Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Port 443

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      grinderfurax
      last edited by

      Bonsoir.

      Je vais probablement passer pour un demeuré, mais ça fait 3h que je cale sur un problème qui va surement (je l'espère) vous paraître évident.

      Voilà, je monte un proxy sur une base de pfsense, en labo d'essais pour éviter de casser le réseau de mon entreprise, avec 2 interfaces réseau (LAN & WAN).
      Pour l'instant du classique : Squid, Squidguard (avec une blacklist), SARG pour les log…

      Je rencontre deux problèmes. Tout d'abord celui que je ne comprends pas :
      j'active le proxy transparent (sur port 80), je ne change pas de règles de port sur Squid ni sur le firewall de pfsense.

      Mon poste client est monté en série, coté lan, donc je traverse obligatoirement ma passerelle pour aller taper sur le net.

      Si je ne renseigne aucun proxy, j'accède aux sites sur le port 80 (avec une redirection a travers le proxy, puisque si je lance un site de porn je suis bloqué par mon filtrage de blacklist), j'accède aux sites sur port 443 (eux ne sont pas redirigés, donc ils traversent juste le firewall puis atteignent leur cible).

      Là où ça coince, c'est quand je force le proxy dans le navigateur, les sites sur port 80 fonctionnent toujours, par contre les sites en 443 finissent en timeout. Alors ce n'est pas un problème de blacklist sinon j'aurais une erreur et pas un timeout. Je ne pense pas que ça vienne du parefeu, puisque sans renseigner de proxy je peux accéder au site, alors que ma requête doit toujours traverser le parefeu, donc j'en déduis que c'est un blocage en port du proxy, sauf que dans la config par défaut le 443 n'est pas bloqué, donc je cale...

      Ma deuxième problématique, et là c'est plus par méconnaissance de l'interface qu'un problème insoluble, quelle solution pour forcer les utilisateurs à traverser le proxy sur le port 443 ? j'ia regardé du côté du nat mais m'en suis pas sorti :(

      Un grand merci d'avance à qui voudra/pourra m'aider.

      1 Reply Last reply Reply Quote 0
      • PARNP
        PARN
        last edited by

        Hello,

        Donc un proxy Squid en mode transparent ne traitera pas le trafic en 443.

        Je te conseille d'autres part d'utiliser un proxy "a part" du firewall, dans une dmz par exemple.

        Tout ce que tu as besoin est expliqué ici : http://irp.nain-t.net/doku.php/220squid:010_fonctionnement

        Voilà

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Il y a plusieurs évidences (qu'on ne cesse de rappeler)

          • pfSense est un firewall, pas un proxy
          • un proxy transparent ne s'applique qu'à http=80/tcp (et pas à https)
          • un proxy transparent ne fonctionne pas avec une authentification

          Une bonne architecture serait

          • un proxy traditionnel (= un Squid sur une Debian),
          • WPAD = Web Proxy Auto Discovery,
          • le firewall qui n'autoriserait plus que le proxy à accéder à Internet.

          Cela demande un peu plus de temps mais ça fonctionne bien.

          Merci à PARN pour avoir commencé …

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • G
            grinderfurax
            last edited by

            Je n'ai jamais dit que je comptais héberger les services de parefeu et de proxy sur la même machine. J'ai un parefeu en amont, et c'est bien un serveur proxy dédié que je cherche.

            Alors pourquoi pfsense ? Parce que je n'ai aucune notion en linux, parce que écrire le fichier de config à la main c'est pas mon truc, et que pfsense propose justement une interface toute adaptée.
            Webmin faisait des choses de ce genre également à l'époque, mais :

            • pfsense est plus intuitif
            • webmin est incompatible avec les dernières versions de squid

            D'autre part, s'il est aussi démoniaque de mettre les services de proxy sur pfsense, pourquoi les développeurs ont-ils prévu le téléchargement, l'installation, et l'interface de config pour squid au sein de pfsense ?

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              D'autre part, s'il est aussi démoniaque de mettre les services de proxy sur pfsense, pourquoi les développeurs ont-ils prévu le téléchargement, l'installation, et l'interface de config pour squid au sein de pfsense ?

              Précisons une chose : pas les développeurs de Pfsense. Ils n'ont rien prévu de tel. C'est quelque chose qui est ajouté par des tiers externes à l’équipe qui développe et maintient Pfsense. Nuance sensible à mon avis.

              Cela dit pour apporter de l'eau à votre moulin, j'ai été tenté par la même approche que je n'ai pas encore repris avec la version actuelle de Pfsense. Toutefois ce n'est pas si simple et peut être même plus compliqué que d'installer une Debian ou Ubuntu LTS et d'y installer Squid.

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                On a déjà écrit que les packages ne sont pas ni la responsabilité de pfSense ni la sécurité.
                Cela dit, les packages bénéficient d'une interface commune agréable, mais cache bien souvent la complexité sous-jacente !
                L'exemple de Squid est frappant puisque la nature de la fonction "proxy" est TRES différente de celle d'un firewall : temps/réactivité contre disque/lenteur/mémoire pour Squid.

                Je ne conteste pas que l'écriture du fichier de conf de Squid demande du temps et de l'expérience.
                Pourtant, c'est là que se fait ou non la réussite !
                On peut d'ailleurs s'inspirer du fichier généré par le package Squid et sa config …
                Il est assez notable qu'un fichier de conf minimum de Squid devrait avoir 20 ou 30 lignes au maxi.

                Je pense, personnellement, que créer un pfSense pour en faire juste un proxy est une erreur.
                Il n'existe pas à ma connaissance de distribution centrée sur le proxy (et c'est regrettable).

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.