Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portail Captif qui ne bloque pas les sites HTTPS

    Scheduled Pinned Locked Moved
    Français
    2
    3
    305
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      exotic69
      last edited by exotic69

      Post original
      @Gertjan Je me permet de vous mentionner.
      Pour expliquer plus clairement, l'entreprise ou je fait mon stage souhaite log toutes les opérations (obligations légales), bloquer certains sites avec notamment la blacklist de Toulouse Capitole 1 et fournir un portail captif pour les visiteurs de l'entreprise. La seul méthode que j'ai vu pour bloquer les sites HTTPS c'est d'activer la fonction "man in the middle" de SQUID. Je ne sais pas si PfblockerNG changerait le soucis vu qu'il travail avec le DNS. Après le dernier soucis que j'ai c'est le certificat sur certains navigateurs et IOS ( Iphone et MAC je crois).
      Il faut que je test avec un nom de domaine bidon ou un no-ip qui est gratuit.
      Malheureusement je suis sur Lyon mais c'est gentil quand même.

      GertjanG 1 Reply Last reply Reply Quote 0
      • GertjanG
        Gertjan @exotic69
        last edited by Gertjan

        @exotic69

        l'entreprise ou je fait mon stage souhaite log toutes les opérations (obligations légales)

        c'est le contraire de :

        @exotic69 said in Portail Captif qui ne bloque pas les sites HTTPS:

        un portail captif pour les visiteurs de l'entreprise.

        Les gens, dès informé que "quelqu'un" écoute sur la ligne, arrêterons le Wifi, utiliseront leur 4G/5G.
        Si le 4G/5G n'est pas disponible, par exemple sur le ferry vers Corse, utiliseront le wifi car pas le choix. Moi, dès la connexion à ce genre de portails, j'active mon VPN.
        Et je ne paramètre surtout pas un 'proxy' quand je me connecte sur un wifi d'un hôtel, ou autre société, ou chez mon frère.

        Qu'une personne, ou une société, bloque certains sites (IPs, host names), ça leur regarde. Ils font ce qu'il veulent avec leur connexion. C’est leur droit d'appliquer leur conditions. Mais quand ce même société désire mettre en place un accès Wifi portail publique, je constate que quelqu'un n'a pas vraiment tout compris. Rien de bien méchant bien sûr, les « décisionnaires » d’une société peuvent pas être bon en tout.

        N'oublions pas de re vérifier que le mot "Publique" signifie dans ce contexte.
        Et j'adhère bien sûr ou fait que "publique" ne veut pas dire : "tout permis".

        Un proxy/squid pour mes PCs de l'entreprise, là, oui, ok, pourquoi pas. Go for it.
        Un proxy pour un accès publique ? Mdr. C'est le monde à l'envers. On n'est plus dans les années 2000.

        (obligations légales)
        Si des (ces) règles m'obligent réellement à faire ça, je me demande où on plaque les "jugements de la cour" qui ont fait sortir une condamnation d'un de nos FAI, car eux aussi, ça sont des fournisseurs d'Internet.

        Puis, je suis hôtelier, donc je loue une chambre d'hôtel à des "gens" aussi connu comme "mes clients".
        Je leur demande de n'est pas fumer dans la chambre, pour des raisons que quasi tout le monde (mais pas tout le monde) comprend.
        Mais je ne peux pas leur filer toute une liste qui dit "Interdit de ...".
        Comment vérifier ? Mètre de cameras partout ? Et même si j'arrive à faire respecter 'mes règles' partout à 100 %, j'aurais plus de client. Donc plus de société.

        Ne le dit pas de suite à ta boite, propose cette solution au dernier moment après ton magnifique analyse et multiple tests :
        Cout : env 10 € par mois : Un VPN avec POP un peu partout au monde.
        Puis : route le trafic portail captive vers le POP de ce VPN, là, ou les règles sont moins strictes. Par exemple : n’importe ou à l’autre côté du monde.
        L’entreprise ne risque plus rien. Plus besoin de s’en occuper, la boîte, pfSense, fait tout. Juste la rêve de tout admin - et patron de société. La solution doit être simple. Si elle ne l'est pas, c'est parce que t'as pas compris le problème.

        Bien sur : tout est 'IMHO' et 'AFAIK' ici.
        J'ai toujours voulu tester et utiliser un proxy, mais je pense que ça va être comme le Minitel : parfait dans son époque, mais ça n'a plus de sens maintenant que je perd mon tempos avec ça.

        N’oublie pas d'inclure ceci dans ton rapport de stage, et fait le qu'à la fin.
        Sinon ton stage s'arrête ce soir 😊

        No "help me" PM's please. Use the forum, the community will thank you.
        Edit : and where are the logs ??

        E 1 Reply Last reply Reply Quote 0
        • E
          exotic69 @Gertjan
          last edited by exotic69

          @Gertjan
          Merci pour vos conseils. Enfaite c'est l'aviation civile donc ce n'est pas un wifi "public". Il est pour ceux qui viennent passer leur brevet de pilotage, des employés d'autres sites qui viennent etc. Les comptes qui ont accès au portail sont créées par des "secrétaire". On fait partie d'un ministère et mon maitre de stage m'a dit qu'il doit être en mesure de tout fournir en cas d'audit ou quelque chose comme ça. Moi j'applique ce qu'on me demande. De même, il était partit sur 0 dépense, sauf pour un potentiel certificat, il a fait une exception.
          On va dire que la demande est de filtrer des sites, logs et un portail captif. Ils ne veulent pas analyser 24h/24 (enfin je pense 😁 ).

          Pense-tu que PfblockerNG pourrai faire office de bloqueur de site, vu qu'il travail au niveau DNS, il déchiffre pas les trames HTTPS.

          J'ai vu pour squid qui n'est plus supporté, je trouve ça étrange, dans pfsense il y a la version 0.4.46 et sur le site la dernière version c'est la 6.5 qui date du 7 décembre ... Mais vu que j'ai pas de chance, je le vois à la fin après avoir passé 2 jours sur un doc word clean 🤣

          Merci et bonne soirée

          1 Reply Last reply Reply Quote 0
          • First post
            Last post