Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [RESOLU] Proxy - Chargement incomplet

    Français
    4
    9
    8676
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Sylvain 0 last edited by

      Bonjour à tous,

      Je suis administrateur réseau d'une association et je viens de mettre un place une solution pfsense( 2.3.2) avec pare-feu ,squid et squidguard d'activer dessus.
      Le proxy est en mode explicite.
      Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.
      j'essaye de résoudre un problème de filtre, notamment sur facebook.
      Le proxy marche bien, squidguard aussi.
      Je bloque le https comme Facebook, Youtube (entre autre) par le domaine, ca marche sans problème.
      Quand je fais une exception pour facebook pour notre service comm, le navigateur affiche bien la page mais n'a pas l'air de charger le contenu externe (images, css ..).

      J'ai autorisé fbcdn.net également (domaine qui héberge le contenu externe de facebook) mais les logs de squid me renvoie :

      1476107883.190 240018 192.168.0.16 TCP_TUNNEL/200 901844 CONNECT www.facebook.com:443 - HIER_DIRECT/157.240.0.35 -
1476107889.129      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.134      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.138      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.143      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.149      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.151      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.157      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -
1476107889.160      0 192.168.0.16 TAG_NONE/503 0 CONNECT static.xx.fbcdn.net:443 - HIER_NONE/- -

      Est-ce que je suis obligé d'utiliser ssl bump en mode transparent ?
      Y'a t'il un moyen que ca fonctionne avec un proxy non transparent ?

      Merci de votre aide.

      Sylvain

      1 Reply Last reply Reply Quote 0
      • Tatave
        Tatave last edited by

        Salut salut

        Bien que vous soyez admin, il y a trop d'informations manquant quant à vos explications.
        Veuillez vous conformer à ceci https://forum.pfsense.org/index.php?topic=79600.0 ce nous évitera pas mal de questions et d'incompréhensions.

        Cordialement.

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • C
          chris4916 last edited by

          Pour filtrer par domaine comme tu le fais, ce qui est, de mon point de vue la bonne méthode, tu n'as pas besoin de SSL bump.
          En revanche, si tu as un code 503, c'est probablement que Squidguard n'autorise pas l'accès.

          L'ordre des règles dans Squidguard est important. Je ne sais pas comment ça se passe au niveau de la conf via l'interface pfSense mais tu devrais regarder le fichier de conf et bien vérifier que facebook.net n'est pas bloqué avant d'être autorisée

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • J
            jdh last edited by

            Cela est confus

            • proxy est en mode explicite : donc non transparent et est prévu pour supporter http et https
            • SSLBump : destiné au mode transparent et est intrusif et non confidentiel : à éviter
            • 'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)
            • Squidguard (qui filtre) peut activer un log : le regarder vous ?

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • S
              Sylvain 0 last edited by

              @Tatave:

              Bien que vous soyez admin, il y a trop d'informations manquant quant à vos explications.

              @jdh:

              Cela est confus

              Je suis désolé si je n'ai pas été clair, c'est parfois difficile de transcrire une situation quand elle apparait limpide dans votre tête.  :-[
              Je suis bien d'accord qu'il faut passer par une question claire et détaillée si l'on veut une réponse claire.
              Je m'en excuse.

              [quote]  proxy est en mode explicite : donc non transparent et est prévu pour supporter http et https.

              Nous sommes d'accord .

              SSLBump : destiné au mode transparent et est intrusif et non confidentiel : à éviter

              Oui et ethiquement on fait mieux.

              'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

              Je me suis peut-être mal exprimé.
              Au niveau des régles du pare-feu, j'ai interdit les ports 80 et 443 pour forcer le proxy. J'ai simplement autoriser ce port pour les 'admins', et pour l'ip du proxy de squid. Sans ca, il ne pourrait pas sortir lui non plus.

              Squidguard (qui filtre) peut activer un log : le regarder vous ?

              Je regarde toujours les logs, afin de résoudre le problème moi-même, bien evidemment…....
              C'est d'ailleurs pour ca que j'en ai mis un extrait dans mon post afin de pointer directement sur la partie qui me semble refléter le plus la nature du problème sans mettre des tonnes de logs dans un message, qui le rende vite illisible.

              L'ordre des règles dans Squidguard est important. Je ne sais pas comment ça se passe au niveau de la conf via l'interface pfSense mais tu devrais regarder le fichier de conf et bien vérifier que facebook.net n'est pas bloqué avant d'être autorisée

              Merci beaucoup d'avoir mis le doigt dessus.
              J'ai relu avec plus d'attention mes listes, et il y avait effectivement le fcbdn qui était en doublon.
              Merci beaucoup à toi.
              Ca fonctionne correctement maintenant.
              La prochaine fois je relirai une 3 ème fois, mes fichiers.  :-\

              Merci encore

              1 Reply Last reply Reply Quote 0
              • C
                chris4916 last edited by

                1 - n'oublie pas de modifier le titre du premier message pour le marquer comme "[RESOLU]", ça aide les lecteurs

                2 - c'est souvent ce type de problème avec Squidguard (comme avec les FW): l'ordre des règles étant important, on oublie facilement qu'une règle peut avoir des effets de bords  8)

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh last edited by

                  'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

                  Au niveau des régles du pare-feu, j'ai interdit

                  • interdit les ports 80 et 443 pour forcer le proxy. : OK, c'est ce qu'il faut faire
                  • autorisé pour les 'admins', : ERR : il ne faudrait pas le faire
                  • autorisé pour l'ip du proxy de squid. Sans ca, il ne pourrait pas sortir lui non plus. : Beh non, Squid est un service interne à pfSense et il n'y a pas de règles pour autoriser/interdire

                  Quand vous debugger une situation, a un moment, il faut se dire : certaines choses sont validées mais remise à zéro, je vérifie …

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916 last edited by

                    @jdh:

                    'Je bloque les ports 80 et 443 pour le lan, sauf pour le pfsense bien sur.' : comment faites vous ? (moi je ne sais pas faire !)

                    Avec une règle qui dit "source LAN, destination pfSense address, port 80 et 443"  ;)
                    La règle anti-lockout.
                    OK, ce n'est pas "pour les admin" mais pour tout le LAN

                    @jdh:

                    Au niveau des régles du pare-feu, j'ai interdit

                    • interdit les ports 80 et 443 pour forcer le proxy. : OK, c'est ce qu'il faut faire
                    • autorisé pour les 'admins', : ERR : il ne faudrait pas le faire

                    C'est pourtant au détail près du choix du port d'administration ce que la règle anti-lockout fait.
                    OK, il ne faudrait pas le faire mais que proposes-tu à a place ?

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • S
                      Sylvain 0 last edited by

                      Oui on peut changer le port et on peut aussi l'astreindre à une mac adresse ou deux.
                      Ou utiliser ssh pour le configurer.
                      C'est l'inconvénient des systèmes de configuration par http.
                      Habitué à configurer par console, j'ai été assez déstabilisé au début. Mais on y prends gout.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post