Bypass du firewall ou Modifier Règles du Firewall (Rules) PF 2.2.6
-
Quel est l'objectif de "contournement du firewall" ???
Le fait que le proxy HTTP soit installé sur le firewall ne change rien au fait que ce sont 2 composants différents qui net traitent pas la même chose.
Par ailleurs, la possibilité de contourner le proxy en mettant HTTPS à la place de HTTPs vient de ce que votre proxy est configuré en mode transparent.
C'est pour une autre plate-forme mais j'y explique (en anglais) la différence entre proxy explicite et transparent.Avec un proxy explicite, on peut tout à fait interdire un site en HTTPS sans devoir activer SSL-Bump (man in the middle)
-
Avez-vous créer la règle de fw comme indiquer ?
Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^
-
Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^
La vraie contrainte du mode explicite, c'est qu'il faut dire au client (le plus souvent un navigateur mas c'est également valable pour les OS, java etc.) qu'il faut utiliser un proxy à une adresse et un port donné.
Une des réponse à cette question passe par la mise en œuvre de WPAD, point discuté brièvement ici, largement dans la section "anglaise" de ce forum et également dans le lien que j'ai fourni un peu plus haut.Mais il y a souvent une méprise entre WPAD et le proxy:
le proxy en mode explicite n'a pas obligatoirement besoin de WPAD.Il y a 3 étapes successives:
- proxy en mode explicite
- proxy.pac
- WPAD
proxy.pac va permettre d'adapter la manière le navigateur accède ou pas au proxy (en décrivant d'ailleurs l'IP et le port)
wpad va automatiser la découverte de proxy.pac (et non pas du proxy contrairement à ce que l'acronyme semble dire) -
Merci bien pour vos conseils.
Je ne sais pas si on bien fait mais voilà ce qu'on a fait :
- L'adresse du poste client est attribué soit par dhcp de win2008 soit par adresse réservé dans AD.
- C'est ce serveur AD là qui sert de DNS ….
- Dans la config Pfsense, l'adresse du serveur AD (ci dessus) est déclaré comme DNS
=> A mon avis nous n'avions pas besoin de déclarer l'adresse du proxy étant donné que Pfsense est devenu à la fois proxy et DNS.
=>Je crois qu'on ne devrait avoir accès à internet tant qu'on n'est pas dans le domaine.
Même le WAN est configuré dans PFsense (on a laissé tombé le routeur physique).
Le besoin de contourner le Firewall c'est surtout pour les deux serveurs d'application où il y a énormément de traffic. Et le fait de passer par FW PFsense risque de ralentir (alors que nous ne voulons pas encore faire de VLAN pour aujourd'hui).
Petit à petit on va modifier notre façon de faire pour ne pas risquer de bloquer le parc, en essayant.
-
Pas de soucis pour utiliser AD comme serveur DNS et serveur DHCP pour les autres machines du LAN.
Il faut par contre que soit pfSense soit déclaré comme serveur pfSense de AD soit que le FW laisse passer les requêtes DNS de ADPar contre :
- tu ne sembles pas le comprendre mais tu ne peux PAS faire un by-pass du firewall sans une configuration réseau différente : comme tu continues à mélanger firewall et proxy, tu ne vas jamais avancer dans ta réflexion.
- tu n'as pas besoin de déclarer "où trouver le proxy" si celui-ci fonctionne en mode transparent puisque c'est le but d'un tel design.
- pfSense (selon ton hardware bien sûr) dans sa fonction pare-feu, ne va pas ralentir les requêtes des serveurs.
Point important : ta remarque visant à ne pas autoriser les accès internet pour les utilisateurs qui n'appartiennent pas au domaine signifie authentification et donc impose un proxy explicite car il ne peut PAS avoir d’authentification avec un proxy transparent
-
Merci pour ton explication,
La liaison LDAP est déjà fait avec AD.
Et c'est peut-être pour éviter d'avoir à configurer l'adresse proxy 192.XXXXXX port 3128 que mes prédécesseurs ont choisi le mode transparent.Et si je désactive le mode transparent, je devrais donc renseigner cette partie dans l'image ? (onglet miscallenous)
Oublions l'histoire de by-passer le FW …
-
Tu mélanges un peu tout.
Ce que tu montres, c'est que AD est configuré en tant que back-end LDAP pour pfSense mais cela n'a rien à voir avec la configuration du proxy.
Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN -
Ceci veut dire que je dois mettre l'adresse du proxy dans cet onglet miscellaneous ? et faire utiliser ce paramètre dans les navigateurs ?
-
Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN
Donc non !
Les navigateurs des utilisateurs ne récupèrent pas ces paramètres. Comme Chris l' a écrit : lorsque pfSense est lui même derrière un proxy. Ce paramètre ne concerne que Pfsense pour sa propre connectivité à internet en tant que client http.
Je confirme, vous mélangez tout.
Par ailleurs AD ou pas, rien n’empêche un utilisateur de configurer manuellement une ip sur une machine (windows ou non) et ce n'est pas l'appartenance ou non au domaine qui contrôlera son accès à internet avec un proxy transparent (mauvaise idée).
Si vous souhaitez ce type de contrôle (bonne idée) il faut :
Un proxy authentifiant qui s’appuie sur AD comme source d'authentification.
Un filtrage adapté sur Pfsense.
La présence des serveurs d'applications (web ?) dans le lan est une mauvaise idée.ce que je veux c'est que les connexions entrant et sortant de ces 4 adresses IP de serveurs ne passent pas par le Firewall
Mauvaise idée et gros risques.
-
Merci les gars, il faut vraiment que je refasse pas mal de choses, … :-[