Pfsense et squidGuard - Synchronisation de plusieurs listes blanches
-
Bonjour,
Je suis sur le projet de mettre un pfsense sur mes différents sites.
J'ai presque fini ma phase de test (pfsense + squid + squidguard + openVPN)Je commmence à réfléchir au futur, et aux différentes mises à jour.
Sur chaque site je vais avoir un gestionnaire du pfsense qui pourra ajouter les URL souhaitées en liste blanche.Ce que je souhaite, c'est que tous les soirs, une synchronisation de liste blanche se fasse, pour qu'une URL rajoutée en liste blanche sur un site soit ajoutée sur tous les autres pfsense des différents sites.
Dans ma logique, rien de plus simple :
une synchronisation programmée de toutes les listes blanches des différents sites tous les soirs via une tache cron vers le pfsense "central"
une synchronisation programmée de la nouvelle liste blanche de mon pfsense central vers tous les sites distants
une relance de service Proxy après ces opérations.Mon problème :
Si je ne passe pas par l'interface graphique de pfsense pour relancer le service ou modifier le fichier des listes blanches, ça ne marche pas mon proxy se relance avec la config par défaut….Cela est il normal ?
Quel moyen voyez vous pour répondre à ma problématique ? -
Il serait plus simple de modifier le site central puis de copier la liste vers chaque site distant.
Ou, récupérer la liste du site central et redémarrer le service.Mais cron existe-il pour pfSense ? Et existe-il une commande bash ou php pour relancer un service ?
NB : J'aime guère utiliser le proxy Squid sur un firewall dès qu'il y a plus de 10 utilisateurs.
Alors multiplier les Squid et les synchroniser … j'en ai froid dans le dos ! -
Bonjour,
je n'ai pas précisé une chose :
Les pfsense distants remonteront leurs nouvelles URL avec un rsync (sans option delete pour ne faire que de l'ajout dans la liste blanche centrale).
Suite à cela, la nouvelle liste blanche du site central écrasera les anciennes des sites distants.
Le but étant bien entendu que chaque site est son autonomie, et que le groupe garde une politique d'accès commune.Mon problème n'est pas les rsync, ni les tâches plannifiée (cron existe bien entendu sur pfsense) ni la commande de redémarrage de service, mais le lien entre l'interface web pfsense et les fichiers de conf de squid.
Mon problème :
Si je ne passe pas par l'interface graphique de pfsense pour relancer le service ou modifier le fichier des listes blanches, ça ne marche pas mon proxy se relance avec la config par défaut….Cela est il normal ?
Quel moyen voyez vous pour répondre à ma problématique ? -
L'ensemble de cette architecture, pour ce que j'en comprend me fait froid dans le dos, faire des écritures distantes sur le firewall qui fait tourner un proxy, le tout multiplié x fois …
-
Il s'agit de donner l'accès à certaines URL, rien de plus, le but étant de "limiter un petit peu" l'accès au web.
De plus, il s'agit de petits réseaux composés d'une dixaine de postes, donc je ne vais pas sur chaque site mettre une machine pour un FW + une machine pour un proxy + une machine pour un VPN pour 10 pélus.Merci en tout cas pour cette remarque qui ne me fait pas bien avancer.
-
Personnellement je m'appuierai sur un opérateur télécom me fournissant le réseau inter site (MPLS par exemple) sécurisé. Je ne conserverai qu'un seul point d'accès à internet , un seul firewall, un seul proxy (mais pas sur le firewall), un seul vpn pour les nomades. Plus sain, plus simple. Si je devais gérer l'interconnexion des sites je n'en conserverais pas moins une architecture similaire.
-
ok merci pour cet avis.
1. Je suis déja sur un MPLS pour le VPN et mon FAI me fourni un proxy.
Je monte ce réseau dit "de secours" pour le jour ou le MPLS se casse la gueule (et oui même en payant + de 350€/mois/site ça arrive)Si ma solution est stable, j'envisagerai peu être un jour de couper la location de certains services chez mon FAI (mais on est très loin de là).
2. C'est sur le ton de l'humour bien entendu, mais ça ne répond toujours pas à ma question "technique". Comment synchroniser plusieurs listes blanches de différents pfsense.
Lorsque je redémarre le service squid à la mano (ligne de commande), tout ce que j'ai renseigné dans l'interface web n'est pas pris en compte, et pire un RAZ est effectué. -
Mon fichier contenant les URL que je souhaite autoriser est dans :
/var/db/squidGuard/listeblanche
Le fichier a pour nom : domains
Il contiens la liste de mes URL entrées dans l'interface web.Si je rajoute une URL via l'interface web de pfsense et que je relance le service >> La modif est prise en compte
Si je rajoute l'URL à la main directement dans le fichier et que je relance le service en ligne de commande >> La modif n'est pas prise en compte
squid -k reconfigure
squidGuard -d -c /usr/local/etc/squidGuard/squidGuard.conf -C all /var/db/squidGuard
2010-11-02 15:54:09 [32109] New setting: logdir: /var/squidGuard/log
2010-11-02 15:54:09 [32109] New setting: dbhome: /var/db/squidGuard
2010-11-02 15:54:09 [32109] Added User: internet
2010-11-02 15:54:09 [32109] create new dbfile /var/db/squidGuard/listeblanche/domains.db========= 2010-11-02 15:54:09 [32109] logfile not allowed in acl other than default ] 65 % don 2010-11-02 15:54:09 [32109] logfile not allowed in acl other than default 2010-11-02 15:54:09 [32109] squidGuard 1.3 started (1288709649.369)
2010-11-02 15:54:09 [32109] db update done
2010-11-02 15:54:09 [32109] squidGuard stopped (1288709649.426) -
J'arrive à la mano à mettre à jour ma liste d'URL :
1. Ajout d'un domaine dans le fichier /var/db/squidGuard/listeblanche/domains
2. Réécriture du domains.db
> /usr/local/bin/squidGuard -C domains
3. Relance de squid
> /usr/local/sbin/squid.sh restartMon dernier souci est que si je vais sur l'interface web de pfsense, dans la rubrique "Proxy Filter", au niveau de mes Destinations, mon nouveau domaine n'apparait pas.
De ce fait, si je redémarre le service depuis l'interface web, tous les domaines ajoutés manuellement son supprimés (prise en compte uniquement des domaines entrés dans la GUI)