Squidgard ==> blocage d'adresse URL
-
Bonjour à tous,
je suis nouveau ici ,j'ai chercher mais je n'est pas trouver de réponse à mon problème qui est le suivant :
J'ai installer pfsense v1.2.2 ainsi que que squid et squidgard afin de bloquer l'accès à certain site , j'ai suivi plusieurs tuto comme :
- http://files.pfsense.org/tutorials/squidguard/squidGuardQuick.htm
- http://diskatel.narod.ru/sgquick.htm
Malheuresement mon poste client parvient toujours à acceder à un site préalablement bloquer , par exemple .deezer.com
Voici plus d'info sur ma config actuelle :Ma machine avec pfSense dispose de 2 carte réseau, l'une WAN qui va jusqu'a modem routeur, puis une autre LAN qui va sur un swith avec mes postes clients connecté à ce switch, mes postes client accède sans aucune souci à internet, le DHCP du modem routeur est bien relayé par pfSense, mais mes postes client accède toujours à deezer.com par exmple, j'ai activé le mode transparent dans squidgard, j'ai même réinstaller et resuivi les 2 tutos pour être sur d'avoir bien effectué les manip et rien a faire deezer.com est toujours accéssible, bien entendu je n'est configurer aucun proxy sur mes postes clients puisque j'ai activer le mode proxy transparent sur squidgard, de plus quand je vais dans STATUS puis Services squid et squidgard sont bien tourne bien, j'ai sauvegarder , appliquer mes changements et même redémarré la machine ou se trouve pfsense apres mes manip mais .deezer.com est toujous accéssible….. ???
Si quelqu'un pourrait me dire ou regarder car la je ne vois pas ou se situe le problème (certain diront que le problème se situe entre la chaise et le clavier.....mais la jsuis pas d'accord !! lol )
Cordialement, Fabien.
-
re,
quelques infos supplémentaires qu'il me semble important de communiquer, premiere mon adressage réseau coté modem/routeur est le même que coté postes clients, c'est d'ailleurs pour cela que j'ai activer le mode transparent, (192.168.1.xx/24) j'ai également du autoriser tout trafic du WAN au LAN sinon le dhcp de mon modem routeur ne passe pas, je sais bien qu'en autorisant tout du WAN au LAN forcément le principe du FIREAWLL devient nul, mais je compté d'habord que mon filtrage url via squidgard marche pour affiné aprés, j'ai également crée une règle qui autorise tout du LAN au WAN
vraiment si quelqu'un pourait me filé un coup de main se serait sympa , sa fais 3 jours que je réinstalle en boucle pensant avoir loupé quelque chose, que je reprend a la lettre les 2 tutaux que j'ai mis en lien plus haut mais rien n'y faite.
cdlt
-
(certain diront que le problème se situe entre la chaise et le clavier…..mais la jsuis pas d'accord !! lol )
Je crains qu'il faille réviser votre position.
Les numéros de réseaux côté Lan et côté wan doivent être différents. Par défaut et sauf réglage explicite contraire Pfsense fonctionne comme un routeur. Commencez par mettre en place un adressage correct. -
ok merci pour cette info, je vais effectuer cette manip et faire un feedback avant 13h00
Pour info si j'avais laisser le même plan d'adressage c'est parce que nous avons déja un firewall boitier DLINK à mon entreprise est que les technicien de DLINK m'avais dit que si le plan d'adressage du coté WAN et coté LAN était le même alors il fallait activer le mode transparent, je pensais que c'etait le même principe pour PFSENSE, encore merci j'effectue la manip et je fais un retour.
cdlt
-
re,
désolée du retard, j'ai réinstaller pfsense avec 2 adresse ip différent entre le WAN et le LAN , mon serveur DHCP pfsense fonctionne nickel,j'ai téléchargé une liste de blocage url que je retrouve bien dans l'onglet défaut de squidgard, j'ai crée une regle dans l'onglet desinations, avec comme nom de domaine deezer.com et url's deezer.com/ en ayant mis comme redirecteur une page blanche, j'ai redémarré pfsense, et malgré ceci mon poste client accède toujours a deezer.com.
cdlt
-
petite question faut t'il que je crée une ou des regles dans mon firewall ? je ne pense pas mais je préfère demander(je parle de crée une regle pour bloquer deezer)
dans squid (non squidgard) j'ai coché "enable transparent proxy" , en faite j'ai l'impression que squidgard ne bloque rien, même si dans les status services il tourne, y'a t'il d'autre manip à faire pour bloquer une adresse URl ?
cdlt
-
Bonjour,
personne ne peux m'aider ? je souhaite juste bloquer certaine URL , j'ia recommencer x fois, essayer different réglage mais mes postes clients accede toujours au site web que je souhaite bloquer
cdlt
-
Etes vous certain d'avoir spécifié l'url dans un format qui convient ? (voir la doc Squid éventuellement)
Pouvez vous activer les logs sur toutes les règles actives sur l'interface lan et vérifier ensuite dans les logs ce que l'on trouve après la connexion d'un poste du lan vers internet ? Utiliser un site dont vous connaissez l'ip de destination afin de vérifier sa trace dans les logs.
Una autre vérification serait aussi d'activer la capture de trame, puis de lancer la connexion du navigateur, puis examiner les trames capturées.
-
merci pour ces infos complémentaires , je ferais tout cela demain,
je pense avoir spécifié l'url dans le format qui convient car si le format ne convient pas a squidgard il remonte une erreur refusant d'appliquer cette url, donc je ne pense pas que le problème vienne de la , je ferais le reste demain et je vous dirais si mon problme persiste ou non, encore merci.
cdlt
-
Bonjour,
J'annonce : je n'ai jamais utilisé Squid et Squidguard sur Pfsense, que su Ipcop (personne n'est parfait ;-))
Avez vous essayé de paramétrer manuellement dans votre navigateur web l'adresse du proxy histoire de voir s'il est bien pris en compte. test un peu basique :
- paramétré le proxy dans IE ou FF
- aller voir google
- regardé les logs du proxy
- aller voir une adresse web qui n'existe pas et attendre que Squid réponde et non le navigateur.
C'était ma pierre à l'édifice.
Nusa
-
J'ai pas tout bien saisie, mais tu active ton proxy en mode transparent, pour moi cela équivaut à surveiller le traffic web entre tes interfaces et non pas le bloquer.
-
J'ai pas tout bien saisie …
En effet. Un proxy ne surveille pas le trafic. Un proxy exécute le protocole, ici http, à la place (mandataire) du client. Et éventuellement n'exécute pas certaines requêtes en fonction de restrictions.
@Fabien95:
Ne perdez pas de vue qu'en mode transparent, Squid ne voit qu'une seule ip : celle de l'interface Lan de Pfsense. -
re,
après quelques vérifications voila ou j'en suit :
je n'est pas de mode transparent activé , enfin je pense, car je n'est rien coché qui parle de mode transparent ou de bridge (lan sur wan) j'ai donc en réseau wan 192.168.1.0/24 et 192.168.2.0/24 en lan j'ai forcer sur mon poste client de passer par un proxy ,j'ai mis comme ip l'ip de ma machine pfsense a savoir 192.168.2.253 et 3128 en port, et la effectivement quand je lance internet mon poste client me dit error etc etc , et en bah de la page me dit bien que squid a bloquer a tel heure , le problème c'est que dans squidgard en défaut access j'ai coché allow, hors tout est bloquer par seulement tel ou tel url..,
Autre info si je parlé du mode proxy transparent c'est que bien entendu je souhaite que mes postes clients passe par la machine ou est squidgard (192.168.2.253) pour accéder a internet, hors je ne veux pas spécifié d'addresse proxy dans IE ou FF.
cordialement
-
Bonjour,
Est-ce que Pfsense est la passerelle par défaut des postes clients?
Nusa
-
oui , je viens de vérifié, et vu que pfsense fait office de serveur dhcp mon poste client prend bien comme passerelle 192.168.2.523 soit l'ip de mon poste avec pfsense.
cdlt
-
Dans Squid les paramètres du réseau autorisé à se connecter via le proxy sont ils corrects ? Le réseau 192.168.2.0/24 doit être dans les acl sinon toutes les connexions seront rejetées.
-
oui oui dans l'onglet ACL j'ai bien mon réseau 192.168.2.0/24 qui figure dans source
-
j'essayerais différents manip la semaine prochaine(étant en alternance je ne suis à ma boite qu'une semaine sur deux)
cdlt
-
Bonjour à tous
j'ai envi de dire MAZELTOV !!! j'ai recommencer l'instal de pfsense sur une autre machine, installé les package squid et squidgard et la….je bloque parfaitement deezer !!
un petit pas pour la communauté , un énorme pas pour bibi
encore merci de votre aide.
Cordialement, Fabien
PS: je vais crée un autre poste afin de recensé la liste URL a bloquer pour stopé la messagerie msn....