Information sur Squid

ced56

Bonjour,

J'aimerais savoir si avec la nouvelle version de pfSense, on pouvait mettre en place un proxy de la façon suivante :

• Interface LAN : Proxy authentification via LDAP ou AD avec Squid + Filtrage avec Squidguard
• Interface OPT1 : Proxy transparent avec Squid + Filtrage avec Squidguard

Je sais faire les deux solutions séparément mais le faire en même temps, je ne sais pas si cela est possible. Le but de cette manipulation est d'avoir un authentification proxy pour le réseau local avec mes utilisateurs (LAN) et sur l'interface OPT1, j'aurais un point d'accès wifi public ou je n'ai pas besoin d'authentification mais de passer par le proxy et le filtrage de site via Squidguard.

En espérant avoir été clair dans mon explication.

Ced56

jdh

(Il est toujours à préférer de séparer la fonction Firewall de la fonction Proxy !)

Une solution possible (et fiable et meilleure) :

• sur le LAN, mettre un proxy dédié avec authentification,
• sur le LAN, mettre en place WPAD et indiquez ainsi l'accès au proxy,
• interdire à toute autre machine (du LAN) que le proxy l'accès à http, https, ftp,
• faire comme vous voulez pour OPT1.

Il y a plein d'avantages :

• adapter le matériel aux fonctions,
• disposer d'un proxy avec une bonne visualisation des log,
• …
  Il y a des inconvénients :
• il faut créer le proxy (on peut s'inspirer des fichiers de conf de Squid sur pfSense !)

ced56

Pour des soucis d'équipements, pour le moment je n'ai pas le choix que de garder le proxy et filtrage de site internet sur le routeur firewall pfSense.
J'ai bien pris en compte votre remarque et votre solution mais je ne peux la mettre en place.

Savez-vous si cela est possible sur pfSense.

Ced56

jdh

Je ne pense pas qu'il soit possible d'avoir 2 config différentes simultanément sur la même machine.

1 proxy dédié n'est pas une option à éliminer (d'un revers de main) : il s'agit d'un élément important (essentiel) de sécurité.
Et il n'y a pas besoin d'un "super PC" : une machine de récup fait l'affaire …
Ce n'est peut-être pas une top priorité mais ça doit devenir une priorité ...

ccnet

Je ne peux qu'abonder dans ce sens. Monter un proxy dédié n'est quand même pas un gros investissement en terme d'équipement, avec une vm ou une machine recyclée. Et c'est tellement plus souhaitable sur le plan sécurité pour ne pas dire  … prioritaire.
Sur Pfsense la gestion de deux réseaux dans le proxy ne me semble pas possible. Sur un proxy dédié oui, en comprenant que le cache sera partagé entre les deux réseaux, ce qui n'est pas neutre.

ced56

D'accord je vais essayer de voir si ma hiérarchie accepte de me laisser le temps de monter un proxy sur une autre machine ou sur une vm.
Merci pour vos réponses.

Ced56