Squid et les proxy externe
-
Pour commencer bien le bonjour à tous,
Étant administrateur réseaux d'une section de formation dans mon établissement, j'ai mis en place un proxy avec pfsense.
J'utilise donc Squid et Squidguard, en mode transparent.Je rencontre 2 principaux soucis :
Premier Problème:
Comme certains le savent, il existe des "proxys externes" qui permettent de contourner un proxy local.
Dans son navigateur internet, l'utilisateur entre l'adresse d'un proxy relais ou externe, et hop il contourne le mien.Je voudrais donc qu'ils soit absolument impératif que pour surfer, les utilisateurs mettent les réglages de MON proxy local dans le navigateur, et que si ils ne le font pas ils ne puissent absolument pas surfer.
Evidemment j'ai bien coché "proxy transparent" et tous mes réglages de proxy se font sur l'interface "wan"
Je pensais que c'était tout l'intérêt d'un proxy en mode transparent …
Ai-je oublié une option ? Mauvais paramétrage ?
Est ce faisable ? Et si oui comment ?
2ème Problême:
Je possède la shallalist, et je vois encore des mecs dans ma salle de cours, aller sur des site style http://www.xeon-proxy.fr/ qui sont carrément destiné à contourner un proxy il faut croire.
Le problème est qu'il existe beaucoup de site dans ce style, et faire une exception pour tous c'est assez galère.
Je ne peux pas non plus à ma connaissance géré ça avec le firewall car ça reste une requête http …
Voyez vous un bon moyen de pallier à ce 2ème problème ??D'avance merci à vous,
Bonne soirée -
Comme certains le savent, il existe des "proxys externes" qui permettent de contourner un proxy local.
Dans son navigateur internet, l'utilisateur entre l'adresse d'un proxy relais ou externe, et hop il contourne le mien.
[…] Ai-je oublié une option ? Mauvais paramétrage ?Une première réflexion, toute personnelle j'en convient, je ne suis pas partisant de "confondre" firewall et proxy sur la même machine. C'est pratique oui, mais source de problème potentiels. Le proxy selon moi doit être une machine indépendante de préférence dans une dmz "interne" si il en existe plusieurs. Fin de la parenthèse.
Pour que la modification de configuration opérée par l'utilisateur soit fonctionnelle il faut que vous permettiez à sa machine de sortir en utilisant le port 80 comme destination en empruntant la passerelle par défaut du réseau interne (interface Lan de Pfsense). Il peut aussi spécifier un autre port.
J'en conclu qu'il y a un mauvais paramétrage qui ne contrôle pas correctement le trafic sortant.
Le trafic sortant doit être réduit strictement au nécessaire pour les différents protocoles et les destinations, y compris dns que vous devez contrôler soigneusement. Attention à l'erreur fréquente qui consiste à permettre TCP/UDP 53 pour dns. Sauf raison spécifique UDP est suffisant. Pour les postes utilisateurs la résolution dns sera effectué en utilisant le cache fourni par Pfsense.
Si vous avez un proxy les postes de travail ne doivent pouvoir utiliser que le port sur lequel il est à l'écoute et qu'à destination du proxy et non "any". Dans le cas contraire il suffit de supprimer la configuration du proxy dans le navigateur et de sortir par la passerelle par défaut.Pour le second problème, je crois ne pas comprendre exactement.
-
Merci pour cette première réponse.
Je me rend compte qu'il y a des points qui ne sont pas assez clair dans mon premier message donc je vais tout reprendre pour être le plus clair possible, en esperant ne pas faire trop long:La configuration
=> On à un réseau orange qui arrive en 192.168.100.1/24. (WAN) qui est derrière un routeur.
=> Avec Pfsense, on fait repartir le réseaux en 192.168.200.254/24 (LAN)
=> On active un proxy transparent (Squid) et on lui gref la shallalist sous Squidguard.
=> On attribue les adresses des stagiaires par DHCP sous pfsense donc.Les données de connexion qu'on actuellement les stagiaires lorsqu'on regarde les paramètres de connexion:
==> Adresse ip: 192.168.200.*/24
==> Passerelle par défaut: 192.168.200.254 (Adresse de la machine pfsense)
==> Serveur DNS: 192.168.200.254 (Idem)
–-----------------------------------------
Prenons maintenant l'exemple du stagiaire sous I.E :Déjà, sans rien réglé dans I.E, il peut surfer. (Normal car proxy transparent)
Si il va sur un site interdit par squidguard, ça le bloque, donc jusque là tout va bien.
Si dans I.E il règle le proxy sous 192.168.200.254:3128 (le port est bien sur celui réglé sous pfsense) ça marche aussi, et il subit le proxy.
Par contre, si il rentre dans son navigateur ceci par exemple: 203.110.169.64:80 en adresse de proxy, là ils arrivent à surfer sur le net, sans passer par mon proxy.
C'est là que j'ai un souci.
Je n'arrive pas à voir ce que j'ai oublié dans mes réglages.
–-----------------------------------------
L'autre problème est bien plus simple:Le stagiaire veut aller sur GrosLolo.com.
Le proxy refuse cette requête, car c'est un site porno. Jusque là, tout marche très bien.- Le stagiaire va sur http://www.xeon-proxy.fr/. Sur cette page, en face de "Adresse Web" il tape GrosLolo.com
Là il peut y aller car il passe par un "proxy externe".
Bien sur je pourrais bloquer l'adresse vers xeon-proxy.fr, mais il existe bien d'autres adresse dans ce style, donc je voudrais une autre alternative pour empêcher d'utiliser ce genre d'outils, plutôt que de toute les bloquer car la shallalist n'a pas de blacklist proxy.
En espérant avoir été plus clair,
Sachant que c'est quand même le 1er problème qui me gêne le plus.D'avance Merci, et désolé pour la longueur de l'explication ;)
- Le stagiaire va sur http://www.xeon-proxy.fr/. Sur cette page, en face de "Adresse Web" il tape GrosLolo.com
-
Vos indications sur la configuration correspondent exactement à ce que j'avais compris.
Je n'arrive pas à voir ce que j'ai oublié dans mes réglages.
Probablement une règle sur Lan dans ce style : Source : Lan Net - Any Proto -> Destination any 80 denied. Une autre règle sur le port 3128 ne doit donner accès qu' à 192.168.200.254.
Sur le second point tel que posé je suis étonné qu'il n'existe pas de blacklist adaptées. Je ne sais en dire plus. je ne suis pas très compétent sur les contenus de blacklist.
-
Vos indications sur la configuration correspondent exactement à ce que j'avais compris.
Zut c'est moi qui avait pas du comprendre la réponse alors :-\ Désolé pour toute cette lecture dans ce cas ;)
Probablement une règle sur Lan dans ce style : Source : Lan Net - Any Proto -> Destination any 80 denied. Une autre règle sur le port 3128 ne doit donner accès qu' à 192.168.200.254.
Après relecture de votre message j'ai compris la logique de votre première réponse grace à cet apport…
Je dois donné l'accès uniquement au port 3128 en sortie, afin que tout passe par le proxy. C'est d'une logique incroyable et je n'ai pas vu ça !
1000 MerciS !je ne suis pas très compétent sur les contenus de blacklist.
Roh je suis déçu ! :P
Je plaisante bien évidemment, on ne peux pas tout connaître dans les moindres détails ;)
En attendant je vais simplement blacklisté à la main les sites que je connais.
Si quelqu'un d'autres à plus d'infos je reste preneur…Encore merci ccnet
A bientot, -
Je pense que Juve, lorsqu'il passera par là, aura quelque chose d'interessant à ajouter au moins sur le second problème.
Surveillez bien votre trafic sortant. C'est presque aussi important pour la sécurité que le trafic entrant, mais c'est trop souvent négligé. -
A mon avis dans la shallalist la catégorie qui "filtre" les proxy est la categorie "redirector", dans lequel on trouve le domaine proxyxeon per exemple.