Pfsense comme proxy interne à un réseau. Comment s'y prendre?
-
Bonjour,
J'ai installé Pfsence comme proxy transparent (http et https) dans mon réseau. En voici la topologie :Internet <–->(eth0) MikrotikRouter (eth1) <--->(fa0/1) Cisco switch (3550) (int vlanX) <---> Internal VLANs
Et Pfsense est dans l'un des VLANs.
Configuration PFsense :
Une seule carte réseau (WAN),
Squid + Squidguard installéNB : Tous le traffic http et https envoyé sur internet est dévié et renvoyé au Pfsense par le routeur mais a ne fonctionne pas. Même configuré manuellement sur machine pour diriger le traffi vers le pfsense, Internet ne passe pas (je n'ai même pas un retour sur la machine client. un message du type: site bloqué, …). C'est comme s'il n'existait pas sur mon réseau.
Où dois-je toucher (NAT, port forwarding, ...)? et comment le faire?
Pouvez-vous m'aider?
Merci d'avance
Pierre
-
Merci de respecter la forme (très) conseillée, indiquée dans le fil 'A LIRE EN PREMIER'.
pfSense est un firewall.
Il existe des packages, développé par des tiers, hors de la team pfSense. Ces packages sont SANS garantie de fonctionnement.
Parmi ces packages il y a des packages concernant Squid et SquidGuard.A partir d'une certaine taille, d'un certain volume, beaucoup (dont moi) conseillent d'utiliser un proxy séparé et dédié (pour des raisons de charge et de sizing).
A l'inverse, vous voulez n'utilisez QUE ces fonctions.
Seriez vous en difficulté pour créer, ex nihilo, un proxy Squid (malgré les nombreux tutos existants) ?
Pensez vous que pfSense pourra bien fonctionner avec une seule interface (alors qu'il en réclame 2 de base) ?Perso, je pense qu'il est plus intéressant et efficace de créer son propre proxy.
Cela exige de paramétrer quelques fichiers : squid.conf et squidGuard.conf; et il sera exactement adapté à votre besoin. -
pfSense ou pas, ton choix de design est celui de la difficulté maximum:
- proxy transparent avec HTTPS, ce qui implique SSL-Bump (Man In The Middle) et tous les problèmes qui vont avec
- proxy transparent qui n'est pas sur passerelle par défaut, donc redirection depuis la passerelle par défaut
- proxy transparent avec une seule interface: pour toutes les machines qui sont sur le même subnet, ça ne va pas marcher tout seul à cause des problèmes de route retour. En plus avec un FW (ici pfSense) qui a une seule interface, c'est vraiment compliqué
Je suis d'accord que choisir pfSense juste pour avoir une interface graphique autour de Squid / Squidguard, ça ne présente pas d'intérêt et dans ton design, ça ne fait que rajouter une difficulté supplémentaire. Pour un Squid "graphique", si c'est indispensable, un truc comme Webmin peut peut-être le faire ?
Pour le reste, un proxy en mode explicite (et non pas transparent) est, de mon point de vue du moins, de loin préférable, en mettant en œuvre WPAD, même si cette solution n'est pas exempte de défaut.
-
Je souscris, bien sûr, à ce qui est écrit, puisque c'est dans le sens logique de ma réponse.
Je n'ai pas écris sur le 'besoin' d'une interface web de paramétrage mais c'est un peu sous-entendu dans mes propos :
pourquoi utilisez une interface web une fois ? autant écrire le fichier de conf en texte directement !
Le bon technicien sait observer et s'inspirer pour créer son fichier de conf …Comme quoi, Chris4916 n'écrit pas toujours des sonneries, mais il gagnerait à rester sur ce seul discours ...
-
@jdh:
Comme quoi, Chris4916 n'écrit pas toujours des sonneries, mais il gagnerait à rester sur ce seul discours …
Merci de t’abstenir de ce genre de commentaire sans intérêt !