Portail Captif et le proxy ( résolus)
-
les amis je me suis trouvé dans une contrainte lors de la mise en place d'une solution de traçabilité basante sur le portail captif et le proxy de pfsense. Alors c'est quoi le problème !!! mes utilisateurs peuvent accéder à internet sans s'authentifier sur le portail captif , Pourquoi?? parce que comme on sait bien le portail captif écoute sur le port 8000 et le proxy sur 3128. alors l'utilisateur il configure son navigateur sur 3128 et voilà internet!!!
Donc SVP j'aimerai bien savoir si il y a une solution de combiner les deux solutions à part l'authentification du squid. et merci
-
Bonjour, je vois que le problème a été résolu, quelle solution a été trouvée?
Car je vois qu'en effet on peut bypasser le portail captif par cette méthode. c'est assez embêtant comme 'faille'.Merci.
-
la solution c'est de faire pointé le portail captif sur le lan et le squid sue le wan comme sa l'utilisateur ne peut pas accéder à internet si il ne s'authentifier pas, cette solution est testé.
-
Merci,
C'est pas trop "no secure" cette astuce? Ecouter sur le wan me fait un peu peur… -
De plus, soucis au niveau des logs de Squid, aucun log ne se fait si on sélectionne le WAN comme interface d'écoute. access.log reste vide. Par conséquent, lightsquid ne voit rien…
Quelqu'un a une solution?Merci
-
Je ne vois aucun intérêt à faire écouter Squid sur l'interface WAN.
Cela ne peut qu'être dangereux …(Je peux présumer que cette fonctionnalité est prévue pour d'autres interfaces ... que WAN.)
-
@jdh:
Je ne vois aucun intérêt à faire écouter Squid sur l'interface WAN.
Cela ne peut qu'être dangereux …(Je peux présumer que cette fonctionnalité est prévue pour d'autres interfaces ... que WAN.)
Ha, OK, merci de la confirmation. Quelle est donc la méthode pour éviter le bypass du portail captif?
Merci
-
C'est assez attristant que vous le preniez comme cela !
Si vous disposez d'un firewall, connecté en direct sur Internet, intégrant Squid, lequel Squid écoute sur l'adresse ip WAN (ip publique), il y a là un grand risque de n'importe quoi.
Je regrette que vous ne compreniez pas le danger !
Et ma remarque ne concernait que cela !Maintenant, comme je n'ai jamais installé un portail captif, il y a peut-être quelque chose qui m'échappe.
Je supposais, naïvement, qu'un portail captif fonctionne de la manière suivante :- quand l'utilisateur est authentifié, les connexions traversant le firewall sont ALORS autorisées.
Par exemple, sur un site d'une fameuse chaîne de gastronomie américaine où on mange vite, j'ai observé que
- il faut commencer par naviguer sur un site quelconque,
- on est renvoyé vers une autre page dont il faut valider le formulaire,
- SANS fermer la fenêtre, on peut ensuite faire autre chose : par exemple ouvrir son client de messagerie.
Donc, naïvement, si une connexion est possible, c'est que le portail est mal configuré ?
-
Effectivement la solution de sayf1987 n'en n'est pas une, même si le pfsense n'est pas directement sur le net.
Quelques pistes :
http://forum.pfsense.org/index.php/topic,13490.0.html et http://forum.pfsense.org/index.php/topic,15571.0.html (en espagnol)
Je n'ai pas testé pour voir si j'avais le même résultat que vous concernant le bypass du portail captif… c'est vrai que c'est un peu embêtant!
En modifiant le port par défaut de squid et en mettant un port farfelu, on doit limiter la casse possible mais c'est vrai que du coup c'est pas possible d'utiliser ça pour un milieu exigent en terme de sécurité. -
Bonjour,
Je suis toujours à la recherche d'une solution propre et fiable pour régler ce problème de bypass de portail captif. J'ai checké les liens données précédemment, mais n'ai pas trouvé de solution. (Pour le lien en espagnol je n'ai cependant pas tout compris)Si quelqu'un à une astuce pour contrer le problème, je suis preneur!
Merci