Tunnig Squid + SquidGuard Large deployment
-
J'aimerais savoir si quelqu'un à quelqu'un pourrait mes donnée quelques conseils pour un tunning de squid et squidguard dans un "large deployment".
Je compte configurer squid et utilisé squidguard pour la gestion des ACL.
Ci-dessous les Specs de mon pfsense4 CPUs
64 Go de Ram
250 Go de Disque dur
NIC: 10 GbEJ'ai environ 600 utilisateurs derrière le proxy.
Merci à vous
-
Dans un tel déploiement la configuration proxy sur le firewall est à mon sens totalement inadaptée pour une foule de raisons. Les briques d'architecture doivent être répartis autrement. Plus les obligations de journalisation qui deviennent prégnantes sur un tel dimensionnement.
-
Bonjour,
Merci pour votre réponse, c'est bien noté .
-
Bonjour,
Désolé pour ma réponse tardive. Je précise que mon Pfsense a seulement le rôle de proxy. Il n'a donc que les packages Squid et Squiguard installés.
La question que je me pose est la suivante : est-ce que Squid et Squidguard sont adaptés pour le grand nombre d'utilisateur de mon parc ? j'ai vu des posts disant qu'ils n’étaient pas recommandés pour un grand nombre d'utilisateurs, surtout Squidquard. Aussi, quel tuning dois-je apporter pour une stabilité et une robustesse optimale, toujours en rapport avec le nombre d'utilisateurs que j'ai. J'ajoute que je dois aussi faire des restrictions sur les groupes AD, ce que squidguard sait bien faire.
Merci -
Qu'est ce que vous ne comprenez pas dans 'la configuration proxy sur le firewall est ... totalement inadaptée' ?
Quelques évidences :
- un proxy a-t-il besoin de 2 interfaces réseaux (comme c'est obligatoire pour pfSense) ?
- un proxy doit-il être positionné 'en périphérie d'un réseau' (comme on doit positionner un firewall) ?
- Squid et SquidGuard ne sont que des packages complémentaires de pfSense et ont les défauts inhérents à ce type de dév.
- l'interface web (qui génère le fichier de conf) de ces packages gèrent elle tous les paramètres utiles (à votre contexte) ?
Il est tout à fait évident que votre contexte (600 utilisateurs et le trafic qui va avec) impose de
- acquérir la compétence relative au fonctionnement avec proxy,
- créer un proxy dédié à cette tâche,
- créer les conf idoines de Squid et SquidGuard.
Le plus compliqué est bien sûr de comprendre comment cela fonctionne. Par exemple, malgré une longue pratique, je ne sais toujours pas faire fonctionner Windows Update derrière un proxy (du fait des transferts incomplets), ce qui impose WSUS. Autre nécessité l'utilisation obligatoire de WPAD ...
Il y aurait aussi des questions : que savez vous de HSTS ?
Vous noterez que j'ai juste écrit 10 fois plus de phrases que la question initiale ...
-
Salut à tous,
@jhd, merci pour ta réponse. Je débute moi-même avec Squid proxy sur Pfsense et je ne me suis pas posé toutes ces questions. Il ya beaucoup de choses à prendre en compte.
Du coup, qu'est ce tu proposes pour 600 utilisateurs dans le cas de figure de herbi ? -
(Je n'avais pas vu que 'herbi' n'est pas l'intiateur du fil, et voilà un 3ième pseudo ...)
Pour 600 utilisateurs (et le trafic qui va avec), on créé un serveur proxy dédié (voire 2). Par exemple, avec une Debian à jour, 4 vcpu, de la mémoire (8G doit le faire) et du disque (pas trop ~60G devrait suffire : l'efficacité du cache diminue avec la taille).
Et puis on y va : install Squid et SquidGuard, config Squid et SquidGuard, plus la blacklist de Toulouse et un script qui automatise la maj, on choisit un visualiseur de log, la rotation des mêmes logs, ...
On teste, on reteste, on continue à tester.
Puis on ajoute WPAD et ça s'applique à tous ...
Et enfin on règle le firewall pour n'autoriser que le proxyC'est plus facile quand on maitrise bien les mécanismes en jeu ...