Configuration Squid&Squidguard pour proxy transparent en HTTP et HTTPs



  • Bonjour à tous,
    Je suis nouveau et j'utilise pfsense pour la première fois.
    Mon besoin est assez simple. J'ai une passerelle par défaut sous linux qui me permet de rediriger les flux HTTP et HTTPs vers mon nouveau pfsense (par iptables). Je souhaite de ce fait et pour les besoins de mon entreprise faire en sorte de filtrer tous les flux web.

    Mon pfsense :
    2.3.2-RELEASE-p1 (amd64)
    built on Tue Sep 27 12:13:07 CDT 2016
    FreeBSD 10.3-RELEASE-p9

    avec
    squid_radius_auth-1.10   squid-3.5.19_1   squidclamav-6.14   c-icap-modules-0.4.3 
    et
    squidguard-1.4_15

    Je parviens à faire fonctionner le proxy en HTTP en y ajoutant "http_port 172.18.252.250:3128  accel vhost allow-direct" dans la zone "Custom Options (Before Auth)" de squid. Mais impossible de le faire fonctionner correctement (au mieux j'ai le message 'la connexion n'est pas sécurisée") en https.

    Quelqu'un a-t-il un retour d'expérience à me faire quant à cette configuration? Une piste à suivre? Un remède miracle?

    Merci à vous d'avoir lu mon message jusque là.

    Cdt,
    Tof



  • Je vous recommande de lire le fil A LIRE EN PREMIER pour présenter votre problème.

    Il serait utile de préciser le sizing : nombre d'utilisateur, type de lignes WAN, …

    En particulier, il n'est pas très clair 'passerelle Linux avant pfsense' : qu'est ce que cela veut dire ?

    Par ailleurs il a été abondamment écrit sur 'Squid en transparent sur pfSense' sur ce forum.
    Quand à 'Squid en transparent ne fonctionne pas avec https', cela montre que vous n'avez que très peu cherché ...



  • Tout d'abord, merci d'avoir répondu.

    Je vais aller lire le fil indiqué après répondu à mon tour.

    Je ne vois pas ce que le nombre d'utilisateurs (environ 60) et le type de ligne WAN (FO) peut bien aider dans la question que je pose.

    la passerelle par défaut des postes clients et un routeur linux. Cette passerelle a un LAN pour les PCs, et 2 LANs d'interco en /30 avec le pfsense et le routeur linux (un pour la partie LAN et l'autre pour le WAN). Je ne souhaite me servir du pfsense que pour le filtrage web (puisque l'interface graphique correspond exactement à mes besoins).

    Cela fait une semaine que je tourne en rond avec pfsense afin de trouver la solution à mes problèmes. J'ai lu un paquet de posts sur divers forum dont celui-ci. Si je poste (de nouveau?) la question c'est que les réponses qui ont été faites et que j'ai testé ne sont pas satisfaisantes.

    je ne comprends pas (mais c'est peut-être parce que je ne comprends pas le fonctionnement de squid) comment tu peux arriver à la conclusion que j'ai très peu cherché lorsque j'écris 'Squid en transparent ne fonctionne pas avec https' .

    Je reviens après avoir lu "A LIRE EN PREMIER"

    Merci



  • Ok. Fini de lire .

    Je ne demande pas qu'on me résolve mon problème mais plutôt qu'on puisse m'orienter.

    Si les réponses m'amènent à un résultat, je posterais la solution. Cela permettra aux nombreux posts précédents restés en souffrance d'avoir, peut-être, la solution à leur problèmatique que tout le monde abandonne.

    Merci



  • J'ai l'impression que tu veux résoudre ton problème uniquement à grands coups de "redirection de flux".
    Si c'est bien le cas, ne t'étonne pas que ça ne fonctionne pas.

    Pour le proxy HTTP, sauf à mettre en place une solution de type SSL Bump (AKA MITM), tu ne peu rien faire d'autre que de déclarer le proxy de manière explicite au niveau du navigateur ou du système qui veut accéder à internet.

    Tu peut automatiser cette tâche en déployant WPAD mais, sur le principe, quelque soit la méthode utilisée, il faut effectivement que le proxy soit explicite ou que, si il est transparent, ce qui de mon point de vue est une mauvaise idée, tu configures SSL Bump.

    Et ceci quelque soit le nombre d'utilisateurs ou le type d'accès internet, en effet  ;)



  • Merci de ton retour.

    L'idée ne vient pas de moi et devra être faite ainsi. C'est à dire "à grands coups de redirection de flux".
    J'aimerais vraiment y parvenir avec pfsense de par la simplicité d'utilisation de l'interface web (même si je galère pour la conf de squid et squidguard).

    Le but est de ne pas avoir à passer sur tous les postes (pas de DHCP et tous les postes ne sont pas forcément sur AD). Ce qui, d'après moi, exclu le principe de proxy explicite.

    Il me semble qu'on ne me laisse pas d'autre choix que le MITM et SSL Bump. Et c'est là que je bloque… Je possède un certificat pris auprès d'une autorité de Gandi ce qui devrait m'éviter de passer sur tous les postes pour qu'il soit reconnu. Mais rien n'y fait.

    Quelqu'un saurait-il m'indiquer un tuto ou une doc éprouvée qui me permettrait de démêler mon problème?

    Merci
    et bonne journée.



  • Je (ne) souhaite me servir du pfsense que pour le filtrage web

    Le bon ouvrier utilise un marteau pour les pointes et un tournevis pour les vis.

    Le filtrage web est affaire de proxy http/https : donc une machine, bien sizée (60 utilisateurs), avec un Squid, SquidGuard, LightSquid, un logrotate, une config WPAD est LA meilleure machine possible.
    Pas un pfSense, qui est à la base un firewall (et, en particulier, pfSense a besoin de 2 interfaces).

    Vous verrez, c'est intéressant de configurer son proxy … (et bien plus facile que de tenter de configurer un autre outil).

    C'est le besoin qui définit la solution, et pas l'inverse.

    En fait, vous partez de principes qui sont hélas faux :

    la simplicité d'utilisation de l'interface web

    Oui mais si l'outil n'est pas prévu pour ça ?

    Ce qui, d'après moi, exclu le principe de proxy explicite

    Et WPAD serait fait pour les chiens ?

    Par ailleurs SSLBump et Man in the middle, ne vous pose pas de problèmes éthiques ?
    Accepteriez vous de vous connecter à votre banque personnelle, votre webmail privé avec le certificat générique installé dans votre pc professionnel ?
    (C'est à dire avec le doute que votre entreprise puisse décoder directement votre connexion sécurisée https, et connaisse identifiant et mot de passe !)

    NB : le sizing permet de déterminer qu'un proxy dédié sera plus adapté qu'un proxy sur un firewall. Et ici 60 utilisateurs avec une fibre justifie nettement cette solution !
    (Il ne s'agit pas de dire 'c'est possible' mais 'qu'est ce que je fais' : moi, pour 60 users, je créé un proxy, libre à vous de faire ce que vous voulez, mais acceptez d'en supporter les conséquences.)



  • la simplicité d'utilisation de l'interface web

    Oui mais si l'outil n'est pas prévu pour ça ?

    Je confirme que la simplicité de l'interface ne préjuge pas de l'efficacité et de la pertinence d'une solution.
    Utiliser Pfsense comme proxy est un sujet que j'ai creusé. Il y a en fait plusieurs problèmes.
    Pfsense nécessite deux interface réseaux pour fonctionner.
    Pfsense par défaut nat tous les flux qui sorte par l'interface wan.
    Pour faire les choses proprement, il est indispensable que 'l'interface d'administration du proxy soit distincte de l'interface "data" (trafic utilisateur).
    De même l'utilisation du proxy en coupure physique (ce qui est souhaitable) n'est pas non plus une question triviale.



  • Wahou que de réponses 8)

    Bonjour à vous qui avez pris le temps de me répondre.

    Le problème de la chose est que je ne trouve aucune interface qui permette, facilement, à une utilisatrice, qui n'y rien connait rien à l'admin système et réseau, de paramètrer les sites auxquels les utilisateurs auront accès.
    Bien sûr j'ai monté des serveurs squid avec squidguard et clamav précédemment mais je n'ai jamais trouvé d'interface web qui me convenait (et si possible gratuite) que je puisse laisser à la disposition d'une non experte. Si vous avez un outil, je suis preneur.

    Tof



  • Ah, si c'est ça le problème et qu'effectivement le but est d'utiliser pfSense non pas comme un parefeu mais comme une interface graphique de Squid/Squidguard, alors il y a des solution comme Webmin (à condition de bien configurer le modèle de délégation sans quoi l'admin Squid se retrouve admin système et je ne sais pas si Webmin a bien progressé dans ce domaine (ça fait très longtemps que je ne l'ai pas utilisé)



  • Si vous avez déjà monté un proxy complet, vous devriez réutiliser vos notes et repartir des fichiers de conf (comme modèle).

    En fait, une fois une config initiale bien au point, il n'y a pas lieu de la modifier.
    Au mieux, on met à jour régulièrement une white-list.

    Config Squid :

    • réglage taille du cache + param cache
    • les réseaux 'localnet'
    • les ports spécifiques d'interface web de serveurs spécifiques
    • lien avec SquidGuard
    • lien avec SquidClamav
    • réglages pour Windows Update
    • authentification (si voulue)

    Config SquidGuard :

    • blacklist de Toulouse + script de maj auto
    • whitelist + réglage spécifique
    • config SquidGuard-CGI pour annonce blocage

    Config LightSquid :

    • access.log
    • crontab
    • htaccess (accès contrôlé !)

    WPAD
    Rotation des logs
    Outil de visu des logs en ligne de commande (pour recherche)

    (Je suis exactement en train de reprendre mes proxy …)



  • @tofZen:

    Si vous avez un outil, je suis preneur.

    Tof

    Artica proxy peut être ? Il y a longtemps que je ne l'ai pas regaradé.



  • Bon, j'en conclue que pfsense ne me permettra pas de faire ce dont j'ai besoin.

    Artica, j'avais regardé mais me semblait payant…

    En tous cas, merci pour votre aide et vos remarques.

    Je vous souhaite une bonne continuation et peut-être à plus tard pour des sujets plus proches du fonctionnement plus conventionnel de pfsense.

    Tof