ecole polytechnique – dsi

ECOLE POLYTECHNIQUE – DSI
Utilisation des serveurs mandataires (« proxy »)
avec les protocoles d’usage courant
V2.1 – ® Michel CHABANNE – EP/DSI – Février 2010
Table des matières
A.
B.
C.
D.
E.
Navigateurs web, clients HTTP .................................................... 4
Clients FTP ............................................................................... 6
Messagerie électronique POP3S/IMAPS ........................................ 7
Connexion SSH et transferts de fichiers SFTP/SCP ......................... 9
Configuration client CNRS XLAB ................................................ 13
Historique :








1.0-1.3 : Versions de travail
1.4 : Première version publique
1.5 : Support SCP, tunneling X-Window par SSH
1.6 : Rappel configuration XLAB
1.7 : Modifications des IP proxies
1.75 : Ajout de quelques configurations pour logiciels Linux
2.0 : Refonte, modifications httport/corkscrew et màj captures d’écran
2.1 : Mise à jour config XLAB PC
Principe général d’un serveur mandataire
Un serveur mandataire ou serveur « proxy » représente un relais entre
votre poste de travail et l’extérieur. Pour un protocole donné, il agit à
votre place pour récupérer les données demandées sur Internet.
Selon le protocole réseau auquel on s’intéresse, la « proxification » peut
demander une modification de la trame réseau envoyée (dans notre
exemple, l’adresse de destination des données HTML reçues n’est pas celle
du client final). Dans d’autres cas, il s’agit simplement de mettre en
œuvre une redirection de ports TCP/UDP sur le serveur mandataire.
Rappel : Charte d’usage des moyens informatiques
Vous êtes astreint à respecter la charte d’usage des moyens informatiques de l’Ecole
Polytechnique, que vous avez signée à votre arrivée sur le site, lorsque vous utilisez les
serveurs mandataires. Nous vous rappelons que l’usage de ces serveurs implique une
journalisation de votre activité, qui pourra vous être opposée en cas d’usage constaté
contraire à la charte. Retrouvez la charte au format PDF sur
http://intranet.polytechnique.fr/documents/chartes.php
A. Navigateurs web, clients HTTP
Pour la majorité des systèmes de l’Ecole, l’usage des proxies est
obligatoire pour la navigation sur Internet. La configuration à utiliser est la
suivante.
Dans le panneau de
configuration
Windows,
cliquez
sur
Options
Internet.
Sélectionnez
l’onglet
Connexions. Cliquez sur le bouton
Paramètres réseau. Remplissez ensuite
les champs comme suit :
http://cache.polytechnique.fr/proxy.pac
Avec Firefox1, sélectionnez le menu Outils, puis Options.
Cliquez sur le menu Avancé, puis l’onglet Réseau. Remplissez
ensuite les champs comme suit :
1
http://www.getfirefox.com/
En ligne de commande, vous pouvez également accéder aux
proxies lors de l’utilisation d’applications comme wget, lynx… Il
suffit de spécifier la variable http_proxy dans votre
environnement :
bash$ export http_proxy = ‘http://cache.polytechnique.fr:8080/’
WindowsUpdate ne fonctionne plus!
Vous avez suivi à la lettre les étapes de configuration ci-dessus, et vous ne pouvez plus
mettre à jour votre système Windows XP au travers de WindowsUpdate (erreurs 0x8…).
Il s’agit d’un problème de configuration du service de mise à jour. Indiquez à ce service
d’utiliser le proxy HTTP au moyen de la commande :
C:\> proxycfg –u
Réseau « visiteur »
Le réseau visiteur de l’Ecole, composé de prises physiques dédiées aux
séjours de courte durée sur le site, est compatible avec l’autoconfiguration
des navigateurs. Cochez la case « Détecter automatiquement les
paramètres de connexion » (menu Outils, Options Internet, Connexion,
bouton Paramètres LAN) et Internet Explorer recevra automatiquement la
configuration adéquate. Rapprochez-vous de l’administrateur système et
réseaux de votre laboratoire d’accueil pour plus d’informations.
B. Clients FTP
Les clients FTP peuvent bénéficier des services du proxy FTP en place sur
cache.polytechnique.fr,
port
21.
Ce
proxy
est
de
type
« user@host ». Il accepte les connexions sur les serveurs anonymes et
authentifiés. Utilisez par exemple le client FileZilla2. Cliquez sur le menu
Edition, puis Paramètres, et remplissez les champs comme suit.
L’hôte proxy est cache.polytechnique.fr.
En ligne de commande, vous pouvez également accéder aux
proxies FTP. Il suffit de spécifier la variable ftp_proxy dans
votre environnement :
$ export ftp_proxy = ftp://cache.polytechnique.fr/
Pour votre plate-forme :
Fetch 5 :
http://fetchsoftworks.com/fetch/download/Fetch_5.5.1.dmg
gFTP: http://gftp.seul.org/
2
http://filezilla-project.org/download.php?type=client
C. Messagerie électronique POP3S/IMAPS
Il est possible de relever son courrier électronique sur un serveur
extérieur au travers des serveurs mandataires de l’Ecole. Pour cela,
l’usage d’un logiciel supplémentaire et une reconfiguration du client de
courrier électronique sont nécessaires.
Note : De passage à l’Ecole, pour faciliter votre travail, renseignez-vous au préalable
auprès de votre organisme d’origine sur les moyens de consulter plus facilement votre
courrier. Ceci peut être au travers d’un webmail, d’une redirection temporaire…
Vous devez exécuter sur votre poste de travail le logiciel HTTPort qui va
se charger du relais entre votre client de courrier électronique et le proxy
http.
A l’extérieur de l’Ecole
A l’Ecole
Le logiciel client de courrier initie une connexion réseau
vers le serveur de courrier, en utilisant le protocole
POP3. Le serveur lui répond selon le même protocole.
Vous exécutez HTTPort sur votre poste de travail. Ce logiciel ouvre localement un port
9110 sur votre poste de travail. Vous configurez votre client de courrier pour se connecter à
votre propre machine (localhost) sur ce port 9110, comme si elle devenait le serveur de
courrier.
Lors du relevé des messages, le client de courrier envoie sa requête à HTTPort, qui la
transmet en protocole HTTP (en rouge) au serveur mandataire, qui la relaie vers le serveur
externe POP3 hébergeant le courrier (en bleu, protocole POP3). La réponse arrive selon le
chemin inverse.
Port
110/
tcp
Port
8080/
tcp
Port
9110/
tcp
local
Réponse
Port
110/
tcp
Réponse
Réponse
Serveur POP3
Serveur Proxy
Serveur POP3
Téléchargez et installez le logiciel HTTPort.3.SNFM3. Lancez le logiciel et
allez à l’onglet Port Mapping. Cliquez sur le bouton Remove pour
supprimer toutes les entrées existantes, et créez-en une nouvelle à l’aide
du bouton Add. Donnez un nom à cette nouvelle entrée en cliquant avec le
bouton droit sur New Mapping, puis menu Edit. Dans l’exemple, l’entrée a
été baptisée MonLabo.
Entrez ensuite le numéro de port local de redirection puis le nom du
serveur distant et le numéro du port distant selon la table suivante :
Protocole supporté
POP3
IMAP
POP3S (SSL)
IMPAS (SSL)
3
Port local
9110
9143
9995
9993
http://www.htthost.com/httport3snfm.exe
Port distant
110
143
995
993
Ce qui donne par exemple, pour un serveur distant « pop.monlabo.fr »
accessible en POP3 la configuration ci-dessous. Vous pouvez entrer
plusieurs configurations en cliquant une nouvelle fois sur Add.
Dans l’onglet Proxy, renseignez ensuite les champs comme suit.
Cliquez sur le bouton Start pour lancer la redirection. Minimisez
l’application (ne la fermez pas !)
Note : Envoi du courrier
L’envoi du courrier électronique utilise le protocole SMTP. Pour des raisons de sécurité,
l’utilisation d’un serveur de courrier hors du site sur lequel votre poste de travail est
connecté est prohibée. Pour répondre à vos messages, vous devez donc reconfigurer
votre client de courrier pour utiliser le serveur SMTP de votre laboratoire ou de l’Ecole
(mx.polytechnique.fr).
La connexion réclame l’installation du logiciel proxytunnel4.
Selon les plateformes, une compilation peut être nécessaire. Une
fois le binaire disponible et/ou installé, vous pouvez lancer la
redirection de ports (voir le tableau de ports ci-dessus pour le
choix des éléments en rouge) dans une fenêtre Terminal comme suit :
# /usr/local/bin/proxytunnel -a 9110 -g cache.polytechnique.fr \
-G 8080 -d pop.monlabo.fr -D 110
D. Connexion SSH et transferts de fichiers SFTP/SCP
Une connexion SSH peut être relayée par un serveur proxy HTTP, cela à
condition que votre client le supporte, ou que vous utilisiez un logiciel tiers
le permettant. Le client le plus polymorphe est PuTTY5. Il supporte
totalement l’usage des proxies HTTP sur toutes les plateformes.
Sous Mac OS X, vous devrez recompiler PuTTY à partir des
sources, ou utiliser la méthode « ligne de commande » décrite plus
loin.
Configurez
les
paramètres
« Connection
->
Proxy » de
PuTTY comme indiqué dans l’image
ci-contre.
Connectez-vous
ensuite
en
renseignant les champs de la page
« Session ».
4
5
http://proxytunnel.sourceforge.net/download.php
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Pour pouvoir utiliser le déport d’affichage d’un serveur X-Window distant,
vous devez :
 installer sur votre système un serveur X local6, qui accueillera les
connexions provenant des logiciels clients exécutés sur le serveur
distant ;
 configurer PuTTY comme indiqué ci-dessous afin d’activer le déport
de l’affichage.
Lancez votre serveur X local avant d’initier la connexion SSH. Une fois la
connexion établie, tout logiciel graphique exécuté sur le serveur s’affichera
sur votre machine.
Remarque : Il peut être nécessaire de positionner manuellement la
variable DISPLAY sur le serveur à la bonne valeur (votre_machine:0).
6
Par exemple, vous trouverez un serveur gratuit pour Windows sur http://freedesktop.org/wiki/Xming
Si vous ne pouvez disposer de PuTTY, ou que vous
devez utiliser la ligne de commande, procurez-vous
le logiciel Corkscrew7.
Lancez ensuite une console. Modifiez votre ~/.ssh/config comme suit :
# utiliser le proxy http pour toutes les connexions
Host *
ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p
# ou utiliser le proxy http pour une connexion donnée
Host monserveurssh.dehors.com
ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p
Vous êtes alors prêt à utiliser votre client SSH en ligne de commande.
Connectez-vous de manière habituelle sur le serveur distant.
Remarque : Il n’est pas possible de détailler l’ensemble des
configurations pour tous les programmes tournant sous Linux et pouvant
utiliser les proxies. Merci de vous référer à la documentation en ligne pour
connaître le support et la configuration nécessaire. Suivent quelques
exemples pour des programmes communs :
Lynx : Modifier le fichier lynx.cfg et ajouter
http_proxy:http://cache.polytechnique.fr:8080/
https_proxy:http://cache.polytechnique.fr:8080/
W3M : w3m –o
7
http://cache.polytechnique.fr:8080/ <site distant>
http://www.agroman.net/corkscrew/
Si vous désirez réaliser des transferts de fichiers, utilisez WinSCP8 qui
permet l’utilisation d’un proxy HTTP pour une connexion SCP/SFTP. Lors
de l’installation, cochez la case demandant l’affichage des options de
connexion avancées. Lancez ensuite le programme et configurez-le
comme indiqué ci-dessous.
8
http://winscp.sourceforge.net
E. Configuration client CNRS XLAB9
Dans
l’application,
choisissez :
DossierAdministration
puis
ParamétrageParamétrage de transfert. Choisissez votre centre de
transfert puis cliquez sur « Modifier ». Renseignez les paramètres comme
suit.
Pour plus d’informations, voir
http://www.dsi.cnrs.fr/labo/documentation/documentation.htm