Bien dimensionner son Pfsense
-
Le proxy et autre éléments sur le firewall tout le monde sait ce que j'en pense.
Je suis moi aussi très intéressé par la description de la configuration qui permettrait la mise œuvre de ces fonctionnalités avec un proxy transparent. -
Tout d'abord merci pour vos retours :)
Donc si je comprend bien je vais devoir passer en proxy déclaré….
Aucune façon de faire du filtrage transparent avec authentification via Active Directory avec SquidGard Proxy Server ? ni avec un autre "package" ?Donc l'option LDAP dans Squid Proxy Server -> Authentication n'est utile que via un proxy déclaré ?
Merci
Yoan
-
Après de nouvelles recherches ce lien me fait dire que c'est possible via "Kerberos" :
http://www.kns7.org/informatique/3/33/Proxy-Squid-+-Squidguard-et-integration-Active-Directory.html
-
Je ne vois rien sur la configuration du navigateur du client. Rien qui indique qu'il s'agit d'un proxy transparent. Et je lis :
Configuration des méthodes d'authentification
3 méthodes d'authentifications seront proposées aux clients:
Kerberos: Authentification de type Single Sign-On, le jeton d'authentification kerberos sera automatiquement transmis.
NTLM: Authentificiation via LDAP dans les cas où Kerberos ne fonctionne pas.
Basic: Authentification "basique" avec un pop-up d'authentification.Ainsi que
Définition des ACL
Pour forcer l'authentification, la première des acl (ci-dessous) doit être placée à la suite dans le fichier de configuration de squid
acl auth proxy_auth REQUIREDVu ce qu'il faut installer sur le proxy on est assez loin du cadre d'une utilisation sûre de Pfsense. Sous réserve que tout soit disponible dans un environnement BSD
( intégration dans AD, samba, Winbind, Kerberos, msktutil, …). Ce qui est décrit dans ce lien est dans un environnement Linux / Ubuntu. -
pfSense est un distribution firewallµ.
Il faut bien comprendre que
- les packages ne font pas partie de pfSense
- il n'y a aucune garantie de bon fonctionnement et, pire, d'absence de parasitage avec les fonctions (de base) de pfSense
- les choix de compil ne sont pas exaustifs, et, donc, certaines possibilités ne sont pas incluses. (en particulier prévoir l'absence de librairies spécifiques !)
Bref, certains, dont je fait partie, recommandent d'éviter les (gros) packages qui peuvent être installés par ailleurs et avec une meilleure efficacité.
C'est en particulier le cas pour Squid (et ses dérivés) qui gagne a être installé à part (en dédié).
-
Donc si je comprend bien je vais devoir passer en proxy déclaré….
Aucune façon de faire du filtrage transparent avec authentification via Active Directory avec SquidGard Proxy Server ? ni avec un autre "package" ?oui tu comprends bien : impossible de dire :
"il n'y a pas de proxy" (c'est ce que signifie proxy transparent)
et en même temps :
"il faut s'authentifier sur le proxy".Ces 2 phrases sont antinomiques.
Donc l'option LDAP dans Squid Proxy Server -> Authentication n'est utile que via un proxy déclaré ?
exactement 8)
-
Après de nouvelles recherches ce lien me fait dire que c'est possible via "Kerberos" :
Tu mélanges, à mon avis 2 aspects :
- le fait que le proxy soit transparent ou explicite
- le fait que l’authentification soit "automatique" et donc transparente pour l'utilisateur (c'est le SSO apporté par Kerberos)
Dans le cas que tu montres, c'est l'autentificaiton qui est transparente, pas le proxy 8)
C'est d'ailleurs assez facile à mettre en œuvre, dans l'absolu, si tu as déjà toute la tringlerie autour de Kerberos. Pas sûr que ce soit aussi trivial sur une plate-forme pfSense.
-
Bonjour ,
En effet je mélangeais un peut tout je pense :)
Je pense donc partir sur un proxy déclaré qui va me permettre une authentification des mes utilisateurs sur l'active directory
Je compte acquérir un Switch de niveau 3 afin qu'il puisse gérer le routage (5 VLANS) et ainsi alléger un peu le pFsense.Ma question suivante mérite peut être l'ouverture d'un nouveau sujet…
Mon infra devrait donc donner le schéma en pièce jointe.
J'aurais donc un lien trunk entre mon switch niveau 2 et 3
Mais entre le pFsense et le switch niveau 3 puis-je avoir un lien trunk ? ou dois-je avoir un lien par interface(vlan) ?En espérant être compréhensible... :)
-
oui la question est claire.
A ta place je garderai le routage des VLAN au niveau de pfSense car cela t'offrira plus de flexibilité au niveau de la gestion des règles mais si tu tiens à insérer un switch niveau 3, alors oui tu peux avoir un lien trunk au niveau pfSense
La charge supplémentaire pour pfSense, compte tenu de ce que tu décris, ne va pas être énorme. Et comme le dit le titre du fil, c'est une question de bon dimensionnement.
Si tu insère ce switch niveau 3, tu vas avoir 2 niveau de règle :
- les règles d'accès à internet
- les règles de routage entre les VLAN (et si tu n'as pas de règles de routage entre les VLAN, c'est que tu n'as probablement pas besoin de VLAN ;) )
Pour le proxy explicite : n'hésite pas à regarder WPAD. Ce n'est pas compliqué et c'est à la fois efficace et pratique 8)
-
J'ai des règles de routage inter-vlan c'est pour ça que j'avais créé mes VLANs ;)
Si je met donc un switch de niveau 3 je pourrais gérer au niveau du switch les régles de routage des vlans et au niveau du pfsense les règles LAN<->WAN
Je pense que les performances seront meilleures vu que transitera, entre le switch niv 3 et le pfsense, uniquement les connexions LAN<->WAN
Il me reste à voir jusqu'à quel point je peut affiner les règles sur un switch niveau 3 car par exemple si je bloque le routage entre le vlan 10 et 20 je peut très bien avoir un seul poste parmi le vlan 10 qui doit accéder au vlan 20…Et je vais me renseigner pour le WPAD , cela parait très intéressant en effet!
Merci
Yoan -
Ajouter le switch L3 est inutile, comme le dis Chris, il vaut mieu gérer les Vlan directement sur pf, surtout si vous avez des règles inter-vlan.
Voir un des dernier post de Juve : https://forum.pfsense.org/index.php?topic=102546.msg622702#msg622702
Cdt