Forum général.général Bypass du proxy

Posté par  .
Étiquettes :
0
16
mai
2008
Salut,

J'ai mis en place un système de miroir debian interne à l'aide de apt-mirror. C'est plutôt facile à mettre en œuvre et ça marche bien.
Seulement j'ai un problème critique : certains paquets sont filtrés par le proxy assez agressif de la boite et je me retrouve donc avec un mirroir bancal dans lequel il manque des paquets. Par exemple xterm ou libsexy ou urlgrabber. Enormément de paquets. Par exemple 73 paquets n'ont pu être récupérés lors de la dernière syncho du miroir.

Un petit exemple aberrant pour illustrer :

-------------------------------------------------------------------------
Type de Contenu Bloqué par le filtre « Media Type »
Le fichier transféré "http://ftp.fr.debian.org/debian/pool/main/d/doc-linux/doc-linux-text_2007.02-1_all.deb" a été bloqué par la xxx.
Les fichier de type audio/mpeg on été classifiés comme indésirables car contraire à la politique de sécurité du système d'informations de la xxx.
------------------------------------------------------------------------

Et oui, le filtre à la con a pris la doc linux pour un fichier audio/mpeg.

Inutile de vous dire qu'il est impossible de façon simple de faire entendre raison à ceux qui ont mis en place ce genre de conneries. En fait ça fait un an que j'essaye sans succès.

Je cherche donc un moyen de mettre à jour mon miroir SANS utiliser de tunnel ssh qui impliquerait d'avoir un serveur externe avec un débit suffisant et qui, pour le coup, introduirait une vraie faille de sécurité dans le SI.
  • # ftp, rsync...

    Posté par  (site web personnel) . Évalué à 2.

    As-tu demandé à tes gentils admins du pare-feu s'ils accepteraient d'autres protocoles que http pour constituer ton miroir ?
    - notamment ftp ou plutôt rsync, rsync présentant l'avantage de n'aller chercher que ce qui est nécessaire et permettant des reprises
    - cela permettra d'identifier ton serveur concerné (point d'origine du flux) et le serveur distant (point de destination)
    - as-tu identifié la volumétrie estimée, ce qui leur permettra de dimensionner la bande passante afférente ? leur as-tu proposé pour l'initialisation (qui demandera minimum 20 Go) de plutôt le faire par le LAN via un disque usb (par exemple) alimenté par tes soins
    - à quels horaires comptes-tu faire tes mises à jour ? est-ce bien dans un créneau moins chargé au niveau réseau ?

    S'il y a une de ces questions que tu n'as jamais traité avec eux, pas trop étonnant que tu te sois fait gentiment éconduire. Déjà le titre de ton post "bypass du proxy" montre que tu adoptes le _mauvais_ état d'esprit, quand bien même tu tentes de te rattrapper aux branches par la suite.
    En traitant ces différents points tu pourras montrer que tu maîtrises leurs différentes problématiques, que tu es prêt à faire quelques concessions, que la demande ne va pas partir dans tous les sens (oui oui, pour toi ça paraît évident, ça va sans dire, ça va mieux en le disant). Au passage tu pourras leur signaler ce pépin avec l'antivirus, qui te pénalise, alors que les paquets sont signés sur les différents miroirs des distributions et pourraient _à ce titre_ ne pas être obligé de passer par le scan anti-virus et ainsi décharger un peu votre proxy.

    Essaie aussi de fournir les courbes de consommation réseau que tu as engendrées, cela montrera que tu as pris en compte une partie du problème. En contrepartie tu indiqueras que cela permet d'avoir un flux _identifié_ avec l'extérieur plutôt que d'avoir autant de serveurs/postes clients qui se connectent anarchiquement vers l'extérieur et démultipliant (rapidement) les volumétries ; alors que ce que tu proposes avec un miroir interne rationnalise le tout et permet de n'avoir principalement que des "coûts" LAN.
    Eventuellement, demande si un lien dédié est envisageable (mais je n'y crois que très peu) et soit prêt à en assumer les coûts de mise en place.
    Bon courage dans tes démarches.
    • [^] # Re: ftp, rsync...

      Posté par  . Évalué à 1.

      Je crois que tu as mal lu mon post. Ca fait plus d'un an que j'essaye de faire débloquer la situation par la voie normale mais je me heurte à un mur. C'est pas une question de bande passante ou de protocole. Ils ont mis en place un système de filtre et ça les fait chier de changer quoi que ce soit donc ils jouent à fond l'immobilisme. Pour traiter une quelconque question avec eux il faudrait déjà que j'arrive à avoir un interlocuteur identifié et ce n'est même pas le cas. Je remplis des formulaires de demande qui sont tout simplement ignorés alors j'appelle suite à la demande et on me réponds que le problème va être pris en charge par quelqu'un prochainement mais en fait il reste juste enterré. Quand ça n'a pas avançé d'un cheveux au bout d'un an on peut raisonnablement penser que ça ne bougeras pas beaucoup à moyen terme. Alors bypasser le proxy c'est pas la mauvaise solution, c'est juste la seule solution raisonnable. La mauvaise solution ça serait de hacker les serveurs du proxy. Et je pourrais le faire sans problème mais là je risque clairement ma place alors que c'est purement une problématique qui concerne l'entreprise et pas moi personnellement. Donc je me refuse à hacker les serveurs mais j'aimerais quand même, si possible, pouvoir faire mon boulot. D'où le bypass. Si quelqu'un me reproche un jour d'avoir bypassé le proxy je pourrai sortir les formulaires de demandes classés sans suite et justifier le contournement.
      • [^] # Re: ftp, rsync...

        Posté par  . Évalué à 1.

        Comment sont gérées les connections https ? si elles ne sont pas bloquées, et si tu as le contrôle d'une machine accessible de l'autre côté du proxy: tu lui mets un ssh sur le 443, et tu utilises corkscrew pour t'y connecter en ssh à travers le proxy. Une fois la connection ssh établie, tu peux faire ce que tu veux: ppp over ssh, squid sur la machine extérieur, etc...
        • [^] # Re: ftp, rsync...

          Posté par  . Évalué à 1.

          Oui je sais ça mais je disais dans le post : en évitant un tunnel ssh qui impose d'avoir une machine externe à l'entreprise et qui introduit un problème de sécurité.
          • [^] # Re: ftp, rsync...

            Posté par  . Évalué à 2.

            Bah, il ne reste plus que le disque amovible/externe et tu le mets à jour à la maison...
        • [^] # Re: ftp, rsync...

          Posté par  . Évalué à 2.

          Sinon attaquer directement un miroir debian en https, je crois qu'il n'y en a pas des masses mais https://ftp.iitm.ac.in/debian (miroir situé en Inde) doit faire l'affaire.
          Pour en trouver un plus près de chez toi, regarde sur http://www.debian.org/mirror/list et fait les test sur chaque serveur http pour vérifier s'il accepte le https.

          Etienne
          • [^] # Re: ftp, rsync...

            Posté par  . Évalué à 1.

            Ouais ouais ouais, bonne piste ça.
            Je vais creuser de ce coté là.
            Merci.
      • [^] # Re: ftp, rsync...

        Posté par  . Évalué à 1.

        Ca fait plus d'un an que j'essaye de faire débloquer la situation par la voie normale mais je me heurte à un mur.[...]

        Je remplis des formulaires de demande qui sont tout simplement ignorés alors j'appelle suite à la demande et on me réponds que le problème va être pris en charge par quelqu'un prochainement mais en fait il reste juste enterré.

        Quand ça n'a pas avançé d'un cheveux au bout d'un an on peut raisonnablement penser que ça ne bougeras pas beaucoup à moyen terme.


        2 possibilités à ce que je lis presentement :

        1°) linux n'est pas legalement considéré dans ta boite, et donc ta demande n'est que "personnelle" donc pas urgente

        2°) si ca ne fonctionne pas entre toi et l'admin, parles en à ta hierarchie qui en parlera à la hierarchie de l'admin...
        • [^] # Re: ftp, rsync...

          Posté par  . Évalué à 1.

          1 : mais si c'est tout à fait légal. On a même les licences c'est dire ;)
          2 : ça a été fait. J'en ai parlé à mon chef, et a son chef qui en ont parlé au responsable encore au dessus qui ont tous appuyé mes demandes tamponnées validées et urgentes ... sans résultat.

          Attention, je n'ai pas un problème avec l'admin ou les admin, je parle juste à un mur. Personne en face, juste une hotline qui fait tampon et personne à qui parler derriere.
    • [^] # Re: ftp, rsync...

      Posté par  . Évalué à 2.

      Hmmm, tu pars du principe (malheureusement trop souvent faux) que les admins en question sont à la fois:
      - gentils
      - compétents
      - disponibles
      - linuxiens (dans ce cas précis, on va dire sensibles aux LL pour le cas général)

      Le problème de base est de toute façon ailleurs: un linuxien a besoin de mettre à jour sa/ses machine(s). Partant de là:

      1 - sa hiérarchie sait/admet/tolère qu'il utilise Linux (parce que c'est son boulot par exemple) => ce sont les admins qui devraient lui proposer une solution pour mettre à jour ses machines facilement.

      2 - il n'a pas le droit d'utiliser Linux mais par conviction il est prêt à risquer son poste pour ce faire: http_tunnel, chignole, scie sauteuse, etc...

      J'ai vécu un truc similaire il y a pas longtemps: grosse boîte => proxy agressif, je suis là pour faire du linux toute la journée, je pose la question aux admins (windowsiens à fond à fond), la réponse est "commande une connexion ADSL dédiée", ainsi fut fait... sauf qu'elle est arrivée 6 mois après (bon de commande, validation technique, etc, etc)... bref tu crois que j'ai fait comment dans l'intervalle ?

      Trop souvent, les admins des grosses boites (mais pas que) oublient qu'ils sont _sensés_ être au service des utilisateurs (dans le cadre de leur activité pro)
      • [^] # Re: ftp, rsync...

        Posté par  (site web personnel) . Évalué à 2.

        euh non, je pars du principe qu'il y a des processus d'entreprise et que les admins sont responsables.

        Dès lors que la demande leur parvient en direct, c'est qu'elle n'a pas forcément été complètement étudiée en amont (faut peut-être essayer de se mettre à leur place aussi).
        Mieux vaut suivre les processus et arriver avec tous les tampons qu'il faut, c'est toujours plus simple pour être légitime et avoir accès aux proxy dédiés applications par exemple qui eux ne sont pas forcément soumis aux mêmes vérifications.

        Tu montres patte blanche, ça passe ; t'arrives avec ton besoin non avéré, tu te fais mettre dans la pile non urgente.
        ça oblige à remonter d'un niveau, cela peut paraître plus compliqué, mais c'est tout bénéf' au final.
        • [^] # Re: ftp, rsync...

          Posté par  . Évalué à 1.

          Oui mais au bout d'un an en suivant la méthode préconisé et quand ça n'a pas avancé d'un seul centimètre il faut quand même remettre la méthode en question et trouver un moyen d'avancer.
          • [^] # Re: ftp, rsync...

            Posté par  (site web personnel) . Évalué à 2.

            bin remonte en amont du processus : plutôt qu'une micro-demande ponctuelle non justifiée, tu peux l'inclure dans un projet plus large, dont l'une des demandes légitimes est de disposer d'un miroir ; à ce moment, tu auras des ressources pour identifier ce qu'il est possible de faire pour la synchro et tu donneras la visibilité à tes interlocuteurs sur le cadrage que tu as effectué, de bout en bout.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.