[RESOLU] Proxy - Chargement incomplet

Sylvain 0

Bonjour à tous,

Je suis administrateur réseau d'une association et je viens de mettre un place une solution pfsense( 2.3.2) avec pare-feu ,squid et squidguard d'activer dessus.
Le proxy est en mode explicite.
Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.
j'essaye de résoudre un problème de filtre, notamment sur facebook.
Le proxy marche bien, squidguard aussi.
Je bloque le https comme Facebook, Youtube (entre autre) par le domaine, ca marche sans problème.
Quand je fais une exception pour facebook pour notre service comm, le navigateur affiche bien la page mais n'a pas l'air de charger le contenu externe (images, css ..).

J'ai autorisé fbcdn.net également (domaine qui héberge le contenu externe de facebook) mais les logs de squid me renvoie :

1476107883.190 240018 192.168.0.16 TCP_TUNNEL/200 901844 CONNECT www.facebook.com:443 - HIER_DIRECT/157.240.0.35 -
1476107889.129      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.134      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.138      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.143      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.149      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.151      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.157      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.160      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -

Est-ce que je suis obligé d'utiliser ssl bump en mode transparent ?
Y'a t'il un moyen que ca fonctionne avec un proxy non transparent ?

Merci de votre aide.

Sylvain

Tatave

Salut salut

Bien que vous soyez admin, il y a trop d'informations manquant quant à vos explications.
Veuillez vous conformer à ceci https://forum.pfsense.org/index.php?topic=79600.0 ce nous évitera pas mal de questions et d'incompréhensions.

Cordialement.

chris4916

Pour filtrer par domaine comme tu le fais, ce qui est, de mon point de vue la bonne méthode, tu n'as pas besoin de SSL bump.
En revanche, si tu as un code 503, c'est probablement que Squidguard n'autorise pas l'accès.

L'ordre des règles dans Squidguard est important. Je ne sais pas comment ça se passe au niveau de la conf via l'interface pfSense mais tu devrais regarder le fichier de conf et bien vérifier que facebook.net n'est pas bloqué avant d'être autorisée

jdh

Cela est confus

• proxy est en mode explicite : donc non transparent et est prévu pour supporter http et https
• SSLBump : destiné au mode transparent et est intrusif et non confidentiel : à éviter
• 'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)
• Squidguard (qui filtre) peut activer un log : le regarder vous ?

Sylvain 0

@Tatave:

Bien que vous soyez admin, il y a trop d'informations manquant quant à vos explications.

@jdh:

Cela est confus

Je suis désolé si je n'ai pas été clair, c'est parfois difficile de transcrire une situation quand elle apparait limpide dans votre tête.  :-[
Je suis bien d'accord qu'il faut passer par une question claire et détaillée si l'on veut une réponse claire.
Je m'en excuse.

[quote]  proxy est en mode explicite : donc non transparent et est prévu pour supporter http et https.

Nous sommes d'accord .

SSLBump : destiné au mode transparent et est intrusif et non confidentiel : à éviter

Oui et ethiquement on fait mieux.

'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

Je me suis peut-être mal exprimé.
Au niveau des régles du pare-feu, j'ai interdit les ports 80 et 443 pour forcer le proxy. J'ai simplement autoriser ce port pour les 'admins', et pour l'ip du proxy de squid. Sans ca, il ne pourrait pas sortir lui non plus.

Squidguard (qui filtre) peut activer un log : le regarder vous ?

Je regarde toujours les logs, afin de résoudre le problème moi-même, bien evidemment…....
C'est d'ailleurs pour ca que j'en ai mis un extrait dans mon post afin de pointer directement sur la partie qui me semble refléter le plus la nature du problème sans mettre des tonnes de logs dans un message, qui le rende vite illisible.

L'ordre des règles dans Squidguard est important. Je ne sais pas comment ça se passe au niveau de la conf via l'interface pfSense mais tu devrais regarder le fichier de conf et bien vérifier que facebook.net n'est pas bloqué avant d'être autorisée

Merci beaucoup d'avoir mis le doigt dessus.
J'ai relu avec plus d'attention mes listes, et il y avait effectivement le fcbdn qui était en doublon.
Merci beaucoup à toi.
Ca fonctionne correctement maintenant.
La prochaine fois je relirai une 3 ème fois, mes fichiers.  :-\

Merci encore

chris4916

1 - n'oublie pas de modifier le titre du premier message pour le marquer comme "[RESOLU]", ça aide les lecteurs

2 - c'est souvent ce type de problème avec Squidguard (comme avec les FW): l'ordre des règles étant important, on oublie facilement qu'une règle peut avoir des effets de bords  8)

jdh

'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

Au niveau des régles du pare-feu, j'ai interdit

• interdit les ports 80 et 443 pour forcer le proxy. : OK, c'est ce qu'il faut faire
• autorisé pour les 'admins', : ERR : il ne faudrait pas le faire
• autorisé pour l'ip du proxy de squid. Sans ca, il ne pourrait pas sortir lui non plus. : Beh non, Squid est un service interne à pfSense et il n'y a pas de règles pour autoriser/interdire

Quand vous debugger une situation, a un moment, il faut se dire : certaines choses sont validées mais remise à zéro, je vérifie …

chris4916

@jdh:

'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

Avec une règle qui dit "source LAN, destination pfSense address, port 80 et 443"  ;)
La règle anti-lockout.
OK, ce n'est pas "pour les admin" mais pour tout le LAN

@jdh:

Au niveau des régles du pare-feu, j'ai interdit

• interdit les ports 80 et 443 pour forcer le proxy. : OK, c'est ce qu'il faut faire
• autorisé pour les 'admins', : ERR : il ne faudrait pas le faire

C'est pourtant au détail près du choix du port d'administration ce que la règle anti-lockout fait.
OK, il ne faudrait pas le faire mais que proposes-tu à a place ?

Sylvain 0

Oui on peut changer le port et on peut aussi l'astreindre à une mac adresse ou deux.
Ou utiliser ssh pour le configurer.
C'est l'inconvénient des systèmes de configuration par http.
Habitué à configurer par console, j'ai été assez déstabilisé au début. Mais on y prends gout.