Sur un site important, il y a une machine à affranchir.
Comme les fax, ce type de machine va devoir muer avant 2020 puisque ce sera la fin des lignes RTC analogiques.
Or, le fabricant de cette machine nous a fourni un kit permettant de la connecter en ethernet.
On pourrait penser que les ingénieurs ont imaginé une connexion super sécurisée via le web pour nous facturer les timbres créés.
Mais, bien que super intelligents, ils n'ont pas pensé à ce qu'il y ait un proxy sur le réseau : aucun réglage pour le définir !
C'est dire ce que je pense d'eux …
Cela arrive que des ingénieurs, pas ingénieux, conçoivent des systèmes sans jamais penser à l'implantation chez le client ...
J'ai donc les 2 règles suivantes, et dans l'ordre :
pour un groupe de machines précises, accès direct à Internet pour les protocoles HTTP et HTTPS,
refus d'accès à Internet pour les protocoles HTTP, HTTPS
Le proxy et cette machine à affranchir font partie du groupe autorisé, forcément.
Les autres machines ont donc accès à Internet à condition de passer par le proxy.
Votre premier fil est dans la même exacte configuration : Squid + SSL_BUMP sur pfSense.
Je préconise TOUJOURS d'arrêter cette config folle et irréflechie :
proxy explicite et dédié hors de pfsense (avec les 2 règles indiquées), et sans SSL_BUMP bien sûr.
J'espère que vous avez bien compris que c'est à cause de SSL_BUMP que la connexion à Exchange ne fonctionne pas ..
Demain, les sites HTTPS sécurisés avec HSTS ne fonctionneront pas avec SSL_BUMP ... (cf https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security )