Portail captif filtrage incohérent
-
Bonjour,
je suis en train de mettre en service un portail captif sur PF 1.2.3 afin d'offrir un accès internet aux visiteurs de mon entreprise et un accès réseau aux salariés équipés de portables. Le tout s'opérant via un acces point wifi D-Link DWL-3500 AP à travers un Vlan spécifique.
J'ai donc, 4 cartes :- LAN
- WAN
- VPN
- Portail captif
L'identification se fait par le PF (pas de radius)
On se connecte bien avec un portable via la page de connexion du portail, on navigue sur internet et sur … l'intranet ! ! ! Malgré les règles appliquées interdisant l'accès au LAN par le PC. En revanche, on ne pingue aucun serveur et on ne voit pas le réseau depuis les préférences réseau des différentes machines testés (XP et Vista) La navigation est bien filtrée et empêche l'accès aux sites sensibles.
Qu'oublie-je ?
Merci de vos réponses.
-
Il est probable que votre description oublie un élément : Squid en mode transparent ?!
Si Squid est installé en mode transparent, le portail captif permet un accès à Internet via Squid qui … tourne sur pfSense.
Il me parait logique alors, avec des règles d'interdiction de WIFI vers LAN, de :- ne pas pinguer un serveur du lan,
- y accéder s'il est serveur web (puisqu'accédé en réalité par Squid).
Il serait bon d'interdire Squid en transparent ... voire d'ajuster la gestion des "allow dst" en fonction de la "src" ...
-
Effectivement squid est en mode transparent mais je croyais que le mode transparent permettait juste de se passer de configurer le proxy dans les machines des utilisateurs. D'ailleurs le filtrage de navigation est bien actif.
Je vais tenter mais pas maintenant, pas envie de passer le week-end au bureau ;)