Dans de précédents billets, nous parlions de Google Analytics et des moyens de se prémunir de ce \"spyweb\" et de ses nombreux petits frères à l'aide de l'extension FireFox, AdBlock. Et même si cette solution marche merveilleusement et reste très utile pour protéger un poste de travail isolé (en entreprise par exemple), son champ d'action reste limité à une seule machine. Je vous propose donc donc de passer la vitesse au-dessus et de protéger cette fois l'ensemble de votre réseau à l'aide de l'outil Privoxy, un proxy filtrant aux possibilités étonnantes disponibles sur tous les systèmes de Windows à Linux en passant par Mac. Il existe même une version AmigaOS, c'est dire 
Qu'est-ce qu'un proxy ?
Pour faire simple, un proxy est une application qui va jouer le rôle d'intermédiaire entre un logiciel client (ici votre navigateur WEB) et un serveur (ici, le site WEB visité). Il existe toute sorte de proxy différents permettant de partager une connexion internet ou encore de cacher son identité. Privoxy, lui, est un proxy "filtrant". Son rôle est "simplement" de regarder tous les sites que vous visitez avant vous pour y traquer les publicités et autre spywebs. Pour cela, il dispose de deux stratégies. Soit il va interdire comme AdBlock l'accès à certains sites au navigateur, soit il va modifier, "à la volée" les pages que vous recevez (par exemple pour y modifier des scripts dangereux).
Privoxy est aussi capable de "désanimer" des images GIF, de nettoyer vos cookies pour qu'ils ne laissent pas passer d'information, de maquiller l'identité de votre navigateur. Bref, c'est un outil complet, simple d'utilisation, rapide à installer, prêt à l'emploi et complètement paramétrable pour filtrer encore plus loin.
Installation
L'objectif de ce tutoriel est de mettre en place Privoxy pour tout votre réseau. Il va donc falloir choisir une machine qui sera connue des autres sur laquelle sera installé l'application. Il n'est pas nécessaire que ce soit une machine dédiée. Privoxy prend peu de ressource mémoire et CPU, n'importe quelle machine sous n'importe quel système devrait convenir. Pour la suite j'appellerais cette machine machine_de_gaston. Cependant, vous pouvez aussi utiliser ce proxy sur une machine seule. Auquel cas, vous remplacerez simplement dans ce qui va suivre machine_gaston par localhost.
Quel que soit votre système, toutes les versions binaires pour tous les Systèmes sont téléchargeables ici. L'installation se fait, comme dit plus haut, sur la machine machine_de_gaston.
Installation sous Linux
Il y a fort à parier que Privoxy est déjà intégré dans votre distribution. Sous Mandriva, l'installation se fait par la plus que classique commande :
urpmi privoxy
Une fois qu'URPMI a terminé son travail, il vous suffit de lancer le service :
service privoxy start
Installation sous Windows
Pour les Windowsiens, téléchargez le fichier .exe d'installation et exécutez-le. Validez toutes les demandes qui vous sont faites et à la fin de l'assistant, privoxy devrait être installé, lancé et en plus vous avez droit une belle petite console vous indiquant que le proxy est actif. Il ne reste plus qu'à configurer votre navigateur.
Paramétrage du navigateur
L'avantage d'un proxy est qu'il n'existe pas à ma connaissance de navigateur qui ne sache pas l'utiliser. Pour l'exemple nous allons faire ici le paramétrage de FireFox, mais il pourrait tout aussi bien s'agir de Safari, Opéra et même Internet Explorer...
Il faut donc maintenant aller sur la machine cliente pour indiquer à son navigateur d'aller chercher ses pages web sur la machine_de_gaston. Dans FireFox allez dans les menus Edition/Préférence/Réseau/Paramétres. Sélectionnez configuration manuelle du proxy et entrez pour HTTP les valeurs machine_de_gaston et 8118. Cliquer ensuite sur OK et enfin Fermer.
C'est tout ! Pour vérifier que tout fonctionne, saisissez l'adresse http://config.privoxy.org/ et validez. Vous devez voir apparaître la page de configuration de privoxy. Tout est donc opérationnel.
Privoxy à l'oeuvre
Pour se convaincre que tout est en place, il suffit d'aller sur la "machine de gaston" et de regarder les traces. Pour les Windowsiens cela se fait dans la console que vous avez découverte à l'installation, pour les Linuxiens, les logs se trouvent en /var/log/privoxy/logfile.
Sur le poste client, allez faire un tout avec votre navigateur sur le site www.liberation.fr et regardez ce qu'affiche privoxy sur la machine de gaston :
Request: www.liberation.fr/
Request: www.liberation.fr/_looks/liberation/scripts/rObj.js
(...)
www.smartadserver.com/call/pubj/252/1276/225/M/7424944326/? crunch!
Request: www.liberation.fr/_looks/liberation/images/fond_pub_728x90.gif
(...)
Request: www.smartadserver.com/call/pubj/252/1276/163/S/7424944326/? crunch!
Request: www.liberation.fr/_looks/liberation/images/onglet_forum_on.gif
(...)
Request: cmhtml.fr.overture.com/d/search/p/standard/eu/js/flat/ctxt/ls/?ctxtId=libe_fr_annuaire&NGrp=2&NKw=4&Pg=1&keywordCharEnc=utf-8&outputCharEnc=utf-8&Partner=liberation_js_fr_ctxtls_libe crunch!
(...)
www.liberation.fr/interactif/question/libeblogs/_files/file_258326_34465_petite_vignette.jpg
Request: www.smartadserver.com/call/pubj/252/1276/276/S/7424944326/? crunch!
(...)
Request: www.smartadserver.com/call/pubj/252/1276/94/S/7424944326/? crunch!
Request: www.liberation.fr/interactif/question/libeblogs/_files/file_260788_26585_petite_vignette.jpg
(...)
Request: www.google-analytics.com/urchin.js crunch!
(...)
Request: logi8.xiti.com/hit.xiti?s=197813&s2=2&p=homepage&hl=8x59x22&lng=fr&r=1280x886x32x32&re=1280x746&ref= crunch!
A chaque fois que privoxy affiche crunch, il a bloquer le navigateur. Nous voyons ainsi qu'en standard, privoxy bloque efficacement les publicités, Google Analytics et Xiti. Cela fait déjà beaucoup de nuisance en moins. Mais nous allons pouvoir aller un peu plus loin.
Améliorer le filtrage
Les fichiers à modifier
Comme vous l'avez vu, Privoxy par défaut marche déjà très bien. Il est cependant possible de pousser encore et de l'adapter parfaitement à vos besoins. Pour changer les paramètres de Privoxy, vous avez deux solutions. Soit vous utilisez l'interface WEB (personnellement je ne la trouve pas très simple), Soit vous éditez directement les fichiers de configuration. Pour les Windowsiens, il suffit d'aller dans la console de Privoxy dans les menus Options/Edit User Actions. Pour les autres, il faut simplement éditer le fichier /etc/privoxy/user.actions. Notez que le simple fait de sauver le fichier reconfigure Privoxy. Pas besoin de donc de redémarrer.
Le fichier user.actions contient les règles que vous avez le "droit" de changer. Vous pouvez changer aussi les autres mais cela risque de vous créer plus de problèmes qu'autre chose. Par défaut il contient déjà plein d'exemple utiles.
Vous allez pouvoir ajouter ici, des règles et des Aliases. Une règle est la combinaison d'une ou plusieurs Actions à une ou plusieurs URL auxquelles ces actions s'appliquent. Pour la liste complète des actions que Privoxy propose, allez jeter un oeil ici.
Ajout de nouvelles règles
Prenons un exemple et imagions que nous voulions supprimer l'envoi de tous les cookies pour le site wwww.mauvais-site.fr. Ce besoin traduit donnerait :
{ +crunch-outgoing-cookies }
.mauvais-site.fr
Cette règle très simple va ajouter l'action "crunch-outgoing-cookies" (qui supprime les envois de cookies) à toutes les urls appartenant à .mauvais-site.fr. Le signe + indique que la directive doit être ajoutée. En effet, les règles s'additionnent. Par exemple si plus loin de le fichier user.action j'écris :
{ -crunch-outgoing-cookies }
bonne-page.mauvais-site.fr
Toutes les pages du domaine mauvais-site.fr auront leur cookie mangé sauf bonne-page.mauvais-site.fr.
Vous pouvez des * dans les URL, par exemple ad*.site-de-pube.fr, ou même une expression régulière comme pour adBlock comme www[1-9a-ez].example.c*.
Vous pouvez aussi mettre plusieurs actions entre les accolades, soit sur une seule ligne en les séparant par des espaces, soit sur plusieurs lignes en ajoutant un \ à la fin de chaque ligne. Cela nous donne par exemple :
{ +crunch-outgoing-cookies \
+crunch-incoming-cookies }
ad*.mauvais-site.fr
www[1-9a-ez].example.c*
Ajout d'Alias
Comme nous l'avons vu, il est possible de mettre plusieurs actions entre accolade. Il peut être alors pratique de pouvoir regrouper un ensemble d'actions sous un seul alias. Par exemple, si nous voulons regrouper la suppression de tous les cookies, nous ajouterions dans le fichier user.actions :
{{alias}}
+crunch-all-cookies = +crunch-incoming-cookies +crunch-outgoing-cookies
-crunch-all-cookies = -crunch-incoming-cookies -crunch-outgoing-cookies
Une règle pour ajouter, une autre pour enlever, je pense que l'exemple parle de lui-même. Ainsi la règle du chapitre précédent pourrait s'écrire :
{ +crunch-all-cookies }
ad*.mauvais-site.fr
www[1-9a-ez].example.c*
{ shop }
www.boutique-branlante.fr
{ fragile }
www.site-mal-fichu.fr
Ajout de règles supplémentaires
Avec ces informations, il est possible donc d'améliorer encore privoxy pour ne plus rien laisser passer ou presque. Au début, comme moi, vous allez observer ce que les sites font exactement avec votre ligne en regardant les logs de Privoxy. C'est très instructif. Et à chaque fois que vous voyez quelque chose de louche, vous pouvez ajouter une règle comportant l'action { +block } suivi à la ligne suivante de chaque url posant problèmes. Voici ma liste que vous pouvez adapter à vos besoins :
{{alias}}
big-block = +block +handle-as-empty-document
# Régies publicitaires/ Plateformes d'annonce
{ big-block }
.netavenir.com # http://www.netavenir.com/
.turn.com # http://www.turn.com/corp/how/how-it-works.jsp
.bluestreak.com # http://www.bluestreak.com/whowhat/index.asp
.criteo.com # http://www.criteo.com/en/bloggers.aspx
.blogbang.com/demo/js/blogbang_ad.php\?id= # http://www.blogbang.com/demo/
/.*\/microsoft_adcenterconversion\.js # Régie Microsoft
*.*.marketingsolutions.yahoo.com/* # Régie Yahoo
www.googleadservices.com/* # Régie Google
.fmpub.net # http://federatedmedia.net/whyadvertise/index
pubsrv.allopass.com/* # http://www.allopass.com/
.comclick.com # http://www.comclick.com/
.regieci.com # http://www.regieci.com/fr/accueil/index.asp
.allo-audience.fr # http://www.allo-audience.fr/
.audientia.net # http://www.audientia.net/new/fr/new/
.clickintext.com # http://www.clickintext.com/
.clickintext.net
.intellitxt.com
# Les enregistreurs/relecteurs
{ big-block }
.clicktale.* # http://www.clicktale.com/faq.html
cetrk.com/* # http://crazyegg.com/overview
*.robotreplay.com/* # http://www.robotreplay.com/
/.*/clickheat.js
# médiamêtrie/traçage
{ big-block }
.estat.com # http://www.estat.com/service/services_form.html
.sitemeter.com # http://www.sitemeter.com/
.w3counter.com # http://www.w3counter.com/
.reinvigorate.net # http://report.reinvigorate.net/snoop
/.*\/webanalytics # http://france.webanalytics.be/
.opentracker.net # http://www.opentracker.net/index.jsp
.weborama.* # http://weborama.com/
.quantserve.com # http://www.quantcast.com/
.performancing.com # http://performancing.com/tracker
.ToutLeMondeEnBlogue.com # http://www.toutlemondeenblogue.com/index.aspx
stats.wordpress.com # http://www.wordpress.com
*.technorati.com/* # http://www.technorati.com
embed.technorati.com/linkcount #
/.*xiti.js # http://www.xiti.com/
*.getclicky.com/* # http://www.getclicky.com/help/
*.iminr.com/* # http://www.iminr.com/
.netprofitblueprint.com/* # http://www.netprofitblueprint.com/capture.html (assez opaque celui-la...)
.converdge.com # http://www.converdge.com/features
.cybermonitor.com
my.blogitexpress.com/.*\.js # http://www.blogitexpress.com/
www.atoomic.com/js/* # http://www.atoomic.com/
.clustrmaps.com/counter/*
/phpmyvisites.js
.trackalyzer.com
# Page ranking
www.free-pagerank.com/fcgi-bin/alive_js.fcgi.*
external.wikio.fr/blogs/top/getrank
www.pagerank.fr/pagerank-actuel.gif
# Loggers un peu trop traçeurs
{ big-block }
.mybloglog.com # http://www.mybloglog.com/
#*.paperblog.fr/* # http://www.paperblog.fr/pages/presentation/
# Outils non centralisé
/.*\/phpmyvisites\.js # http://www.phpmyvisites.net/
# traçage des flux (feeds)
{ big-block }
feedjit.com/* # http://feedjit.com/
# Spécial Google
{ big-block }
/.*utm.js # variante d'urchin
/.*stat.*\.js # un filtrage générique
/.*\/urchin.js # variante d'urchin
/.*s_code.js # variate d'urchin
/.*google-analyticator.* # le plugin pour wordpress
# Nuisances
{ big-block }
.snap.com/* # Charge les liens en tâche de fond pour en faire
# des vignettes. Sympa en soit mais pompe pas mal de resources.
.ixnp.com/*
.twitter.com/*
.webreseau.com # http://www.webreseau.com/fr/fonctionnement.asp
*.devfr.net/* # Pas identifié, si quelqu'un a une idée...
badge.facebook.com/badge/*
.blogbar.org
Le dernier bloc de cette liste ne sont pas des spywebs mais des fonctions qui me fatiguent car elles ralentissent l'affichage des pages. Donc si vous n'en voullez pas, libre à vous 
Enfin, pour peaufiner encore votre couverture, vous pouvez ajouter deux règles biens pratiques. La première consiste à empêcher les sites de savoir d'où vous venez en lui faisant croire que vous venez toujours de chez eux (referrer). L'URL utilisé est ici le / ce qui veut dire "pour tous les sites".
{ +hide-referrer{forge} }
/
Et puis, pour s'amuser un peu nous pouvons aussi maquiller l'identité de notre navigateur. Là, je vais faire croire que le navigateur que j'utilise est un FireFox 7.1 tournant sur un vénérable Oric Atmos
{ +hide-user-agent{Mozilla/5.0 (TV; U; Oric Atmos 6502c; en-US; rv:r91.6) Gecko/19870508 TranDOS Firefox/7.1} }
/
Quelques mots sur l'interface WEB
Même s'il n'est pas bien pratique pour éditer la configuration, l'interface WEB est en revanche très efficace pour contrôler le proxy. Si vous tapez l'URL http://config.privoxy.org/. Vous avez la possibilité d'activer ou de désactiver le proxy (http://config.privoxy.org/toggle), de demander à privoxy d'afficher les règles qu'il aurait appliqué à une URL que vous saisissez à la main (http://config.privoxy.org/show-url-info) et enfin de visualiser et modifier la configuration ( http://config.privoxy.org/show-status ).
Cette dernière option offre cependant possibilité un peu cachée qui est de règler le niveau de sévérité du proxy. En effet, si sur la ligne default.action vous clickez sur Edit.Vous allez voir apparaître trois niveaux : Cautious (précautionneux), Medium et Advanced. Le premier offre un niveau de sécurité correcte mais laisse par exemple plus passer les cookies. C'est le mode par défaut qui ne "casse" aucun site marchand. Le dernier est un blockage quasi complet mais qui vous demande souvent d'ajouter un site marchand dans la section { shop } (cf plus haut). A chacun de voir en fonction de sa paranoïa, moi je suis sur Advanced 
Passer Privoxy en Proxy transparent
Un Proxy transparent est un concept ultra-pratique permettant de ne pas configurer les machines clientes. Comment cela se passe ? Simplement en déclarant sur les machines clients que la passerelle internet n'est plus votre routeur, mais la machine_de_gaston. Ainsi, tout le traffic internet va être redirigé sur gaston qui va lui le rediriger sur internet. A partir de là, il est facile de créer une redirection spécifique du port 80 vers privoxy. Ainsi, sans que cela ne soit visible, toutes les machines du réseau utilisent de manière transparente privoxy.
Préparation de la machine serveur
Privoxy ne peut pas agir directement en proxy transparent, il faut pour réaliser ce petit miracle, installer un micro proxy appelé transproxy. Son seul rôle sera de recevoir le traffic Web et de le rediriger vers provoxy. S'il n'est pas disponible sur votre distribution (c'est le cas pour Mandriva), vous n'avez plus qu'à la compiler. Cela se fait sans problème par la grâce de trinité ./configure ; make ; make install. Cecit fait, tapez tproxy --help pour vérifier qu'il est bien en place.
Ceci fait, iul ne reste plus qu'à mettre en place un petit script qui va créer le routage. Il faut que iptables soit installé sur la machine de gaston. Si c'est le cas, créez un script de lancement en /etc/init.d/tproxy :
#!/bin/bash
#
# tproxy This shell script takes care of starting and stopping tproxy.
#
# chkconfig: 345 55 45
# description: tproxy
# probe: false
# Comments to support LSB init script conventions
### BEGIN INIT INFO
# Provides: tproxy $tproxy
# Required-Start: $network privoxy
# Requires-Stop: $network privoxy
# Default-Start: 3 4 5
# Default-Stop: 0 1 6
# Short-Description: TProxy start script
# Description: TProxy start script
### END INIT INFO
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
[ -r /etc/sysconfig/network ] && . /etc/sysconfig/network
RETVAL=0
prog="tproxy"
# Check that networking is up.
[ "${NETWORKING}" = "no" ] && exit 0
pause()
{
iptables -t nat -F
}
resume()
{
# /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -d A.B.C.D
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 81
}
start() {
# Start daemons.
if [ -n "`/sbin/pidof tproxy`" ]; then
gprintf "$prog: already running"
echo
return 1
fi
gprintf "Starting %s: " $prog
resume
echo 1 > /proc/sys/net/ipv4/ip_forward
daemon /usr/bin/tproxy -s 81 -r nobody -l /var/log/tproxy.log $HOSTNAME 8118
RETVAL=$?
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/tproxy
echo
return $RETVAL
}
stop() {
# Stop daemons.
pause
echo 0 > /proc/sys/net/ipv4/ip_forward
gprintf "Stopping %s: " $prog
rm -f /var/lock/subsys/tproxy || {
killproc tproxy
RETVAL=$?
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/tproxy
echo
return $RETVAL
}
success
echo
return $RETVAL
}
restart() {
stop
# wait a couple of seconds for the tproxy to finish closing down
sleep 2
start
}
# See how we were called.
case "$1" in
resume)
resume
;;
pause)
pause
;;
start)
start
;;
stop)
stop "$2"
;;
status)
status
;;
restart)
restart
;;
*)
gprintf "Usage: %s {start|stop|restart}\n" $0
exit 1
esac
Configuration des clients
Notre serveur transparent étant en place, il ne nous reste plus qu'à indiquer aux machines clients que la nouvelle GateWay est la machine_de_gaston. Cela peut se faire en configurant votre routeur, en dur sur les machines ou via votre serveur dhcp. Et lorsque c'est réalisé et que les machines clients ont renouvellées leur IP, vous pouvez vérifier que tout fonctionne et naviguant sur l'une d'entre elles tout en observant les logs sur la machine de gaston.
Conclusion
Ce tutorial ne couvre pas toutes les possibilités de privoxy, loin de là. C'est une mise en jambe pour un outil qui est pour moi aujourd'hui totalement indispensable (merci Malic . Un des aspect avancé très intéressant de Provoxy est sa capacité à ré-écrire des morceaux de pages. Cette fonction permet par exemple de contourner certains sites qui s'amusent à bloquer firefox. Mais déjà en l'état, Privoxy est un très bon outil d'étude et de protection qui, je l'espère, vous servira autant qu'à moi.
Comme d'habitude un excellent article
Je ne comprenais pas pourquoi l'utilisation de transproxy, je pensais qu'une simple redirection iptables vers le port 8118 suffirai comme c'est le cas avec squid. Mais non tu as raison, il s'agit d'une fonctionnalité prévue dans une prochaine version. ( http://www.privoxy.org/faq/configuration.html#TRANSPARENT )
Merci monsieur
Pour le transparent proxy, en effet, j'ai été un peu étonné mais bon, tproxy ferra l'affaire en attendant.
Bonjour,
Encore un bel article fort utile, même pour les windowsiens !
Juste une petite modification peut-être, au début de l'article tu as : "Il y a 10 jours, je vous parlais de [b]Google Analytics et des moyens de se prémunir de ce \"spyweb\"[\b] et de ses", le lien pointe sur la page courante et non sur http://artisan.karma-lab.net/comment-ne-plus-etre-trace-par-google-analy...
Merci Randy
C'est corrigé, j'espère que tu n'as pas trouvé trop de fautes
Hello,
Merci pour ceci, mon surf n'en sera que plus limpide
Par contre, petite coquille dans le paragraphe 'Paramétrage du navigateur'. L'URL de configuration donné pointe sur du .Com alors que cela devrait être .Org.
++
Merci, c'est corrigé
Pour le proxy transparant, si j'ai bien compris la chaine, c'est :
Poste client -> passerelle par default - iptable (80) -> passerelle par default - tproxy (81) -> passerelle par default - privoxy (8118) -> internet
Le soucis, c'est quand je fais du ftp ou du https, ça ne doit pas passer, ces services ne sont pas pris en charge par la configuration. Pis les protocoles streamés genre windows média machin et autres vidéo/sons
As-tu validé (rhôôô le méchant mot qui me rapelle le boulôt) pour les autres protocoles?
Allez, je la refais :
As-tu vu pour les autres protocoles?
Toutes les requêtes sont redirigés vers la gateway (logique) et vu que celle-ci a l'ip-fowarding activé, elles sont ensuite redirigées vers le net (ftp, https, etc..) sauf celle correspondent à la régle iptables (80->81) qui, elles, passent par tproxy/privoxy puis par ensuite sur net.
Dans cette configuration je n'ai constaté aucun soucis, y compris pour le stream (vidéo, audio, etc..), ni pour le ftp et encore moins pour le https. J'utilise cela depuis quelques semaines maintenant et personne ici (moi compris
n'a couiner pour se plaindre d'un truc qui ne passait pas.
Oui, remarque si la machine_de_gaston est configurée comme une passerelle, ça ne pause aucun soucis.
En tout cas, c'est bien ce bulletin, je trouve que c'est une bonne chose de dire que l'on peut vivre sans sollicitation, sans être analyser sans arrêt et sous toutes les coutures.
Merci.
Merci à toi
Kenavo ar wech all!
@malic
A l'évidence il y a une chose qui passe mal avec le proxy, c'est subversion@webdav. J'ai du ajouter une régle de bypass pour le serveur local.
Bonjour,
effectivement, très bon tutorial qui m'a bien aidé dans la mise en place de transproxy + privoxy. Les connexions HTTP fonctionnent parfaitement (et sont filtrées) mais je n'arrive pas à dire à ma machine de router simplement les paquets adressés à d'autres ports (HTTPS, SMTP, etc...) d'être routés plus loin sans les faire passer par privoxy. Actuellement, ils restent bloqués en entrant dans mon iptables car ils ne correspondent à aucune règle...
Comment faire pour que ces paquets soient simplement routés ?
Merci d'avance de votre aide !
Pour être sur de correctement répondre, tu utilises une seule machine ou une machine cliente et une machine passerelle ?
J'utilise le tout sur une même machine actuellement: privoxy + transproxy + iptables sur une Debian Etch. Merci d'avance de la réponse.
Ok, donc là je doute que cela puisse marcher tel quel car la méthode que je propose fonctionne pour deux machines et exploite la fonction d'auto-forwarding de la passerelle pour ne récuperer _que_ le flux http à rediriger vers le proxy, le reste suivant son cour normal vers la vraie passerelle.
Dans ton cas, il va falloir que tu fonctionnes dans un mode "firewall" je pense (je ne suis pas un guru d'iptables, loin de là), c'est à dire rediriger poser ta règle de redirection du 81 vers le 81, suivit d'une autre régle qui redirige tout vers la passerelle.
Tu peux aussi jeter un oeil ici, c'est une mine connue d'informations : dead://christian.caleca.free.fr/netfilter/iptables.htm
Merci pour ta réponse. Je crois que j'ai mal compris ta première question. En fait, j'ai une machine serveur sur laquelle tourne privoxy + transproxy + iptables (Debian Etch) et plusieurs machines client que j'aimerais faire passer par ce proxy avant de sortir sur internet. Mais j'aimerais qu'il n'y ait que le traffic HTTP qui passe par ce proxy, et tout le reste devrait sortir "normalement" via le routeur.
Actuellement, j'ai réalisé la configuration de ton tutoriel mais en plus, j'ai rajouté cette règle dans le firewall du proxy afin de filtrer les connexions HTTP:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 81
Tous les autres protocoles sont également routés vers mon serveur proxy (car la passerelle par défaut des clients est ce serveur proxy) mais ils ne sont pas forwardés plus loin. Pourrais-tu m'expliquer ce que je fais faux, ou alors si je dois rajouter une machine, quels services devraient tourner à quel endroit et quelles règles je dois rajouter dans le firewall.
Merci d'avance de ta réponse car il me semble que je suis un peu perdu...
Ahhh ok, là ç'est plus simple d'un coup
Donc tu as une machine dite "passerelle" qui est la seule à être connectée à internet. Et tu as N machines clients qui ont toutes dans leur configuration, l'adresse de la machine "passerelle" dans le champ "gateway". A ce stade tes machines clientes n'ont pas accès à internet car si elle vont bien router leur traffic non local vers "passerelle", cette dernière ne va rien en faire. Là tu as deux solutions, soit tu utilises IPTables pour transformer ta machine "passerelle" en routeur (compliqué), soit tu utilises une fonction magique sur la machine "passerelle" lui indiquant de router tout ce qui ne lui est pas destiné vers sa passerelle à elle (donc vers internet).
Sachant cela, si tu part d'une machine "passerelle" sans aucune règle iptables en t'en assurant avec ceci :
tu n'as plus qu'à activer le mode "forwarding" de la machine "passerelle" comme cela :
Ensuite, tu peux vérifier que tout ton traffic internet passe sur tes machines client en essayant un "ping" sur une machine externe (ex. ping www.free.fr). Si à ce stade cela ne passe pas, tu as un problème, soit de passerelle sur ta machine client, soit de passerelle sur ta machine "passerelle".
Une fois que cela marche, tu peux router, avec iptable, une partie du traffic qui transite par la machine passerelle sur le tproxy :
Voilà, normalement à ce stade, tout fonctionne. J'espère que je t'ai aidé un peu car au fond je n'ai fait que reformuler le script que j'ai donné plus haut.
Eh ben tu vois, j'y ai pensé pendant la nuit à ce paramètre ip_forward
, mais j'étais persuadé qu'il était à 1 par défaut (ce qui serait un énorme risque car toutes les machines se comporteraient en tant que routeur). Mais non, il était à 0. Et effectivement, comme ça ça fonctionne. Il ne me reste qu'à appliquer les autres règles iptables afin de sécuriser tout ça et après c'est tout bon.
Merci encore pour ton aide, et encore une fois, félicitations pour tes articles !
Ravis que cela fonctionne en tout cas et merci pour tes félicitations
N'hésites pas à poser des questions car c'est souvent que les commentaires deviennent plus intéressant que l'article lui-même.
Ok, alors je profite
... Encore une petite question qui me passe par la tête: lorsque je fais une mise à jour de mon serveur via APT (Debian), j'émets des requêtes HTTP. J'aimerais également que ces données passent par le proxy avant de sortir. Ce que je fais actuellement, c'est que je définis dans le fichier de configuration de APT que mon proxy est http ://localhost:8118. Dans ce cas, pour le serveur, le proxy transparent ne sert à rien. Est-ce que tu vois une meilleure solution (via iptables sûrement) ?
ben techniquement, dés que tu as mis en oeuvre le proxy transparent, TOUT le traffic du port 80 est redirigé sur tproxy (port 81) qui lui redirige TOUT vers privoxy (8118). Tu n'as donc AUCUNE configuration de proxy à faire sur tes applications clients (navigateur, lecteur, rss, apt, etc..). Si ce n'est pas le cas, soit ton application n'utilise pas le port 80 (auquel cas tu rajoute une règles iptables du même genre que 80->81), soit tu as un soucis dans ton installation.
Si tu fait un tail -f /var/log/privoxy/* et que tu lances ton apt get, cela doit défiler dans les logs, sinon, quelque chose coince.
Merci pour ta réponse. Oui, effectivement, pour les clients, tout le traffic HTTP passe par la chaîne tproxy + privoxy. Pour ça je n'ai aucun problème, quelle que soit l'application.
Pour ma question, je parle du cas où la machine sur laquelle sont installés tproxy + privoxy émet une requête HTTP. Dans ce cas-là, la requête va directement sur le routeur sans passer par tproxy + privoxy. Cela est logique, car sur cette machine, la default gateway configurée pointe sur le routeur. Je ne peux pas faire autrement, sinon cette machine ne sais pas comment contacter le reste du monde... D'oû ma question: dans ton cas, comment as-tu fait pour que les requêtes provenant de ta machine proxy puissent également être filtrées ?
Ahh ok, j'ai compris. Ben en fait, elle ne le sont pas
Ma gateway étant.. une gateway, je n'ai pas éprouvé le besoin de le faire. Je cherche avant tout à protéger les postes clients, le serveur ayant un comportement globalement normée.
Mais si tu veux tenter l'aventure, je pense que le lien que je t'avais posté plus haut devrait t'aider.
Bonjour,
J'ai téléchargé Privoxy qui s'est installé tout seul
mais je n'ai pas bien compris la suite
Si je lance http://config.privoxy.org/
J'obtiens :
Privoxy is not being used
Je suis sous MAC OSX - Safari -
Pouvez-vous m'expliquer avec un language simple
Merci - Cordialement - MARC
@Michel Je n'ai que de très pauvres connaissances sur MacOS, je vais être en difficulté pour vous répondre. Peut-être ce tutorial pourra t-il plus vous aider :
http://www.torproject.org/docs/tor-doc-osx.html.fr
Pour le mode transparent, Privoxy doit nécessairement être installé sur la passerelle non ?
@Dab euh oui, il me semble que c'est marqué d'ailleurs
implement en y déclarant que la passerelle internet n'est plus votre routeur, mais la machine privoxy
C'est juste pour relever une petite faute dans la partie installation il manque le tiret de apt-get.
J'en profite pour vous féliciter pour ce site, tant au niveau du design que du contenu.
Bonne continuation
@chdorb merci, c'est corrigé
Oups je devais être dans une phase de somnolence, c'est clairement écrit et c'est dailleurs le but du paragraphe : faire un proxy transparent. Surement les débuts d'alzheimer
Bonsoir,
avec firefox et le plug-in Switch Proxy pour pouvoir surfer avec le proxy de free. Dans la configuration du plug-in j'ai indiqué pour http 127.0.0.1 et le port 8181. Ca marche, mais mon IP réel s'affiche. Une petite idée pour continuer à utiliser le proxy free tout en bénéficiant de privoxy ? Merci
Je viens régulièrement consulter votre blog , que j'apprécie particulièrement.
Je suis de temps en temps sur windows
@Dab en tout cas s'était le premier but de la mise à jour du tuto, j'ai découvert que privoxy pouvoir directement fonctionner en transparence alors que jusqu'à maintenant je me faisais ch*er avec tproxy
On va dire que c'est un ajout récent 
@Lindows il faut que tu chaînes les proxy
Ton navigateur -> privoxy -> proxy free.
Pour faire cela, dans la configuration de privoxy, il faut jeter un oeil à la clause "forward".
Bonsoir,
Ca m'étonne que je sois le seul à l'avoir remarquer, et encore plus qu'il n'y ai que mon privoxy qui utilise ce nom de fichier, mais je n'ai pas "user.actions" mais "user.action"
De plus, mon filtrage n'a pas l'air de fonctionner. Si je vais sur le site "www.liberation.fr" (ou tout autre), rien ne s'affiche dans mon fichier de log. En activant le debug a 1 dans le fichier "config", je vois bien que firefox passe par privoxy mais rien ne me dit que les scripts ont été bloqué comme dans l'exemple donné.
J'ai essayé avec et sans rajouter les filtres supplémentaires mais ça ne change rien.
Une idée ?
Autre sujet, quelles sont les balises que tu utilises pour afficher du texte sur fond gris ?
@Ulhume, oui c'est tout nouveau le mode transparent si je relis les premiers commentaires
Merci pour cette article.
Moi avec ton fichier user.action j'ai cette erreur :
Démarrage de privoxy :Nov 21 23:35:41 Privoxy(-1208305984) Info: loading configuration file '/etc/privoxy/config':
Nov 21 23:35:41 Privoxy(-1208305984) Fatal error: can't load actions file '/etc/privoxy/user.action': invalid alias line (2): big-block = +block +handle-as-empty-document
Ma version de privoxy est :
# rpm -qa |grep privoxy
privoxy-3.0.3-9.2.2
Si je commente +handle-as-empty-document cela passe.
@Goz c'est corrigé pour le nom de fichier, j'imagine qu'il devait s'appeler ainsi avant (le tutoriel est une mise à jour).
J'ai aussi ajouté ma configuration histoire de voir si ça colle avec la tienne. Au passage, lorsque l'on teste, le cache de firefox est un problème. Soit tu installes l'extension WebDevelopper pour désactiver le cache, soit tu prends soin avant chaque test d'aller dans outils/Effacer les traces et de vider le cache.
Pour être sur que je n'avais rien oublié, j'ai viré ma configuration privoxy existante, désinstallé, ré-installé et remis juste ma configuration. Et ça marche directe.
Pour le code sur fond gris, c'est un module perso pour Drupal qui utilise Geshi.
@Dab ouf, l'honneur est sauf
@TitaX Moi je suis à la 3.0.10, cela vient peut-être de là. De toute façon j'ai viré l'alias de mon exemple en mettant un simple { +block }
Merci pour la correction.
C'est en place chez moi et ca marche niquel
J'ai résolu ce problème. Mais au démarrage de Privoxy, j'ai cette ligne:
Privoxy(000001ac) Info: No thread-safe PRNG implemented for your platform. Using weak 'randomization' factor which will limit the already questionable usefulness of header-time-randomizing actions (disabled by default).
J'ai pas compris cette erreur. Une recherche sur le net n'a pas donné grand chose.
PS: il existerais BFilter qui serais plus simple à installer que Privoxy. Quelqu'un connait ?
BFilter me semblait moins actif à l'époque où j'ai fais mon choix, ce fût mon seul critère.
Tu utilises quelle plate-forme pour avoir une telle erreur ? Maintenant ce n'est pas létal comme erreur, non ?
Ce problème apparait sous windows. Ca ne plante pas privoxy. Mais est ce que ca n'altère pas les fonctionnalités (d'anonymat) de privoxy ? l'anglais c'est pas mon fort.
Non, t'inquiète, cela ne change pas grand chose pour toi.
alors pour moi la principale utilité de privoxy était de cacher mon adresse IP alors j'ai mis le
{ +hide-referrer{forge} }
/
dans mon /etc/privoxy/user.action
je l'ai juste mis au hasard dans le fichier et je voulais savoir s'il fallait la mettre après ou avant une ligne spécifique.
alors j'ai redémarre privoxy et sa ne change rien pour le teste de mon ip qui reste le même qu'avant la configuration.
merci maintenant je suis fixé !! ouf
et merci pour ta réactivité
je ne poste jamais, mais je le fait maintenant pour vous dire que j'ai beaucoup appris par votre blog sur le monde linux et java ,et je vous respect énormément pour les sujet que vous aborder.
continuer s'il vous plait à me bluffer à chaque article
De rien
Si tout ce passe bien, je devrais te bluffer de moins en moins 
Si tu cherches à cacher ton adresse IP, tu te trompes d'outil. La commande que tu as collée va juste masque l'URL du site dont tu viens. Techniquement il n'y a aucun moyen de masquer ton IP sur un réseau car sinon le serveur d'en face n'aurait aucune adresse pour te renvoyer tes données.
La seul possibilité pour cacher son IP est de passer par un proxy hébergé sur un serveur distant de sorte à ce que ce soit l'adresse du proxy qui soit visible et non la tienne, ce qui déplace le problème car ton proxy aura lui ton adresse.
L'autre solution est d'utiliser un outil comme TOR, mais je n'en sais pas plus, je ne cautionne pas tellement le concept.
Bonjour,
Merci pour cet article!
Quant est-il de l'utilisateur - utilisant privoxy - et souhaitant, par exemple, se connecter à son service de mail ou effectuer des paiements via ebanking? Il doit impérativement désactiver privoxy afin de protéger ses mots de passe n'est-ce pas?
S'il s'agit de banque en ligne, il y a 99.9% de chances que cela passe par le canal HTTPS (si ce n'est pas le cas faut changer de banque d'urgence
qui n'est pas filtré par privoxy.
Pour un service de courriel en ligne c'est à peu prés la même chose, il y a de forte chances qu'au moins l'authentification, si ce n'est toute la session, soit sur HTTPS. Lorsque ce n'est pas le cas, effectivement Privoxy va "voir" votre mot de passe, mais ne le trace pas dans les logs.
Après Privoxy tu l'utilises soit chez toi, soit en entreprise. Dans le premier cas je ne vois pas l'intérêt de le désactiver, sauf si tu as peur que le petit dernier hack le serveur
Dans le second cas, j'aurais tendance à dire qu'il est exclu de toute façon d'utiliser un service authentifié qui n'est pas sur HTTPS.
En somme, non, je ne vois aucun cas où privoxy ait besoin d'être désactivé.
Merci pour cette réponse
Privoxy filtre également le HTTPS mais j'ai effectivement la possibilité de ne filtrer que le HTTP 
En tout cas, ce programme est un incontournable pour ceux qui lisent beaucoup les "infos" via leur ordinateur... Toutes ces publicités - entre autre - sur des sites spécialisés en actualités sont insupportables... Merci encore pour cet excellent article 
Désolé mais non
Privoxy ne _filtre pas_ le protocole HTTPS. Dans ce cas de figure il peut filtrer les URL à la limite mais c'est tout :
http://www.privoxy.org/faq/misc.html chapite 4.15
Sinon c'est bien simple, y'a certains site que je ne reconnais même plus lorsque j'y vais sans privoxy
Salut,
Ca fait 2 semaines que je parcours ton blog, très instructif d'ailleur. J'aime bien.
Je suis désolé, je post un nouveau commentaire après 2 ans :$ Mieux vaut tard que jamais
J'ai 2 p'tites questions :
- Comment mets-tu à jour ton fichier "user.action" ? Y a-t-il des sites qui référencent les sites à bloquer ? Car je me vois mal regarder mon "firebug" à chaques sites visités.
- Peux-t-on être serin derrière un serveur "privoxy", au niveau "cookies", "script", pubs, etc ... ou faut-il rajouter un "No-script" ?
Merci d'avance.
Oh tu peux y aller, sur ce site, c'est plutôt positif de faire remonter des billets.
Pour les mises à jour, j'avais utilisé comme premier jus ce qui est fournis pour le plugin qui bloque les pubs pour firefox (me souviens plus du nom).
Pour l'histoire no-script, moi je mets les deux. Privoxy fait un premier filtrage mais ne filtre pas les scripts chiants qui rendent les pages lentes. NoScript reste là pour eux.
Tu dois vouloir parler de "adblock".
J'ai un p'tit problème de blocage avec "privoxy".
Exemple :
Dans la configuration de mon "user.action" je bloque ".twitter.com/*" mais quand je vais sur des sites "No-script" me bloque des scripts comme "static.twitter.com".
Pourquoi "privoxy" ne le fait pas .?
moi dans ma config, je mets simplement twitter.com tout court. Attention aussi au cache navigateur qui te fait croire que privoxy ne filtre pas alors que c'est lui qui l'a au chaud. Le plus simple pour debugger privoxy est de regarder les logs et donc la confirmation du filtrage.
Ben c'est bizard, j'ai tout effacé cache, cookies, etc ...
Et j'ai le même problème.
Je ne vois pas le "crunch" de ce script dans le "log" de "privoxy".
J'ai l'impression qu'il ne lit pas mon "user.action".
Je ne comprends pas : je vais sur une page qui exécute un script sur le site "http://static.twitter.com".
J'ai pourtant dans mon "{ +block } une expression ".twitter.com".
Dans le fichier "log" je ne vois pas de "crunch" sur cet script là.
Et lorsque je fais un test "Look up the actions for a URL:" avec la page en question, il n'utilise pas l'expression du "{ +block } de mon "user.action".
Pourtant quand j'utilise l'interface web pour configurer mon fichier "user.action" je vois bien l'expression dans le "{ +block }".
Tu es certains que tu passes par privoxy j'imagine, tu as au moins les demandes qui transitent qui s'affichent dans les logs ?
Oui, je passe bien par le proxy :
Oct 19 16:13:42 Privoxy(b65a8bb0) Request: blog.nicolargo.com/
Oct 19 16:13:47 Privoxy(b45a4bb0) Request: blog.nicolargo.com/wp-content/themes/largo/style.css
Oct 19 16:13:47 Privoxy(b75aabb0) Request: blog.nicolargo.com/wp-content/plugins/syntaxhighlighter/syntaxhighlighter/styles/shCore.css?ver=2.0.320
Oct 19 16:13:47 Privoxy(b6da9bb0) Request: blog.nicolargo.com/wp-content/plugins/syntaxhighlighter/syntaxhighlighter/styles/shThemeDefault.css?ver=2.0.320
Oct 19 16:13:47 Privoxy(b7dc4bb0) Request: blog.nicolargo.com/wp-content/plugins/openid/f/openid.css?ver=519
Oct 19 16:13:47 Privoxy(b5da7bb0) Request: blog.nicolargo.com/wp-content/plugins/wp-pagenavi/pagenavi-css.css?ver=2.50
Oct 19 16:13:48 Privoxy(b6da9bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/ombre.gif
Oct 19 16:13:48 Privoxy(b75aabb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/logo.png
Oct 19 16:13:48 Privoxy(b7dc4bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/chercher.gif
Oct 19 16:13:48 Privoxy(b5da7bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/top-trans.png
Oct 19 16:13:48 Privoxy(b55a6bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/posts-trans.png
Oct 19 16:13:48 Privoxy(b4da5bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/projets-trans.png
Oct 19 16:13:48 Privoxy(b45a4bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/Social.me/48%20by%2048%20pixels/feed.png
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/Twitter-blue-48.png
Oct 19 16:13:48 Privoxy(b6da9bb0) Request: feeds2.feedburner.com/~fc/LeBlogDeNicolargo?bg=40627C&fg=FFFFFF&anim=0
Oct 19 16:13:48 Privoxy(b7dc4bb0) Request: twittercounter.com/counter/?username=nicolargo&style=black crunch!
Oct 19 16:13:48 Privoxy(b45a4bb0) Request: blog.nicolargo.com/wp-content/uploads/2009/06/gstreamer-logo.png
Oct 19 16:13:48 Privoxy(b7dc4bb0) Request: blog.nicolargo.com/wp-content/uploads/2009/08/screenshot_003-300x113.png
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: pisani.blog.lemonde.fr/files/2009/05/google_wave_logo.1243584569.png
Oct 19 16:13:48 Privoxy(b4da5bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/identica.png
Oct 19 16:13:48 Privoxy(b55a6bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/Social.me/48%20by%2048%20pixels/netvibes.png
Oct 19 16:13:48 Privoxy(b5da7bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/subs-mail.png
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/ads/randco-pub-blog.gif crunch!
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/ads/nagios3metro.jpg crunch!
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/ads/lelivredepf.jpg crunch!
Oct 19 16:13:48 Privoxy(b3da3bb0) Request: www.planet-libre.org/promotion/planet-libre-button1.png
Oct 19 16:13:48 Privoxy(b45a4bb0) Request: www.toutlemondeenblogue.com/tagImage.aspx?id=1658 crunch!
Oct 19 16:13:48 Privoxy(b5da7bb0) Request: external.wikio.fr/blogs/top/getrank?url=http://blog.nicolargo.com&cat=high-tech crunch!
Oct 19 16:13:48 Privoxy(b55a6bb0) Request: media.paperblog.fr/assets/images/logos/minilogo.png
Oct 19 16:13:48 Privoxy(b5da7bb0) Request: blog.nicolargo.com/wp-content/themes/largo/images/aprilnicolargo.png
Oct 19 16:13:48 Privoxy(b55a6bb0) Request: blog.nicolargo.com/wp-content/plugins/jpf_catfeed/rss.gif
Oct 19 16:13:48 Privoxy(b45a4bb0) Request: i.creativecommons.org/l/by/2.0/fr/80x15.png
Oct 19 16:13:49 Privoxy(b5da7bb0) Request: blog.nicolargo.com/favicon.ico
Un fois la page chargée, "no script" me bloque "static.twitter.com".
Pourtant dans le log je ne vois pas de "crunch" sur ce script.
J'ai beau regarder ma config.
Je comprends pas.
As tu ce problème ?
Lorsque tu vas sur ce site ?
Poster un nouveau commentaire