Un proxy s'interpose entre les clients d'un LAN et les serveurs du WAN. Il va recevoir les requêtes du LAN, les reformuler comme s'il était lui-même le client (donc utiliser son IP WAN en tant que source), éventuellement filtrer selon certains critères, notamment applicatifs (nom d'hôte destination par exemple, très commun sur les proxies HTTP), et envoyer la requête au serveur distant. Quand il obtient la réponse, il refait la même en sens inverse. Il remplace l'IP destination par celle du client qui a réellement émis la requête, et rebalance le tout vers ce dernier. La traduction française est "mandataire" et ça colle parfaitement bien. C'est lui qui va effectuer la requête "à ta place" mais tu bénéficieras quand même du résultat.

Un pare-feu c'est beaucoup plus vaste en terme d'applications. C'est un logiciel qu'on place généralement en rupture de flux (comme le proxy) et qui passe tous les paquets qui le traversent dans un crible composé de règles. Ces règles sont elles-mêmes composées de critères (intervalles d'adresses IP source, destination, intervalles de ports source/destination, protocoles... et plus encore) et surtout d'une "action" à effectuer en cas de déclenchement. Lorsque tous les critères d'une règle sont vérifiés sur un paquet, on applique l'action associée à la règle. Les actions les plus simples sont Accept (on laisse passer), Deny (on bloque et on envoie une notif à la source du paquet) et Drop (on balance tout par terre silencieusement, laissant la source dans le doute). Après ça peut aller beaucoup plus loin, par exemple en effectuant (à la manière d'un proxy, mais pour beaucoup plus d'applications) du remplacement d'IPs et de ports dans les en-têtes des paquets, du "marquage" (pour retenir dans un intervalle donné le nombre de "hits" depuis une source particulière par exemple, afin de détecter diverses attaques), etc.

Je comprends beaucoup mieux, Google_Bot, merci beaucoup pour ces explications

Donc avec un pare-feu, si celui-ci autorise la connexion, l'adresse IP source n'est pas modifiée comme avec un serveur mandataire. C'est bien ça ? La trame qui sort ne s'est pas vue modifiée par le pare-feu comme elle l'est lorsqu'elle passe par un proxy qui échange l'IP source avec la sienne mais qui garde, pour lui, une trace de la source originelle.

J'ai tout bien compris ? Entre autre, je sais que c'est bien plus technique que ça évidemment

Le 06 mars 2018 à 07:54:50 [deban]_Dakien a écrit :
Je comprends beaucoup mieux, Google_Bot, merci beaucoup pour ces explications

Donc avec un pare-feu, si celui-ci autorise la connexion, l'adresse IP source n'est pas modifiée comme avec un serveur mandataire. C'est bien ça ?

Dans le cas le plus "élémentaire" (les tables filter d'iptables par exemple) oui.
Après il serait réducteur de considérer aujourd'hui qu'un pare-feu ne fait que filtrer des paquets sur des critères élémentaires : en pratique un pare-feu peut aussi modifier des en-têtes de paquets. C'est typiquement ce que fait le pare-feu d'une box d'opérateur lorsqu'il remplace l'IP LAN d'une station par son IP WAN (ou "IP Internet"... quoi que ça veuille dire ) dans le champ IP source, entre autres, avant d'envoyer les paquets à leur destination. Parce que lorsque le serveur distant va vouloir répondre, s'il lit une IP classée "LAN" dans le champ source, il ne pourra pas y répondre : les routeurs d'Internet refusent de router à destination de 192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8. (de la même manière que La Poste t'enverra chier si tu mets "Appartement 124" comme unique information destinataire sur ton enveloppe)

En fait un proxy-HTTP effectue des tâches similaires à celles d'un pare-feu qui fait du SNAT d'un point de vue réseau, mais étend ses actions jusqu'à la couche application : en pratique un proxy HTTP va aussi positionner/modifier certains headers HTTP ( https://developer.mozilla.org/fr/docs/HTTP/Headers#Proxies ) afin de clarifier un peu les choses pour tout le monde.
Et certaines actions de filtrage avancé qui seraient très chiantes voire impossible à implémenter sur des solutions de pare-feu basiques sont réalisables par un proxy HTTP. Ce dernier peut aussi servir de cache pour accumuler du contenu récurrent afin de limiter l'usage de bande passante, retracer toutes les requêtes qu'il transmet dans des logs pour des questions juridiques... tu vois l'idée.

Donc proxy et pare-feu se partagent quelques fonctionnalités communes mais chacun offre ses propres rôles et démontrent leur propre force dans des cadres plus... professionnels. C'est ça ?

Vite fait en passant, pour en revenir au sujet que j'ai crée récemment. Est-il possible sous GNU/Linux de créer une interface réseau (sans carte réseau physique) qui ne pointe vers aucune autre interface réseau et que l'on pourrait utiliser dans le cadre d'un réseau privé pour faire communiquer des machines virtuelles entre elles sans qu'elles n'aient d'accès au monde exterieur ?

Tu peux faire un switch virtuel pour ça. http://wiki.virtualsquare.org/wiki/index.php/VDE_Basic_Networking

Sinon j'ai trouvé ça : https://unix.stackexchange.com/questions/152331/how-can-i-create-a-virtual-ethernet-interface-on-a-machine-without-a-physical-ad#152334 mais c'est pour GNU/linux

Merci, pour le second lien j'ai pas mal testé hier mais ça n'a rien donné malheureusement, je vais regarder du côté du premier lien

Meh... J'ai Chrome qui veut plus rien entendre quand au micro (sans jeu de mot) de mon PC sous Fedora. Super, j'aurai pas du mettre à jour mon PC

"If ain't broken, don't fix it"

Stupide logiciel

Je vais me faire taper sur les doigts par les pros GNU/Linux mais c'était encore une fois PulseAudio qui m'embêtait.

Pas de paquet PulseAudio installé à la base :

Mise à jour de Fedora ===> Plus de micro sur Chrome

Installation de PulseAudio ===> Toujours pas de micro sur Chrome mais aussi plus de son nul part d'ailleurs (bon, évidemment, rien de parametré, c'est normal, ça n'est pas la faute de PulseAudio ici)

Désinstallation de PulseAudio ===> Récupération du micro sur Chrome et de tout le reste.

Au moins je le saurai pour la suite.

J'aimerai bien voir comment tu l'as installé ta fedora car normalement pulseaudio est installé par défaut

En minimal, sans interface graphique ni serveur graphique ni module de son ni rien de chez rien

J'ai l'impression que tu as tout fait à la mano et que tu as surement oublier certaines configurations

Sinon, amis informaticiens qui passant beaucoup de temps à taper, avez vous des problèmes de poignet ? Je songe à sérieusement changer de matos pour un TypeMatrix + souris vertical car ça fait quelques mois que j'ai un tendinite au poignet et ça ne s'arrange pas

Emacs user here : Oui
Bon ça va, j'en suis pas à la tendinite non plus, mais sur les longues session je sens que ça tire, ce qui n'étais pas le cas au début. J'ai un clavier mécanique perso (layout simple pas ergo) mais je ne l'utilise pas assez pour savoir si ça fait une réelle différence (je suis le plus souvent sur un portable à la fac).

ces problemes la, plus qu'un probleme de clavier, c'est un probleme de position sur le clavier. Ajuster sa position fait BEAUCOUP de difference.

(Cependant je ne programme plus assez pour avoir ce genre de probleme.)

Je pense pas avoir oublié quoi que ce soit puisque ça fonctionnait très bien avant

Sinon, amis informaticiens qui passant beaucoup de temps à taper, avez vous des problèmes de poignet ? Je songe à sérieusement changer de matos pour un TypeMatrix + souris vertical car ça fait quelques mois que j'ai un tendinite au poignet et ça ne s'arrange pas

Souris verticale c'est super cool.
Après niveau clavier j'ai toujours un méca normal et pas de problèmes, même là je me suis fait une entorse récemment ça me fait pas mal de taper vite quand même. (Par contre j'utilise une disposition proche du bépo donc je reste beaucoup plus sur la rangée centrale).

Souris verticale ?

https://www.amazon.com/Anker-Ergonomic-Optical-Vertical-Buttons/dp/B00FPAVUHC

ESXi de VMware et Xen agissent sur le même niveau ?

hmm. Ça fait ça sur tous les forums

Le 01 avril 2018 à 10:24:19 _S0uL a écrit :

hmm. Ça fait ça sur tous les forums

C'est fou hein, on se demanderait presque si on serait pas à une certaine période de l'année où des choses étranges fleurissent sur les internets