Portail captif & porxy transparent c'est possible ?
-
Bonjour,
Voila je suis en réflexion sur la sécurité de notre groupe.
Je suis en période de tests car rien ne presse, donc j'exploite toutes les solutions possibles.Le plus important pour nous, c'est la notion de navigation web sécurisé, à savoir :
Une authentification obligatoire pour surfer sur internet
Un compte VIP qui accède à vraiment tout
Un compte INTERNET qui accède uniquement à une liste blanche1. J'ai commencé par mettre en place un pfsense (pour le firewall), et un proxy externe pour la navigation web.
Cette solution fonctionne, mais obligé de configurer un proxy dans IE et Firefox, et si un malin me déccoche la case, il fait ce qu'il veut sur le net.2. J'ai installé squid sur pfsense avec identification locale (un compte VIP et un INTERNET), mais même problème, le proxy n'est plus transparent.
3. J'ai installé le portail captif avec 2 utilisateurs, mais impossible de faire du filtrage URL avec cette fonctionnalité.
Je vois donc une solution qui me parait parfaite, mais dont je ne suis vraiment pas sûr de la faisabilité :
Mettre en relation le portail captif et squid pour répondre à ma problématique.
Pour cela, il faut que le portail captif redirige vers le proxy avec le login et mot de passe entré dans le portail captif.Cela vous parail il possible ?
-
Pour la réponse générale, je ne sais pas mais pour le point 1 que tu expose, si ton petit malin décoche la case, il n'aura accés à rien puisque tu n'auras autorisé le web que depuis ma machine proxy … Comme ça, si pas de proxy renseigné, pas de web !!
Pour le reste, désolé mais j'ai pas de réponse ...
-
Il est évident que la réponse de Mister_Magoo est très juste :
=> si on créé un proxy qui va être l'intermédiaire de tous les PC, il ne peut être logique qu'ALORS on ne doit autoriser QUE le proxy à accéder à internet.
Par ailleurs, je considère, et ne suis pas le seul, qu'à partir de 10 utilisateurs, il FAUT mettre en place un proxy dédié à ce boulot.
Un proxy, c'est- Squid pour le cache,
- SquidGuard pour le filtrage d'URL,
- une authentification éventuelle,
- une application de visualisation des logs de navigation (type LightSquid),
- quelques scripts pour récupérer une blacklist.
Il ne faut pas se méprendre : l'interface de Squid sert juste à créer UN fichier de conf (squid.conf), de même que l'interface de SquidGuard créé juste UN fichier de conf (squidGuard.conf). Ni plus ni moins !
Avec un peu de perspicacité, on peut se servir de l'interface d'un pfSense et de ces modules pour déduire un bon paramétrage … si on répugne à simplement lire soit les sites de Squid et SquidGuard soit un fichier de conf modèle (celui de Debian par exemple).La mise en place d'un proxy est juste un peu technique mais sans grande difficulté.
Par ailleurs, si on mixe les mots "proxy" et "automatique", on peut tomber sur des choses intéressantes ...
-
Salut Bezourox,
J'ai un peu le même souci que toi et je voulais savoir si tu avais trouver un moyen pour faire ça :
Pour cela, il faut que le portail captif redirige vers le proxy avec le login et mot de passe entré dans le portail captif.
Merci.
