Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bien dimensionner son Pfsense

    Scheduled Pinned Locked Moved Français
    18 Posts 5 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      Info85620
      last edited by

      Bonjour,

      J'utilise actuellement un SonicWall qui fonctionne en proxy transparent (qui filtre donc que le HTTP et pas le HTTPS on est d'accord) et qui en lien avec l'AD filtre en fonction de l'unité d'organisation.
      Je log sans difficulté toutes les connexions HTTP par utilisateur.

      Dans un autre établissement j'utilise un NETASQ sur le même principe.

      D'après les différentes doc que j'ai pu lire il m'a l'air tout à fait possible de lié le pFsense et mon Active Directory afin de pouvoir récupérer les groupes présents sur l'AD et donc d'obtenir une authentification….

      Merci pour vos réponses :)
      Yoan

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Je suis très très intéressé à comprendre, techniquement, comment cela fonctionne(rait)

        Pour t'aider à fournir les explications techniques pertinentes me permettant de comprendre comment cela fonctionnerait, voila les quels points que me semblent être des points de blocage à ce que tu décrits :

        • En mode transparent, le browser ne sait pas que la communication se fait au travers d'un proxy
        • il n'est donc pas possible de renvoyer au browser un code HTTP 407 qui déclenche, coté navigateur, l’authentification auprès du proxy.
        • si il n'y a pas d'authentification, tu ne sais pas qui est l'utilisateur, en tous cas au niveau du proxy, et donc tu sais encore moins l'associer à un groupe.

        Du moins pour ce que j'en comprends.

        Note que Squid pense comme moi  ;D

        Plus sérieusement, si tu lis la doc de Squid, il est très explicitement exprimé que proxy en mode transparent = pas d'authentification
        http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Why_can.27t_I_use_authentication_together_with_interception_proxying.3F

        Mais je reste ouvert à tout complément d'explication.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Le proxy et autre éléments sur le firewall tout le monde sait ce que j'en pense.
          Je suis moi aussi très intéressé par la description de la configuration qui permettrait la mise œuvre de ces fonctionnalités avec un proxy transparent.

          1 Reply Last reply Reply Quote 0
          • I
            Info85620
            last edited by

            Tout d'abord merci pour vos retours :)

            Donc si je comprend bien je vais devoir passer en proxy déclaré….
            Aucune façon de faire du filtrage transparent avec authentification via Active Directory avec SquidGard Proxy Server ? ni avec un autre "package" ?

            Donc l'option LDAP dans Squid Proxy Server -> Authentication n'est utile que via un proxy déclaré ?

            Merci

            Yoan

            SquidProxyServerAuthentification.jpg
            SquidProxyServerAuthentification.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • I
              Info85620
              last edited by

              Après de nouvelles recherches ce lien me fait dire que c'est possible via "Kerberos" :

              http://www.kns7.org/informatique/3/33/Proxy-Squid-+-Squidguard-et-integration-Active-Directory.html

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                Je ne vois rien sur la configuration du navigateur du client. Rien qui indique qu'il s'agit d'un proxy transparent. Et je lis :

                Configuration des méthodes d'authentification

                3 méthodes d'authentifications seront proposées aux clients:

                Kerberos: Authentification de type Single Sign-On, le jeton d'authentification kerberos sera automatiquement transmis.
                    NTLM: Authentificiation via LDAP dans les cas où Kerberos ne fonctionne pas.
                    Basic: Authentification "basique" avec un pop-up d'authentification.

                Ainsi que

                Définition des ACL
                Pour forcer l'authentification, la première des acl (ci-dessous) doit être placée à la suite dans le fichier de configuration de squid
                acl auth proxy_auth REQUIRED

                Vu ce qu'il faut installer sur le proxy on est assez loin du cadre d'une utilisation sûre de Pfsense. Sous réserve que tout soit disponible dans un environnement BSD
                ( intégration dans AD, samba, Winbind, Kerberos, msktutil, …). Ce qui est décrit dans ce lien est dans un environnement Linux / Ubuntu.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  pfSense est un distribution firewallµ.

                  Il faut bien comprendre que

                  • les packages ne font pas partie de pfSense
                  • il n'y a aucune garantie de bon fonctionnement et, pire, d'absence de parasitage avec les fonctions (de base) de pfSense
                  • les choix de compil ne sont pas exaustifs, et, donc, certaines possibilités ne sont pas incluses. (en particulier prévoir l'absence de librairies spécifiques !)

                  Bref, certains, dont je fait partie, recommandent d'éviter les (gros) packages qui peuvent être installés par ailleurs et avec une meilleure efficacité.

                  C'est en particulier le cas pour Squid (et ses dérivés) qui gagne a être installé à part (en dédié).

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    @Info85620:

                    Donc si je comprend bien je vais devoir passer en proxy déclaré….
                    Aucune façon de faire du filtrage transparent avec authentification via Active Directory avec SquidGard Proxy Server ? ni avec un autre "package" ?

                    oui tu comprends bien : impossible de dire :
                    "il n'y a pas de proxy" (c'est ce que signifie proxy transparent)
                    et en même temps :
                    "il faut s'authentifier sur le proxy".

                    Ces 2 phrases sont antinomiques.

                    Donc l'option LDAP dans Squid Proxy Server -> Authentication n'est utile que via un proxy déclaré ?

                    exactement  8)

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • C
                      chris4916
                      last edited by

                      @Info85620:

                      Après de nouvelles recherches ce lien me fait dire que c'est possible via "Kerberos" :

                      Tu mélanges, à mon avis 2 aspects :

                      • le fait que le proxy soit transparent ou explicite
                      • le fait que l’authentification soit "automatique" et donc transparente pour l'utilisateur (c'est le SSO apporté par Kerberos)

                      Dans le cas que tu montres, c'est l'autentificaiton qui est transparente, pas le proxy  8)

                      C'est d'ailleurs assez facile à mettre en œuvre, dans l'absolu, si tu as déjà toute la tringlerie autour de Kerberos. Pas sûr que ce soit aussi trivial sur une plate-forme pfSense.

                      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                      1 Reply Last reply Reply Quote 0
                      • I
                        Info85620
                        last edited by

                        Bonjour ,

                        En effet je mélangeais un peut tout je pense :)

                        Je pense donc partir sur un proxy déclaré qui va me permettre une authentification des mes utilisateurs sur l'active directory
                        Je compte acquérir un Switch de niveau 3 afin qu'il puisse gérer le routage (5 VLANS) et ainsi alléger un peu le pFsense.

                        Ma question suivante mérite peut être l'ouverture d'un nouveau sujet…

                        Mon infra devrait donc donner le schéma en pièce jointe.
                        J'aurais donc un lien trunk entre mon switch niveau 2 et 3
                        Mais entre le pFsense et le switch niveau 3 puis-je avoir un lien trunk ? ou dois-je avoir un lien par interface(vlan) ?

                        En espérant être compréhensible... :)

                        Diagramme1.jpg
                        Diagramme1.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • C
                          chris4916
                          last edited by

                          oui la question est claire.

                          A ta place je garderai le routage des VLAN au niveau de pfSense car cela t'offrira plus de flexibilité au niveau de la gestion des règles mais si tu tiens à insérer un switch niveau 3, alors oui tu peux avoir un lien trunk au niveau pfSense

                          La charge supplémentaire pour pfSense, compte tenu de ce que tu décris, ne va pas être énorme. Et comme le dit le titre du fil, c'est une question de bon dimensionnement.

                          Si tu insère ce switch niveau 3, tu vas avoir 2 niveau de règle :

                          • les règles d'accès à internet
                          • les règles de routage entre les VLAN (et si tu n'as pas de règles de routage entre les VLAN, c'est que tu n'as probablement pas besoin de VLAN  ;) )

                          Pour le proxy explicite : n'hésite pas à regarder WPAD. Ce n'est pas compliqué et c'est à la fois efficace et pratique  8)

                          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                          1 Reply Last reply Reply Quote 0
                          • I
                            Info85620
                            last edited by

                            J'ai des règles de routage inter-vlan c'est pour ça que j'avais créé mes VLANs ;)

                            Si je met donc un switch de niveau 3 je pourrais gérer au niveau du switch les régles de routage des vlans et au niveau du pfsense les règles LAN<->WAN

                            Je pense que les performances seront meilleures vu que transitera, entre le switch niv 3 et le pfsense, uniquement les connexions LAN<->WAN
                            Il me reste à voir jusqu'à quel point je peut affiner les règles sur un switch niveau 3 car par exemple si je bloque le routage entre le vlan 10 et 20 je peut très bien avoir un seul poste parmi le vlan 10 qui doit accéder au vlan 20…

                            Et je vais me renseigner pour le WPAD , cela parait très intéressant en effet!

                            Merci
                            Yoan

                            1 Reply Last reply Reply Quote 0
                            • B
                              baalserv
                              last edited by

                              Ajouter le switch L3 est inutile, comme le dis Chris, il vaut mieu gérer les Vlan directement sur pf, surtout si vous avez des règles inter-vlan.

                              Voir un des dernier post de Juve : https://forum.pfsense.org/index.php?topic=102546.msg622702#msg622702

                              Cdt

                              Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.