@gilgil:
Est-ce que le portail captif intercepte sur le 3128 ?
De toute évidence non :-\
A mon avis, le proxy installé, comme je le propose, avec iptables sur une machine entre ton routeur externe et pfSense ne risque pas grand chose car il n'expose basiquement qu'un service (à condition de faire un peu de hardening) et iptables fourni un bon moyen de limiter les accès aux IPs issues du LAN.
Malgré ta limitation qui est de ne pas pouvoir créer de DMZ, il y a peut-être d'autres implémentations possibles avec par exemple des VLAN mais est-ce bien souhaitable ?
Une des difficultés dans ton design, c'est qu'il faut que ce soit l'utilisateur (en fait son IP ou MAC) qui passe par l'interface contrôlée par le portail captif pour accéder au web. Si le proxy est à l'intérieur, ça ne fonctionne pas car en mode explicite, c'est le proxy qui fait la requête.
Techniquement, une des solutions consisterait à mettre un proxy en mode transparent + MITM (pour HTTPS) en série avec pfSense mais c'est juste horrible et je ne suggèrerait jamais ce genre de chose :o :o :o même si ça marche >:(
Une autre approche, à tester et à mettre en œuvre si, comme on l'évoquait au début de ce fil, uniquement si tu es à l'aise avec la surcharge générée par la duplication de la charge réseau sur m'interface LAN de pfSense consisterait à:
1 - créer une deuxième IP dans un autre plan d'adressage (par exemple 192.168.4.0/24) sur l'interface LAN. Je pense que ce n'est toujours pas possible via l'interface graphique mais c'est documenté ici 8)
2 - tu installes et configures ton proxy à une adresse sur ce subnet et change ton DNS ou ton proxy.pac en conséquence.
3 - tu crées une exception sur le portail captif pour autoriser cette adresse IP sans authentification. Dans ma compréhension, un fonctionnement "par zone" du portail n'est ici pas possible car la notion de zone est associée à celle d'interface. Possible avec du VLAN mais pas avec une autre IP
Avec ce design, les utilisateurs passent par le portail captif pour accéder au proxy puisque pfSense est leur gateway et ton proxy est "à l'intérieur" ;-) au prix d'une charge supplémentaire sur l'interface LAN (mais cette charge devrait être faible car limitée par le débit du WAN).
4 - reste que l'accès au proxy ne déclenchera pas de redirection vers le portail captif car fait sur le port 3218 (le proxy sur le port 80 est une solution, mais je ne suis pas certain qu'il n'y ait pas d'effets de bord. Je n'y ai pas trop réfléchi à ce stade. Avec ce nouveau design, si tu mets le proxy.pad sur la machine qui héberge le proxy, l'utilisateur va être intercepté par le portail captif pour accéder au proxy.pac et donc déclencher une règle de la part du portail captif, ce qui va libérer l'accès au port 3128. Effet de bord: à expiration du voucher, l'accès au port 3128 va expirer mais le navigateur risque de ne pas recharger le proxy.pac donc demander à nouveau une authentification au niveau du portail.
mais je n'ai pas beaucoup plus d'idées que ça compte tenu des tes limitations hardware.