Stormshield requete ICAP sur Pfsense
-
Bonjour à tous,
Je me suis lancer dans un projet et je commence à me demander si cela est possible, enfin oui cela doit être possible car Olfeo l'a fait.
Depuis quelque jours, j'essaie d'envoyer les requêtes ICAP de mon firewall vers un pfsense à fin d'utiliser les proxy squid dessus. C'est la que je bloque, j'ai l'impression qu'il ne traite pas les requêtes et donc je suis dans l'impasse.
Quelqu'un a t il déjà mit en place ce type d'infrastructure ?
Voici un lien pour illustré : http://support.olfeo.com/sites/olfeo/files/support/v596/fr/integration_guide/webhelp/Guide_integration/topics/realiser_integration_icap_netasq.html
Lien vers la config du firewall : http://documentation.stormshield.eu/firewall/guide/v2/fr/default.htm?turl=Documents%2Fprotocoles.htmPour les personnes qui se demande l'intérêt de cet installation est de pouvoir bénéficier d'un cache, et d'un scan antivirus plus performant.
Cordialement
-
(Merci d'utiliser le formulaire qui permettrait une présentation uniforme, néanmoins je note que vous présentez des liens et que vous avez fait des recherches …)
Je n'ai pas mis en place de hiérarchie de proxy, mais je connais les grandes lignes ...
Vous me semblez confondre pfSense et un proxy Squid.
On peut ajouter Squid à pfSense, car il existe un package (donc non standard). Mais est ce ce qu'il faut faire ?Je ne pense pas que le package Squid ajouté à pfSense soit équivalent d'une machine dédiée sur laquelle on installera (et configurera) Squid.
Loin de là : par exemple peut-on rajouter une analyse antivirale au package Squid ?Avec une machine dédiée au proxy, on peut faire à sa sauce : proxy + rotation/archivage des logs + visu des logs + blacklist/whitelist + analyse antivirale + authentification + ???
Mais il faut faire beaucoup soi-même, j'en conviens ...pfSense est avant tout un firewall, et comme vous le comprenez bien, la tâche proxy peut avoir un impact négatif sur le fonctionnement firewall.
Sinon Squid supporte ICAP : cf http://wiki.squid-cache.org/Features/ICAP
Par exemple, dans la conf de Squid sur pfSense, y a-t-il la ligne 'icap_enable on' ?
Sans cette ligne, je ne vois pas bien comment ce Squid saurait répondre à une requete ICAP ... -
(Ai-je répondu trop vite ?)
Le lien que je donne indique que Squid sait être 'client ICAP' mais pas 'server ICAP', subtile différence !
Un autre lien http://wiki.squid-cache.org/ConfigExamples/ContentAdaptation/C-ICAP donne plus d'infos :
on y indique que le serveur est 'c-icap' : lien : http://c-icap.sourceforge.net/about.html
il s'agit bien d'un autre produit … dont le lien indique la façon de connecter Squid à ce serveur.Confirmation : http://www.icap-forum.org/icap?do=products&product=&company=&isServer=&isClient=&from=5&limit=5
Squid est 'client ICAP' mais n'est pas 'server ICAP' -
Salut salut
Cette question bien que mal formulé m’intéresse aussi.
Vos réponses et réactions tout autant que se soit celui qui initie la demande que ceux qui répondent.Cordialement.
-
Bonjour,
Je tiens à m'excuser pour la formulation qui ne respecte pas les réglés.
Je vous remercie pour les liens, je l'ai pas déjà lue, et oui on travail sur la partie serveur de ICAP.
Je suis surtout entrain de me demander si les modules squidclam est capable de traiter une demande venez d'un "host" distant.
Je continue mes recherches et mes tests et je vous tiendrais informer du résultat
Cordialement
-
Le 2nd lien http://wiki.squid-cache.org/ConfigExamples/ContentAdaptation/C-ICAP me semble correspondre à votre recherche.
A noter qu'il est indiqué "as-is" mais des éléments montrent qu'il n'avance pas au hasard …Je tiens à m'excuser pour la formulation qui ne respecte pas les règles.
+1, vous serez plus précis la prochaine fois
