Utilisation des serveurs mandataires (« proxy ») avec … · 2 . ... serveur distant et le...
Transcript of Utilisation des serveurs mandataires (« proxy ») avec … · 2 . ... serveur distant et le...
ECOLE POLYTECHNIQUE – DSI
Utilisation des serveurs mandataires (« proxy »)
avec les protocoles d’usage courant
V2.1 – ® Michel CHABANNE – EP/DSI – Février 2010
Table des matières
A. Navigateurs web, clients HTTP .................................................... 4
B. Clients FTP ............................................................................... 6
C. Messagerie électronique POP3S/IMAPS ........................................ 7
D. Connexion SSH et transferts de fichiers SFTP/SCP ......................... 9
E. Configuration client CNRS XLAB ................................................ 13
Historique :
1.0-1.3 : Versions de travail
1.4 : Première version publique
1.5 : Support SCP, tunneling X-Window par SSH 1.6 : Rappel configuration XLAB 1.7 : Modifications des IP proxies 1.75 : Ajout de quelques configurations pour logiciels Linux 2.0 : Refonte, modifications httport/corkscrew et màj captures d’écran 2.1 : Mise à jour config XLAB PC
Principe général d’un serveur mandataire
Un serveur mandataire ou serveur « proxy » représente un relais entre votre poste de travail et l’extérieur. Pour un protocole donné, il agit à
votre place pour récupérer les données demandées sur Internet.
Selon le protocole réseau auquel on s’intéresse, la « proxification » peut demander une modification de la trame réseau envoyée (dans notre
exemple, l’adresse de destination des données HTML reçues n’est pas celle du client final). Dans d’autres cas, il s’agit simplement de mettre en
œuvre une redirection de ports TCP/UDP sur le serveur mandataire.
Rappel : Charte d’usage des moyens informatiques Vous êtes astreint à respecter la charte d’usage des moyens informatiques de l’Ecole
Polytechnique, que vous avez signée à votre arrivée sur le site, lorsque vous utilisez les
serveurs mandataires. Nous vous rappelons que l’usage de ces serveurs implique une
journalisation de votre activité, qui pourra vous être opposée en cas d’usage constaté
contraire à la charte. Retrouvez la charte au format PDF sur
http://intranet.polytechnique.fr/documents/chartes.php
A. Navigateurs web, clients HTTP
Pour la majorité des systèmes de l’Ecole, l’usage des proxies est obligatoire pour la navigation sur Internet. La configuration à utiliser est la
suivante.
Dans le panneau de configuration Windows,
cliquez sur Options
Internet. Sélectionnez l’onglet
Connexions. Cliquez sur le bouton
Paramètres réseau. Remplissez ensuite
les champs comme suit :
http://cache.polytechnique.fr/proxy.pac
Avec Firefox1, sélectionnez le menu Outils, puis Options.
Cliquez sur le menu Avancé, puis l’onglet Réseau. Remplissez
ensuite les champs comme suit :
1 http://www.getfirefox.com/
En ligne de commande, vous pouvez également accéder aux
proxies lors de l’utilisation d’applications comme wget, lynx… Il
suffit de spécifier la variable http_proxy dans votre
environnement :
bash$ export http_proxy = ‘http://cache.polytechnique.fr:8080/’
WindowsUpdate ne fonctionne plus!
Vous avez suivi à la lettre les étapes de configuration ci-dessus, et vous ne pouvez plus
mettre à jour votre système Windows XP au travers de WindowsUpdate (erreurs 0x8…).
Il s’agit d’un problème de configuration du service de mise à jour. Indiquez à ce service
d’utiliser le proxy HTTP au moyen de la commande :
C:\> proxycfg –u
Réseau « visiteur »
Le réseau visiteur de l’Ecole, composé de prises physiques dédiées aux séjours de courte durée sur le site, est compatible avec l’autoconfiguration
des navigateurs. Cochez la case « Détecter automatiquement les
paramètres de connexion » (menu Outils, Options Internet, Connexion, bouton Paramètres LAN) et Internet Explorer recevra automatiquement la
configuration adéquate. Rapprochez-vous de l’administrateur système et réseaux de votre laboratoire d’accueil pour plus d’informations.
B. Clients FTP
Les clients FTP peuvent bénéficier des services du proxy FTP en place sur
cache.polytechnique.fr, port 21. Ce proxy est de type
« user@host ». Il accepte les connexions sur les serveurs anonymes et
authentifiés. Utilisez par exemple le client FileZilla2. Cliquez sur le menu
Edition, puis Paramètres, et remplissez les champs comme suit.
L’hôte proxy est cache.polytechnique.fr.
En ligne de commande, vous pouvez également accéder aux
proxies FTP. Il suffit de spécifier la variable ftp_proxy dans
votre environnement : $ export ftp_proxy = ftp://cache.polytechnique.fr/
Pour votre plate-forme :
Fetch 5 : http://fetchsoftworks.com/fetch/download/Fetch_5.5.1.dmg
gFTP: http://gftp.seul.org/
2 http://filezilla-project.org/download.php?type=client
C. Messagerie électronique POP3S/IMAPS
Il est possible de relever son courrier électronique sur un serveur extérieur au travers des serveurs mandataires de l’Ecole. Pour cela,
l’usage d’un logiciel supplémentaire et une reconfiguration du client de courrier électronique sont nécessaires.
Note : De passage à l’Ecole, pour faciliter votre travail, renseignez-vous au préalable
auprès de votre organisme d’origine sur les moyens de consulter plus facilement votre
courrier. Ceci peut être au travers d’un webmail, d’une redirection temporaire…
Vous devez exécuter sur votre poste de travail le logiciel HTTPort qui va
se charger du relais entre votre client de courrier électronique et le proxy
http.
Serveur POP3
Port
110/
tcp
Réponse
Serveur POP3
Port
110/
tcp
Réponse
Serveur Proxy
Réponse
Port
9110/
tcp
local
Port
8080/
tcp
A l’extérieur de l’Ecole
Le logiciel client de courrier initie une connexion réseau
vers le serveur de courrier, en utilisant le protocole
POP3. Le serveur lui répond selon le même protocole.
A l’Ecole
Vous exécutez HTTPort sur votre poste de travail. Ce logiciel ouvre localement un port
9110 sur votre poste de travail. Vous configurez votre client de courrier pour se connecter à
votre propre machine (localhost) sur ce port 9110, comme si elle devenait le serveur de
courrier.
Lors du relevé des messages, le client de courrier envoie sa requête à HTTPort, qui la
transmet en protocole HTTP (en rouge) au serveur mandataire, qui la relaie vers le serveur
externe POP3 hébergeant le courrier (en bleu, protocole POP3). La réponse arrive selon le
chemin inverse.
Téléchargez et installez le logiciel HTTPort.3.SNFM3. Lancez le logiciel et
allez à l’onglet Port Mapping. Cliquez sur le bouton Remove pour
supprimer toutes les entrées existantes, et créez-en une nouvelle à l’aide
du bouton Add. Donnez un nom à cette nouvelle entrée en cliquant avec le
bouton droit sur New Mapping, puis menu Edit. Dans l’exemple, l’entrée a
été baptisée MonLabo.
Entrez ensuite le numéro de port local de redirection puis le nom du
serveur distant et le numéro du port distant selon la table suivante :
Protocole supporté Port local Port distant
POP3 9110 110
IMAP 9143 143
POP3S (SSL) 9995 995
IMPAS (SSL) 9993 993
3 http://www.htthost.com/httport3snfm.exe
Ce qui donne par exemple, pour un serveur distant « pop.monlabo.fr »
accessible en POP3 la configuration ci-dessous. Vous pouvez entrer
plusieurs configurations en cliquant une nouvelle fois sur Add.
Dans l’onglet Proxy, renseignez ensuite les champs comme suit.
Cliquez sur le bouton Start pour lancer la redirection. Minimisez
l’application (ne la fermez pas !)
Note : Envoi du courrier
L’envoi du courrier électronique utilise le protocole SMTP. Pour des raisons de sécurité,
l’utilisation d’un serveur de courrier hors du site sur lequel votre poste de travail est
connecté est prohibée. Pour répondre à vos messages, vous devez donc reconfigurer
votre client de courrier pour utiliser le serveur SMTP de votre laboratoire ou de l’Ecole
(mx.polytechnique.fr).
La connexion réclame l’installation du logiciel proxytunnel4.
Selon les plateformes, une compilation peut être nécessaire. Une fois le binaire disponible et/ou installé, vous pouvez lancer la
redirection de ports (voir le tableau de ports ci-dessus pour le choix des éléments en rouge) dans une fenêtre Terminal comme suit :
# /usr/local/bin/proxytunnel -a 9110 -g cache.polytechnique.fr \
-G 8080 -d pop.monlabo.fr -D 110
D. Connexion SSH et transferts de fichiers SFTP/SCP Une connexion SSH peut être relayée par un serveur proxy HTTP, cela à
condition que votre client le supporte, ou que vous utilisiez un logiciel tiers le permettant. Le client le plus polymorphe est PuTTY5. Il supporte
totalement l’usage des proxies HTTP sur toutes les plateformes.
Sous Mac OS X, vous devrez recompiler PuTTY à partir des
sources, ou utiliser la méthode « ligne de commande » décrite plus
loin.
Configurez les paramètres
« Connection -> Proxy » de
PuTTY comme indiqué dans l’image ci-contre.
Connectez-vous ensuite en
renseignant les champs de la page
« Session ».
4 http://proxytunnel.sourceforge.net/download.php 5 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Pour pouvoir utiliser le déport d’affichage d’un serveur X-Window distant,
vous devez : installer sur votre système un serveur X local6, qui accueillera les
connexions provenant des logiciels clients exécutés sur le serveur
distant ; configurer PuTTY comme indiqué ci-dessous afin d’activer le déport
de l’affichage.
Lancez votre serveur X local avant d’initier la connexion SSH. Une fois la connexion établie, tout logiciel graphique exécuté sur le serveur s’affichera
sur votre machine.
Remarque : Il peut être nécessaire de positionner manuellement la
variable DISPLAY sur le serveur à la bonne valeur (votre_machine:0).
6 Par exemple, vous trouverez un serveur gratuit pour Windows sur http://freedesktop.org/wiki/Xming
Si vous ne pouvez disposer de PuTTY, ou que vous
devez utiliser la ligne de commande, procurez-vous
le logiciel Corkscrew7.
Lancez ensuite une console. Modifiez votre ~/.ssh/config comme suit :
# utiliser le proxy http pour toutes les connexions
Host *
ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p
# ou utiliser le proxy http pour une connexion donnée
Host monserveurssh.dehors.com
ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p
Vous êtes alors prêt à utiliser votre client SSH en ligne de commande. Connectez-vous de manière habituelle sur le serveur distant.
Remarque : Il n’est pas possible de détailler l’ensemble des
configurations pour tous les programmes tournant sous Linux et pouvant utiliser les proxies. Merci de vous référer à la documentation en ligne pour
connaître le support et la configuration nécessaire. Suivent quelques exemples pour des programmes communs :
Lynx : Modifier le fichier lynx.cfg et ajouter
http_proxy:http://cache.polytechnique.fr:8080/
https_proxy:http://cache.polytechnique.fr:8080/
W3M : w3m –o http://cache.polytechnique.fr:8080/ <site distant>
7 http://www.agroman.net/corkscrew/
Si vous désirez réaliser des transferts de fichiers, utilisez WinSCP8 qui
permet l’utilisation d’un proxy HTTP pour une connexion SCP/SFTP. Lors de l’installation, cochez la case demandant l’affichage des options de
connexion avancées. Lancez ensuite le programme et configurez-le
comme indiqué ci-dessous.
8 http://winscp.sourceforge.net
E. Configuration client CNRS XLAB9
Dans l’application, choisissez : DossierAdministration puis
ParamétrageParamétrage de transfert. Choisissez votre centre de
transfert puis cliquez sur « Modifier ». Renseignez les paramètres comme suit.
Pour plus d’informations, voir http://www.dsi.cnrs.fr/labo/documentation/documentation.htm