Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Gestion des logs

    Scheduled Pinned Locked Moved
    Français
    2
    7
    5.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      etudiant_22
      last edited by

      Bonjour,

      Je me tourne vers vous pour avoir un petit renseignement.

      Pour un projet, j'ai mis en place un portail captif avec pfsense avec serveur radiuspour du wifi.
      Jusqu'ici tout fonctionne.

      Maintenant j'arrive à l'étape de gestion des logs, car comme vous le savez depuis la loi de 2006, il y a obligation de conserver les logs de navigation (date, heure, nom utilisateur, sites visités).
      J'ai donc mis en place squid avec lightsquid qui propose une interface avec les sites visités. Sauf que le problème est que je n'ai pas le nom d'utilisateur mais son adresse IP, et sachant que les client sont en dhcp, un utilisateur n'aura pas forcément la même IP à chaque fois.

      Je voudrais donc savoir si il est possible de faire le lien entre le radius et squid pour avoir le nom de mes utilisateurs.

      Merci d'avance

      Cordialement

      1 Reply Last reply Reply Quote 0
      • E
        etudiant_22
        last edited by

        Je vais détailler ma configuration.

        J'ai donc mis en place le portail captif avec redirection vers page d'authentification.

        Les logins et mot de passe des clients sont stockés dans un serveur radius interne à pfsense. J'ai utilisé le paquet freeradius et non freeradius2.

        La configuration est vraiment simple, j'ai mis une adresse à mon radius qui est donc la même adresse que pfsense vu que le serveur est interne à pfsense avec le port 1812.
        Ensuite j'ai activer les logs (Radius logging, log bad authentication et log good authentication).

        Voila

        Cordialement

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          C'est la difficulté ! (Enfin il y en a plusieurs)

          • L'identité ?
            Au niveau du firewall, on ne gère que des trafics ip (avec adresse ip). (Et une adresse MAC).

          Le trafic http peut passer par un proxy (Squid).
          Sur celui-ci, on peut ajouter une authentification (base texte, SQL, LDAP, AD, …, Radius ?)
          Avec cette authentification, le log (access.log) contiendra adresse ip et identifiant.

          Si l'identité est dans Radius, il faudra "synchroniser" les logs Radius et Squid ...

          Hors de Squid, on peut tracer les nouvelles sessions (SYN) entre une adresse ip du LAN et une adresse ip externe.
          Mais cela ne donne absolument pas une URL ni un nom de domaine !

          • autre difficulté
            La mise en place d'un proxy dédié est souvent nécessaire.
            Avec la déclaration qui va avec (WPAD).

          Les logs de Squid deviennent assez gros et rapidement. (Et ils ne passent pas par syslog !)
          Il y a lieu de travailler la rotation des logs pour les transférer vers une machine de stockage (sur laquelle il pourrait y avoir un LightSquid p.e.)

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • E
            etudiant_22
            last edited by

            Tout d'abord, merci de votre réponse.

            Si je comprend bien il est donc possible de synchroniser les logs du radius avec les logs de squid. Est-ce que vous auriez une procédure ou de la documentation?
            Pour l'authentification sur squid, je ne comprend pas à quoi elle sert. Si je rajoute des utilisateurs dans squid qu'est ce que ça m'apporte?

            Pour le serveur dédié, c'est bien la le problème c'est que c'est une de mes contraintes, il faudrait que tout se fasse sur pfsense.

            Cordialement

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Pour Squid, s'il est configuré pour une authentification, directement le log (access.log) contient ET adresse ip ET identifiant.

              Le portail captif (dont il faudrait détailler dans le fil d'origine la solution) identifie à partir de (free)Radius.
              Donc on doit trouver dans syslog une ligne horodatant l'identification (adresse ip <-> identifiant).
              A l'aide d'un programme (à écrire), on devrait pouvoir reporter l'identifiant dans les lignes d'access.log en face de l'adresse ip.
              C'est incertain mais c'est sans doute possible … (et c'est à développer ailleurs que sur le firewall/portail captif)

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • E
                etudiant_22
                last edited by

                ok

                Mais est ce que avec freeradius2 il serait possible de synchroniser les logs de squid et de radius pour avoir dans lightsquid les nom des utilisateurs??

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Je souligne que, seul, un proxy (comme Squid) sait analyser l'intérieur du flux http pour en extraire dans un log date, heure, adresse ip, url, (+ identifiant).

                  Un portail captif n'est là que pour "ouvrir" la traversée d'un firewall selon une authentification (la plus souvent avec Radius).

                  Sans proxy, il n'y a pas de fichier d'url.
                  Sans authentification dans le proxy, il faut "synchroniser à la main" le log radius et le log du proxy.

                  (Je n'ai jamais testé un portail captif ni radius, je ne donne qu'une réflexion générale …)

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.