffit d'aller sur la "machine de gaston" et de regarder les traces. Pour les Windowsiens cela se fait dans la console que vous avez découverte à l'installation, pour les Linuxiens, les logs se trouvent en /var/log/privoxy/logfile.

Sur le poste client, allez faire un tout avec votre navigateur sur le site www.liberation.fr et regardez ce qu'affiche privoxy sur la machine de gaston :

  Request: www.liberation.fr/

Request: www.liberation.fr/_looks/liberation/scripts/rObj.js

(...)

www.smartadserver.com/call/pubj/252/1276/225/M/7424944326/? crunch!

Request: www.liberation.fr/_looks/liberation/images/fond_pub_728x90.gif

(...)

Request: www.smartadserver.com/call/pubj/252/1276/163/S/7424944326/? crunch!

Request: www.liberation.fr/_looks/liberation/images/onglet_forum_on.gif

(...)

Request: cmhtml.fr.overture.com/d/search/p/standard/eu/js/flat/ctxt/ls/?ctxtId=libe_fr_annuaire&NGrp=2&NKw=4&Pg=1&keywordCharEnc=utf-8&outputCharEnc=utf-8&Partner=liberation_js_fr_ctxtls_libe crunch!

(...)

www.liberation.fr/interactif/question/libeblogs/_files/file_258326_34465_petite_vignette.jpg

Request: www.smartadserver.com/call/pubj/252/1276/276/S/7424944326/? crunch!

(...)

Request: www.smartadserver.com/call/pubj/252/1276/94/S/7424944326/? crunch!

Request: www.liberation.fr/interactif/question/libeblogs/_files/file_260788_26585_petite_vignette.jpg

(...)

Request: www.google-analytics.com/urchin.js crunch!

(...)

Request: logi8.xiti.com/hit.xiti?s=197813&s2=2&p=homepage&hl=8x59x22&lng=fr&r=1280x886x32x32&re=1280x746&ref= crunch!

A chaque fois que privoxy affiche crunch, il a bloquer le navigateur. Nous voyons ainsi qu'en standard, privoxy bloque efficacement les publicités, Google Analytics et Xiti. Cela fait déjà beaucoup de nuisance en moins. Mais nous allons pouvoir aller un peu plus loin.

Améliorer le filtrage

Les fichiers à modifier

Comme vous l'avez vu, Privoxy par défaut marche déjà très bien. Il est cependant possible de pousser encore et de l'adapter parfaitement à vos besoins. Pour changer les paramètres de Privoxy, vous avez deux solutions. Soit vous utilisez l'interface WEB (personnellement je ne la trouve pas très simple), Soit vous éditez directement les fichiers de configuration. Pour les Windowsiens, il suffit d'aller dans la console de Privoxy dans les menus Options/Edit User Actions. Pour les autres, il faut simplement éditer le fichier /etc/privoxy/user.actions. Notez que le simple fait de sauver le fichier reconfigure Privoxy. Pas besoin de donc de redémarrer.

Le fichier user.actions contient les règles que vous avez le "droit" de changer. Vous pouvez changer aussi les autres mais cela risque de vous créer plus de problèmes qu'autre chose. Par défaut il contient déjà plein d'exemple utiles.

Vous allez pouvoir ajouter ici, des règles et des Aliases. Une règle est la combinaison d'une ou plusieurs Actions à une ou plusieurs URL auxquelles ces actions s'appliquent. Pour la liste complète des actions que Privoxy propose, allez jeter un oeil ici.

Ajout de nouvelles règles

Prenons un exemple et imagions que nous voulions supprimer l'envoi de tous les cookies pour le site wwww.mauvais-site.fr. Ce besoin traduit donnerait :

  { +crunch-outgoing-cookies }

.mauvais-site.fr

Cette règle très simple va ajouter l'action "crunch-outgoing-cookies" (qui supprime les envois de cookies) à toutes les urls appartenant à .mauvais-site.fr. Le signe + indique que la directive doit être ajoutée. En effet, les règles s'additionnent. Par exemple si plus loin de le fichier user.action j'écris :

  { -crunch-outgoing-cookies }

bonne-page.mauvais-site.fr

Toutes les pages du domaine mauvais-site.fr auront leur cookie mangé sauf bonne-page.mauvais-site.fr.

Vous pouvez des * dans les URL, par exemple ad*.site-de-pube.fr, ou même une expression régulière comme pour adBlock comme www[1-9a-ez].example.c*.

Vous pouvez aussi mettre plusieurs actions entre les accolades, soit sur une seule ligne en les séparant par des espaces, soit sur plusieurs lignes en ajoutant un \ à la fin de chaque ligne. Cela nous donne par exemple :

  { +crunch-outgoing-cookies \

  +crunch-incoming-cookies }

ad*.mauvais-site.fr

www[1-9a-ez].example.c*

Ajout d'Alias

Comme nous l'avons vu, il est possible de mettre plusieurs actions entre accolade. Il peut être alors pratique de pouvoir regrouper un ensemble d'actions sous un seul alias. Par exemple, si nous voulons regrouper la suppression de tous les cookies, nous ajouterions dans le fichier user.actions :

      {{alias}}

    +crunch-all-cookies = +crunch-incoming-cookies +crunch-outgoing-cookies

    -crunch-all-cookies = -crunch-incoming-cookies -crunch-outgoing-cookies

Une règle pour ajouter, une autre pour enlever, je pense que l'exemple parle de lui-même. Ainsi la règle du chapitre précédent pourrait s'écrire :

  { +crunch-all-cookies  }

ad*.mauvais-site.fr

www[1-9a-ez].example.c*

Par défaut dans user.action il y a deux aliases très pratiques. Le premier shop va nous permettre d'assouplir les règles pour un site donné. Si un site ne passe pas avec Privoxy, c'est une bonne manière d'arranger les choses. L'autre s'apelle fragile et permet de ne pas "casser" les sites souvent mal fait. Si vous avez une boutique qui ne marche plus, ou un site fragile, vous pouvez alors ajouter :

  { shop }

www.boutique-branlante.fr

{ fragile }

www.site-mal-fichu.fr

Ajout de règles supplémentaires

Avec ces informations, il est possible donc d'améliorer encore privoxy pour ne plus rien laisser passer ou presque. Au début, comme moi, vous allez observer ce que les sites font exactement avec votre ligne en regardant les logs de Privoxy. C'est très instructif. Et à chaque fois que vous voyez quelque chose de louche, vous pouvez ajouter une règle comportant l'action { +block } suivi à la ligne suivante de chaque url posant problèmes. Voici ma liste que vous pouvez adapter à vos besoins :

  {{alias}}

  big-block          = +block +handle-as-empty-document

# Régies publicitaires/ Plateformes d'annonce

{ big-block }

.netavenir.com                              # http://www.netavenir.com/

.turn.com                                   # http://www.turn.com/corp/how/how-it-works.jsp

.bluestreak.com                             # http://www.bluestreak.com/whowhat/index.asp

.criteo.com                                 # http://www.criteo.com/en/bloggers.aspx

.blogbang.com/demo/js/blogbang_ad.php\?id=  # http://www.blogbang.com/demo/

/.*\/microsoft_adcenterconversion\.js       # Régie Microsoft

*.*.marketingsolutions.yahoo.com/*          # Régie Yahoo

www.googleadservices.com/*                  # Régie Google

.fmpub.net                                  # http://federatedmedia.net/whyadvertise/index

pubsrv.allopass.com/*                       # http://www.allopass.com/

.comclick.com                               # http://www.comclick.com/

.regieci.com                                # http://www.regieci.com/fr/accueil/index.asp

.allo-audience.fr                           # http://www.allo-audience.fr/

.audientia.net                              # http://www.audientia.net/new/fr/new/

.clickintext.com                            # http://www.clickintext.com/

.clickintext.net

.intellitxt.com

# Les enregistreurs/relecteurs

{ big-block }

.clicktale.*                                # http://www.clicktale.com/faq.html

cetrk.com/*                                 # http://crazyegg.com/overview 

*.robotreplay.com/*                         # http://www.robotreplay.com/

/.*/clickheat.js

# médiamêtrie/traçage

{ big-block }

.estat.com                                  # http://www.estat.com/service/services_form.html

.sitemeter.com                              # http://www.sitemeter.com/

.w3counter.com                              # http://www.w3counter.com/

.reinvigorate.net                           # http://report.reinvigorate.net/snoop

/.*\/webanalytics                           # http://france.webanalytics.be/

.opentracker.net                            # http://www.opentracker.net/index.jsp

.weborama.*                                 # http://weborama.com/

.quantserve.com                             # http://www.quantcast.com/

.performancing.com                          # http://performancing.com/tracker

.ToutLeMondeEnBlogue.com                    # http://www.toutlemondeenblogue.com/index.aspx

stats.wordpress.com                         # http://www.wordpress.com

*.technorati.com/*                          # http://www.technorati.com

embed.technorati.com/linkcount              #

/.*xiti.js                                  # http://www.xiti.com/

*.getclicky.com/*                           # http://www.getclicky.com/help/

*.iminr.com/*                               # http://www.iminr.com/

.netprofitblueprint.com/*                   # http://www.netprofitblueprint.com/capture.html (assez opaque celui-la...)

.converdge.com                              # http://www.converdge.com/features

.cybermonitor.com

my.blogitexpress.com/.*\.js                 # http://www.blogitexpress.com/

www.atoomic.com/js/*                        # http://www.atoomic.com/

.clustrmaps.com/counter/*

/phpmyvisites.js

.trackalyzer.com

# Page ranking

www.free-pagerank.com/fcgi-bin/alive_js.fcgi.*    

external.wikio.fr/blogs/top/getrank

www.pagerank.fr/pagerank-actuel.gif

# Loggers un peu trop traçeurs

{ big-block }

.mybloglog.com                              # http://www.mybloglog.com/

#*.paperblog.fr/*                           # http://www.paperblog.fr/pages/presentation/

# Outils non centralisé

/.*\/phpmyvisites\.js                       # http://www.phpmyvisites.net/

# traçage des flux (feeds)

{ big-block }

feedjit.com/*                               # http://feedjit.com/

# Spécial Google

{ big-block }

/.*utm.js                                   # variante d'urchin

/.*stat.*\.js                               # un filtrage générique

/.*\/urchin.js                              # variante d'urchin

/.*s_code.js                                # variate d'urchin

/.*google-analyticator.*                    # le plugin pour wordpress

# Nuisances

{ big-block }

.snap.com/*                                 # Charge les liens en tâche de fond pour en faire 

                                            # des vignettes. Sympa en soit mais pompe pas mal de resources. 

.ixnp.com/*

.twitter.com/*

.webreseau.com                              # http://www.webreseau.com/fr/fonctionnement.asp

*.devfr.net/*                               # Pas identifié, si quelqu'un a une idée...

badge.facebook.com/badge/*

.blogbar.org

Le dernier bloc de cette liste ne sont pas des spywebs mais des fonctions qui me fatiguent car elles ralentissent l'affichage des pages. Donc si vous n'en voullez pas, libre à vous

Enfin, pour peaufiner encore votre couverture, vous pouvez ajouter deux règles biens pratiques. La première consiste à empêcher les sites de savoir d'où vous venez en lui faisant croire que vous venez toujours de chez eux (referrer). L'URL utilisé est ici le / ce qui veut dire "pour tous les sites".

  { +hide-referrer{forge} }

/

Et puis, pour s'amuser un peu nous pouvons aussi maquiller l'identité de notre navigateur. Là, je vais faire croire que le navigateur que j'utilise est un FireFox 7.1 tournant sur un vénérable Oric Atmos

  { +hide-user-agent{Mozilla/5.0 (TV; U; Oric Atmos 6502c; en-US; rv:r91.6) Gecko/19870508 TranDOS Firefox/7.1} }

/

Quelques mots sur l'interface WEB

Même s'il n'est pas bien pratique pour éditer la configuration, l'interface WEB est en revanche très efficace pour contrôler le proxy. Si vous tapez l'URL http://config.privoxy.org/. Vous avez la possibilité d'activer ou de désactiver le proxy (http://config.privoxy.org/toggle), de demander à privoxy d'afficher les règles qu'il aurait appliqué à une URL que vous saisissez à la main (http://config.privoxy.org/show-url-info) et enfin de visualiser et modifier la configuration ( http://config.privoxy.org/show-status ).

Cette dernière option offre cependant possibilité un peu cachée qui est de règler le niveau de sévérité du proxy. En effet, si sur la ligne default.action vous clickez sur Edit.Vous allez voir apparaître trois niveaux : Cautious (précautionneux), Medium et Advanced. Le premier offre un niveau de sécurité correcte mais laisse par exemple plus passer les cookies. C'est le mode par défaut qui ne "casse" aucun site marchand. Le dernier est un blockage quasi complet mais qui vous demande souvent d'ajouter un site marchand dans la section { shop } (cf plus haut). A chacun de voir en fonction de sa paranoïa, moi je suis sur Advanced

Passer Privoxy en Proxy transparent

J'ai essayé de rester le plus compatible avec les Windowsiens que possible mais là, je ne sais pas si cette manipulation est réalisable pour vous. Si c'est le cas, dites le moi et j'ajouterais la partie correspondante.

Un Proxy transparent est un concept ultra-pratique permettant de ne pas configurer les machines clientes. Comment cela se passe ? Simplement en déclarant sur les machines clients que la passerelle internet n'est plus votre routeur, mais la machine_de_gaston. Ainsi, tout le traffic internet va être redirigé sur gaston qui va lui le rediriger sur internet. A partir de là, il est facile de créer une redirection spécifique du port 80 vers privoxy. Ainsi, sans que cela ne soit visible, toutes les machines du réseau utilisent de manière transparente privoxy.

Préparation de la machine serveur

Privoxy ne peut pas agir directement en proxy transparent, il faut pour réaliser ce petit miracle, installer un micro proxy appelé transproxy. Son seul rôle sera de recevoir le traffic Web et de le rediriger vers provoxy. S'il n'est pas disponible sur votre distribution (c'est le cas pour Mandriva), vous n'avez plus qu'à la compiler. Cela se fait sans problème par la grâce de trinité ./configure ; make ; make install. Cecit fait, tapez tproxy --help pour vérifier qu'il est bien en place.

Ceci fait, iul ne reste plus qu'à mettre en place un petit script qui va créer le routage. Il faut que iptables soit installé sur la machine de gaston. Si c'est le cas, créez un script de lancement en /etc/init.d/tproxy :

  #!/bin/bash

#

# tproxy           This shell script takes care of starting and stopping tproxy.

#

# chkconfig: 345 55 45

# description: tproxy 

# probe: false

# Comments to support LSB init script conventions

### BEGIN INIT INFO

# Provides: tproxy $tproxy

# Required-Start: $network privoxy

# Requires-Stop: $network privoxy

# Default-Start:  3 4 5

# Default-Stop: 0 1 6

# Short-Description: TProxy start script

# Description: TProxy start script

### END INIT INFO

# Source function library.

. /etc/rc.d/init.d/functions

# Source networking configuration.

[ -r /etc/sysconfig/network ] && . /etc/sysconfig/network

RETVAL=0

prog="tproxy"

# Check that networking is up.

[ "${NETWORKING}" = "no" ] && exit 0

pause()

{

  iptables -t nat -F

}

resume()

{

    # /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -d A.B.C.D

    /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 81

}

start() {

        # Start daemons.

  if [ -n "`/sbin/pidof tproxy`" ]; then

            gprintf "$prog: already running"

      echo

            return 1

        fi

        gprintf "Starting %s: " $prog

  resume

  echo 1 > /proc/sys/net/ipv4/ip_forward

  daemon /usr/bin/tproxy -s 81 -r nobody -l /var/log/tproxy.log $HOSTNAME 8118

  RETVAL=$?

  [ $RETVAL -eq 0 ] && touch /var/lock/subsys/tproxy

  echo

  return $RETVAL

}

stop() {

  # Stop daemons.

  pause

    echo 0 > /proc/sys/net/ipv4/ip_forward

        gprintf "Stopping %s: " $prog

        rm -f /var/lock/subsys/tproxy || {

            killproc tproxy

            RETVAL=$?

            [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/tproxy

            echo

            return $RETVAL

        }       

        success

        echo

        return $RETVAL

}

restart() {

  stop

  # wait a couple of seconds for the tproxy to finish closing down

  sleep 2

  start

} 

# See how we were called.

case "$1" in

  resume)

    resume

    ;;

  pause)

    pause 

    ;;

  start)

    start

    ;;

  stop)

    stop "$2"

    ;;

  status)

    status

    ;;

  restart)

    restart

    ;;

  *)

          gprintf "Usage: %s {start|stop|restart}\n" $0

    exit 1

esac

Configuration des clients

Notre serveur transparent étant en place, il ne nous reste plus qu'à indiquer aux machines clients que la nouvelle GateWay est la machine_de_gaston. Cela peut se faire en configurant votre routeur, en dur sur les machines ou via votre serveur dhcp. Et lorsque c'est réalisé et que les machines clients ont renouvellées leur IP, vous pouvez vérifier que tout fonctionne et naviguant sur l'une d'entre elles tout en observant les logs sur la machine de gaston.

Conclusion

Ce tutorial ne couvre pas toutes les possibilités de privoxy, loin de là. C'est une mise en jambe pour un outil qui est pour moi aujourd'hui totalement indispensable (merci Malic . Un des aspect avancé très intéressant de Provoxy est sa capacité à ré-écrire des morceaux de pages. Cette fonction permet par exemple de contourner certains sites qui s'amusent à bloquer firefox. Mais déjà en l'état, Privoxy est un très bon outil d'étude et de protection qui, je l'espère, vous servira autant qu'à moi.

Commentaires

Comme d'habitude un excellent article
Je ne comprenais pas pourquoi l'utilisation de transproxy, je pensais qu'une simple redirection iptables vers le port 8118 suffirai comme c'est le cas avec squid. Mais non tu as raison, il s'agit d'une fonctionnalité prévue dans une prochaine version. ( http://www.privoxy.org/faq/configuration.html#TRANSPARENT )

Merci monsieur

Pour le transparent proxy, en effet, j'ai été un peu étonné mais bon, tproxy ferra l'affaire en attendant.

Bonjour,

Encore un bel article fort utile, même pour les windowsiens !

Juste une petite modification peut-être, au début de l'article tu as : "Il y a 10 jours, je vous parlais de [b]Google Analytics et des moyens de se prémunir de ce \"spyweb\"[\b] et de ses", le lien pointe sur la page courante et non sur http://artisan.karma-lab.net/comment-ne-plus-etre-trace-par-google-analy...

Merci Randy

C'est corrigé, j'espère que tu n'as pas trouvé trop de fautes

Hello,

Merci pour ceci, mon surf n'en sera que plus limpide

Par contre, petite coquille dans le paragraphe 'Paramétrage du navigateur'. L'URL de configuration donné pointe sur du .Com alors que cela devrait être .Org.

Merci, c'est corrigé

Pour le proxy transparant, si j'ai bien compris la chaine, c'est :
Poste client -> passerelle par default - iptable (80) -> passerelle par default - tproxy (81) -> passerelle par default - privoxy (8118) -> internet

Le soucis, c'est quand je fais du ftp ou du https, ça ne doit pas passer, ces services ne sont pas pris en charge par la configuration. Pis les protocoles streamés genre windows média machin et autres vidéo/sons

As-tu validé (rhôôô le méchant mot qui me rapelle le boulôt) pour les autres protocoles?
Allez, je la refais :
As-tu vu pour les autres protocoles?

Toutes les requêtes sont redirigés vers la gateway (logique) et vu que celle-ci a l'ip-fowarding activé, elles sont ensuite redirigées vers le net (ftp, https, etc..) sauf celle correspondent à la régle iptables (80->81) qui, elles, passent par tproxy/privoxy puis par ensuite sur net.

Dans cette configuration je n'ai constaté aucun soucis, y compris pour le stream (vidéo, audio, etc..), ni pour le ftp et encore moins pour le https. J'utilise cela depuis quelques semaines maintenant et personne ici (moi compris n'a couiner pour se plaindre d'un truc qui ne passait pas.

Oui, remarque si la machine_de_gaston est configurée comme une passerelle, ça ne pause aucun soucis.

En tout cas, c'est bien ce bulletin, je trouve que c'est une bonne chose de dire que l'on peut vivre sans sollicitation, sans être analyser sans arrêt et sous toutes les coutures.

Merci.

Merci à toi

Kenavo ar wech all!

@malic

A l'évidence il y a une chose qui passe mal avec le proxy, c'est subversion@webdav. J'ai du ajouter une régle de bypass pour le serveur local.

Bonjour,

effectivement, très bon tutorial qui m'a bien aidé dans la mise en place de transproxy + privoxy. Les connexions HTTP fonctionnent parfaitement (et sont filtrées) mais je n'arrive pas à dire à ma machine de router simplement les paquets adressés à d'autres ports (HTTPS, SMTP, etc...) d'être routés plus loin sans les faire passer par privoxy. Actuellement, ils restent bloqués en entrant dans mon iptables car ils ne correspondent à aucune règle...

Comment faire pour que ces paquets soient simplement routés ?

Merci d'avance de votre aide !

Pour être sur de correctement répondre, tu utilises une seule machine ou une machine cliente et une machine passerelle ?

J'utilise le tout sur une même machine actuellement: privoxy + transproxy + iptables sur une Debian Etch. Merci d'avance de la réponse.

Ok, donc là je doute que cela puisse marcher tel quel car la méthode que je propose fonctionne pour deux machines et exploite la fonction d'auto-forwarding de la passerelle pour ne récuperer _que_ le flux http à rediriger vers le proxy, le reste suivant son cour normal vers la vraie passerelle.

Dans ton cas, il va falloir que tu fonctionnes dans un mode "firewall" je pense (je ne suis pas un guru d'iptables, loin de là), c'est à dire rediriger poser ta règle de redirection du 81 vers le 81, suivit d'une autre régle qui redirige tout vers la passerelle.

  iptables -A INPUT -i eth0 -j ACCEPT

iptables -A OUTPUT -o eth0 -j ACCEPT

Tu peux aussi jeter un oeil ici, c'est une mine connue d'informations : dead://christian.caleca.free.fr/netfilter/iptables.htm

Merci pour ta réponse. Je crois que j'ai mal compris ta première question. En fait, j'ai une machine serveur sur laquelle tourne privoxy + transproxy + iptables (Debian Etch) et plusieurs machines client que j'aimerais faire passer par ce proxy avant de sortir sur internet. Mais j'aimerais qu'il n'y ait que le traffic HTTP qui passe par ce proxy, et tout le reste devrait sortir "normalement" via le routeur.

Actuellement, j'ai réalisé la configuration de ton tutoriel mais en plus, j'ai rajouté cette règle dans le firewall du proxy afin de filtrer les connexions HTTP:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 81

Tous les autres protocoles sont également routés vers mon serveur proxy (car la passerelle par défaut des clients est ce serveur proxy) mais ils ne sont pas forwardés plus loin. Pourrais-tu m'expliquer ce que je fais faux, ou alors si je dois rajouter une machine, quels services devraient tourner à quel endroit et quelles règles je dois rajouter dans le firewall.

Merci d'avance de ta réponse car il me semble que je suis un peu perdu...

Ahhh ok, là ç'est plus simple d'un coup

Donc tu as une machine dite "passerelle" qui est la seule à être connectée à internet. Et tu as N machines clients qui ont toutes dans leur configuration, l'adresse de la machine "passerelle" dans le champ "gateway". A ce stade tes machines clientes n'ont pas accès à internet car si elle vont bien router leur traffic non local vers "passerelle", cette dernière ne va rien en faire. Là tu as deux solutions, soit tu utilises IPTables pour transformer ta machine "passerelle" en routeur (compliqué), soit tu utilises une fonction magique sur la machine "passerelle" lui indiquant de router tout ce qui ne lui est pas destiné vers sa passerelle à elle (donc vers internet).

Sachant cela, si tu part d'une machine "passerelle" sans aucune règle iptables en t'en assurant avec ceci :

  iptables -t nat -F

iptables -F

tu n'as plus qu'à activer le mode "forwarding" de la machine "passerelle" comme cela :

  echo 1 > /proc/sys/net/ipv4/ip_forward
  

Ensuite, tu peux vérifier que tout ton traffic internet passe sur tes machines client en essayant un "ping" sur une machine externe (ex. ping www.free.fr). Si à ce stade cela ne passe pas, tu as un problème, soit de passerelle sur ta machine client, soit de passerelle sur ta machine "passerelle".

Une fois que cela marche, tu peux router, avec iptable, une partie du traffic qui transite par la machine passerelle sur le tproxy :

  /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 81
  

Voilà, normalement à ce stade, tout fonctionne. J'espère que je t'ai aidé un peu car au fond je n'ai fait que reformuler le script que j'ai donné plus haut.

Eh ben tu vois, j'y ai pensé pendant la nuit à ce paramètre ip_forward , mais j'étais persuadé qu'il était à 1 par défaut (ce qui serait un énorme risque car toutes les machines se comporteraient en tant que routeur). Mais non, il était à 0. Et effectivement, comme ça ça fonctionne. Il ne me reste qu'à appliquer les autres règles iptables afin de sécuriser tout ça et après c'est tout bon.

Merci encore pour ton aide, et encore une fois, félicitations pour tes articles !

Ravis que cela fonctionne en tout cas et merci pour tes félicitations N'hésites pas à poser des questions car c'est souvent que les commentaires deviennent plus intéressant que l'article lui-même.

Ok, alors je profite ... Encore une petite question qui me passe par la tête: lorsque je fais une mise à jour de mon serveur via APT (Debian), j'émets des requêtes HTTP. J'aimerais également que ces données passent par le proxy avant de sortir. Ce que je fais actuellement, c'est que je définis dans le fichier de configuration de APT que mon proxy est http ://localhost:8118. Dans ce cas, pour le serveur, le proxy transparent ne sert à rien. Est-ce que tu vois une meilleure solution (via iptables sûrement) ?

ben techniquement, dés que tu as mis en oeuvre le proxy transparent, TOUT le traffic du port 80 est redirigé sur tproxy (port 81) qui lui redirige TOUT vers privoxy (8118). Tu n'as donc AUCUNE configuration de proxy à faire sur tes applications clients (navigateur, lecteur, rss, apt, etc..). Si ce n'est pas le cas, soit ton application n'utilise pas le port 80 (auquel cas tu rajoute une règles iptables du même genre que 80->81), soit tu as un soucis dans ton installation.

Si tu fait un tail -f /var/log/privoxy/* et que tu lances ton apt get, cela doit défiler dans les logs, sinon, quelque chose coince.

Merci pour ta réponse. Oui, effectivement, pour les clients, tout le traffic HTTP passe par la chaîne tproxy + privoxy. Pour ça je n'ai aucun problème, quelle que soit l'application.

Pour ma question, je parle du cas où la machine sur laquelle sont installés tproxy + privoxy émet une requête HTTP. Dans ce cas-là, la requête va directement sur le routeur sans passer par tproxy + privoxy. Cela est logique, car sur cette machine, la default gateway configurée pointe sur le routeur. Je ne peux pas faire autrement, sinon cette machine ne sais pas comment contacter le reste du monde... D'oû ma question: dans ton cas, comment as-tu fait pour que les requêtes provenant de ta machine proxy puissent également être filtrées ?

Ahh ok, j'ai compris. Ben en fait, elle ne le sont pas Ma gateway étant.. une gateway, je n'ai pas éprouvé le besoin de le faire. Je cherche avant tout à protéger les postes clients, le serveur ayant un comportement globalement normée.

Mais si tu veux tenter l'aventure, je pense que le lien que je t'avais posté plus haut devrait t'aider.

Bonjour,
J'ai téléchargé Privoxy qui s'est installé tout seul
mais je n'ai pas bien compris la suite
Si je lance http://config.privoxy.org/
J'obtiens :
Privoxy is not being used

Je suis sous MAC OSX - Safari -
Pouvez-vous m'expliquer avec un language simple
Merci - Cordialement - MARC

@Michel Je n'ai que de très pauvres connaissances sur MacOS, je vais être en difficulté pour vous répondre. Peut-être ce tutorial pourra t-il plus vous aider :
http://www.torproject.org/docs/tor-doc-osx.html.fr

Pour le mode transparent, Privoxy doit nécessairement être installé sur la passerelle non ?

@Dab euh oui, il me semble que c'est marqué d'ailleurs

implement en y déclarant que la passerelle internet n'est plus votre routeur, mais la machine privoxy

C'est juste pour relever une petite faute dans la partie installation il manque le tiret de apt-get.
J'en profite pour vous féliciter pour ce site, tant au niveau du design que du contenu.
Bonne continuation

@chdorb merci, c'est corrigé

Oups je devais être dans une phase de somnolence, c'est clairement écrit et c'est dailleurs le but du paragraphe : faire un proxy transparent. Surement les débuts d'alzheimer

Bonsoir,
Je viens régulièrement consulter votre blog , que j'apprécie particulièrement.
Je suis de temps en temps sur windows avec firefox et le plug-in Switch Proxy pour pouvoir surfer avec le proxy de free. Dans la configuration du plug-in j'ai indiqué pour http 127.0.0.1 et le port 8181. Ca marche, mais mon IP réel s'affiche. Une petite idée pour continuer à utiliser le proxy free tout en bénéficiant de privoxy ? Merci

@Dab en tout cas s'était le premier but de la mise à jour du tuto, j'ai découvert que privoxy pouvoir directement fonctionner en transparence alors que jusqu'à maintenant je me faisais ch*er avec tproxy On va dire que c'est un ajout récent

@Lindows il faut que tu chaînes les proxy

Ton navigateur -> privoxy -> proxy free.

Pour faire cela, dans la configuration de privoxy, il faut jeter un oeil à la clause "forward".

Bonsoir,

Ca m'étonne que je sois le seul à l'avoir remarquer, et encore plus qu'il n'y ai que mon privoxy qui utilise ce nom de fichier, mais je n'ai pas "user.actions" mais "user.action"

De plus, mon filtrage n'a pas l'air de fonctionner. Si je vais sur le site "www.liberation.fr" (ou tout autre), rien ne s'affiche dans mon fichier de log. En activant le debug a 1 dans le fichier "config", je vois bien que firefox passe par privoxy mais rien ne me dit que les scripts ont été bloqué comme dans l'exemple donné.

J'ai essayé avec et sans rajouter les filtres supplémentaires mais ça ne change rien.

Une idée ?

Autre sujet, quelles sont les balises que tu utilises pour afficher du texte sur fond gris ?

@Ulhume, oui c'est tout nouveau le mode transparent si je relis les premiers commentaires

Merci pour cette article.

Moi avec ton fichier user.action j'ai cette erreur :
Démarrage de privoxy :Nov 21 23:35:41 Privoxy(-1208305984) Info: loading configuration file '/etc/privoxy/config':
Nov 21 23:35:41 Privoxy(-1208305984) Fatal error: can't load actions file '/etc/privoxy/user.action': invalid alias line (2): big-block = +block +handle-as-empty-document

Ma version de privoxy est :
# rpm -qa |grep privoxy
privoxy-3.0.3-9.2.2

Si je commente +handle-as-empty-document cela passe.

@Goz c'est corrigé pour le nom de fichier, j'imagine qu'il devait s'appeler ainsi avant (le tutoriel est une mise à jour).

J'ai aussi ajouté ma configuration histoire de voir si ça colle avec la tienne. Au passage, lorsque l'on teste, le cache de firefox est un problème. Soit tu installes l'extension WebDevelopper pour désactiver le cache, soit tu prends soin avant chaque test d'aller dans outils/Effacer les traces et de vider le cache.

Pour être sur que je n'avais rien oublié, j'ai viré ma configuration privoxy existante, désinstallé, ré-installé et remis juste ma configuration. Et ça marche directe.

Pour le code sur fond gris, c'est un module perso pour Drupal qui utilise Geshi.

@Dab ouf, l'honneur est sauf

@TitaX Moi je suis à la 3.0.10, cela vient peut-être de là. De toute façon j'ai viré l'alias de mon exemple en mettant un simple { +block }

Merci pour la correction.
C'est en place chez moi et ca marche niquel

J'ai résolu ce problème. Mais au démarrage de Privoxy, j'ai cette ligne:

Privoxy(000001ac) Info: No thread-safe PRNG implemented for your platform. Using weak 'randomization' factor which will limit the already questionable usefulness of header-time-randomizing actions (disabled by default).

J'ai pas compris cette erreur. Une recherche sur le net n'a pas donné grand chose.

PS: il existerais BFilter qui serais plus simple à installer que Privoxy. Quelqu'un connait ?

BFilter me semblait moins actif à l'époque où j'ai fais mon choix, ce fût mon seul critère.

Tu utilises quelle plate-forme pour avoir une telle erreur ? Maintenant ce n'est pas létal comme erreur, non ?

Ce problème apparait sous windows. Ca ne plante pas privoxy. Mais est ce que ca n'altère pas les fonctionnalités (d'anonymat) de privoxy ? l'anglais c'est pas mon fort.

@Lindows
Non, t'inquiète, cela ne change pas grand chose pour toi.

alors pour moi la principale utilité de privoxy était de cacher mon adresse IP alors j'ai mis le
{ +hide-referrer{forge} }
/
dans mon /etc/privoxy/user.action
je l'ai juste mis au hasard dans le fichier et je voulais savoir s'il fallait la mettre après ou avant une ligne spécifique.
alors j'ai redémarre privoxy et sa ne change rien pour le teste de mon ip qui reste le même qu'avant la configuration.

@jad si tu cherches à cacher ton adresse IP, tu te trompes d'outil. La commande que tu as collée va juste masque l'URL du site dont tu viens. Techniquement il n'y a aucun moyen de masquer ton IP sur un réseau car sinon le serveur d'en face n'aurait aucune adresse pour te renvoyer tes données.

La seul possibilité pour cacher son IP est de passer par un proxy hébergé sur un serveur distant de sorte à ce que ce soit l'adresse du proxy qui soit visible et non la tienne, ce qui déplace le problème car ton proxy aura lui ton adresse.

L'autre solution est d'utiliser un outil comme TOR, mais je n'en sais pas plus, je ne cautionne pas tellement le concept.

merci maintenant je suis fixé !! ouf

et merci pour ta réactivité

je ne poste jamais, mais je le fait maintenant pour vous dire que j'ai beaucoup appris par votre blog sur le monde linux et java ,et je vous respect énormément pour les sujet que vous aborder.

continuer s'il vous plait à me bluffer à chaque article

@jad de rien Si tout ce passe bien, je devrais te bluffer de moins en moins