Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Installation de package derriere un proxy

    Français
    7
    17
    10.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gg
      last edited by

      Finally I succeed by tunneling connexion to pfsense.com/80 to an outside PC.

      I used a Linux box, but Putty under Windows should work. I used a PC in another LAN without proxy, but a PC within pfSense LAN may work with more tricks.

      my configuration:

      • a computer with a direct access to internet (behind a firewall is OK)
      • SSH activated on pfSense
      • pfsense is directly accessible to internet (address xx.xx.xx.xx, port 22)

      my rocedure:

      • check the IP address of "pfsense.com", the host that the package manager can't connect to
        $ host pfsense.com
        pfsense.com has address 69.64.6.21
        pfsense.com mail is handled by 10 mail.livebsd.com.
        $ host www.pfsense.com
        www.pfsense.com is an alias for pfsense.com.
        pfsense.com has address 69.64.6.21
        pfsense.com mail is handled by 10 mail.livebsd.com.
      • in pfSense DNS web interface, overload this address by 127.0.0.1:
        go to Services, then DNS, then add a host definition
        Host www
        Domain pfsense.com
        IP 127.0.0.1
      • Connect to pfSense via SSH and forward port
        $ ssh root@xx.xx.xx.xx -R 80:69.64.6.21:80
      • that's all ; don't forget to undo when no more need

      my results:

      • vnstat package installs
      • squid package fails (connexion to other web site, need more tricks)
      1 Reply Last reply Reply Quote 0
      • Y
        Yoc
        last edited by

        Ta question n'est pas si absurde que ça… J'utilise moi-même pfsense derrière un proxy. C'était le but, pour contourner le proxy pour mes machines qui sont bloquées derrière justement.

        Internet--------Proxy-------pfsense-------PS3-MacBookPro-iPod....

        En fait j'ai configuré un client openvpn sur pfsense (qui lui gère les proxy, tiens étrange pour une configuration qui n'est pas faite pour) pour qu'il se connecte à un serveur openvpn extérieur, du coup, tous mes périphériques accèdent à ce qu'ils veulent en terme de sites et ports réseaux, alors que le proxy n'accepte que le 80 et 443 et me bloque Facebook et autres youtube.

        Donc pfsense derrière un proxy, dans certaines configurations ce n'est pas du tout une hérésie !

        Pour le pb d'installation des packages, du coup chez moi pas de soucis puisqu'OpenVPN bypass le proxy. Sache qu'il existe des serveurs OpenVPN gratuits qui souvent ne donnent accès qu'au web et sont limités en bande passante mais dans ton cas ça serait parfait. PM moi si tu veux un nom. Ca revient un peu au même que ton tunnel SSH mais ça évite d'avoir à configurer une machine extérieur.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Ou comment "ce n'est pas une hérésie" de contourner la politique de sécurité de l'organisation à laquelle on appartient.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            (Encore une fois, ccnet donne le ton juste !)

            Est ce bien responsable de donner une recette pratique de contournement d'une stratégie réseau ?

            Il est notable que cette recette ne repose que sur un contrôle absent : si le proxy est configuré pour refuser au pfSense d'établir son tunnel, cela ne fonctionne plus !
            Or, il est vraisemblable que, dans un réseau sérieusement managé,

            • on fournit des adresses ip fixes à telle ou telle machine, y compris via DHCP,
            • on regarde le volume transféré via un proxy, donc pour telle ou telle machine,
            • on blackliste certains sites pour des raisons de sécurité (des sites OpenVPN y sont vraisemblablement répertoriés),
            • on blackliste manuellement ce qu'on veut,
            • il existe des logiciels (très simples) permettant de détecter l'usurpation d'adresse ip.

            Il n'empêche, pfSense est conçu pour être connecté à Internet soit directement soit par VPN, et récupère ses paquets sans passer par un proxy.

            Même s'il est assez incongru de passer par un proxy (puisque ce n'est pas prévu pour), la piste que j'indique n'est pas forcément difficile …

            On peut imaginer que le sujet initial est le test de pfSense et sans maitrise du firewall. C'est déjà un peu scabreux.
            Alors mentionner un contournement encore plus scabreux parait déplacé ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • Y
              Yoc
              last edited by

              Va tenir ce discours aux millions de chinois qui utilisent des accès OpenVPN  ;D
              Et je ne parle pas des tunisiens qui les utilisaient en masse avant la révolte…

              Pour tout te dire, je vis sur mon lieu de travail (pas d'ADSL possible) et le proxy n'est là que pour limiter les accès à internet pour les gens qui bossent. L'orque je rentre chez moi, je suis content de pouvoir être libre de l'utilisation d'Internet. Passant par un VPN, je prend la responsabilité de l'information qui circule et cela ne dérange personne (c'est le soir, la nuit, le week-end).
              Si l'administrateur réseau ne s'est pas donné les moyens de détecter les VPN (Application Firewall, surveillance de la bande passante...) c'est que leur utilisation de le dérange pas. Et je sais être raisonnable et je ne fais pas non plus n'importe quoi. Tout ce que je demande c'est de pouvoir mettre à jour mon statut Facebook avant d'aller me coucher.

              Bref, je voulais simplement apporter mon expérience de mon utilisation de pfsense, si elle ne vous convient pas, vous n'avez qu'à empêcher les gens de télécharger l'iso depuis les IP qui sont derrière des proxy  :P

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                @Yoc:

                Va tenir ce discours aux millions de chinois qui utilisent des accès OpenVPN  ;D
                Et je ne parle pas des tunisiens qui les utilisaient en masse avant la révolte…

                Tenons nous en aux faits. Nous sommes en France.

                Pour tout te dire, je vis sur mon lieu de travail (pas d'ADSL possible) et le proxy n'est là que pour limiter les accès à internet pour les gens qui bossent. L'orque je rentre chez moi, je suis content de pouvoir être libre de l'utilisation d'Internet. Passant par un VPN, je prend la responsabilité de l'information qui circule et cela ne dérange personne (c'est le soir, la nuit, le week-end).

                Si l"accès à internet est prévu dans ces conditions il y a sans doute une raison. Bonnes ou mauvaises ces raisons sont le reflet d'un politique de sécurité à laquelle vous contrevenez.
                Vous ne prenez la responsabilité de rien du tout. Votre employeur vous a til fait signer un document dans ce sens : vous autorisant sous votre responsabilité à agir ainsi ? Il semble que non. Votre employeur est donc pénalement responsable de l'usage que vous faite d'internet.

                Si l'administrateur réseau ne s'est pas donné les moyens de détecter les VPN (Application Firewall, surveillance de la bande passante…) c'est que leur utilisation de le dérange pas. Et je sais être raisonnable et je ne fais pas non plus n'importe quoi. Tout ce que je demande c'est de pouvoir mettre à jour mon statut Facebook avant d'aller me coucher.

                C'est vous qui le dites que vous ne dérangé personne. Même si l'administrateur n'a pas connaissance de vos agissements, rien n'indique qu'il les approuve. Compte tenu des dispositions existantes, j'ai toutes les raisons de croire le contraire. La négligence éventuelle de l'administrateur ne peut être tenu pour une acceptation du contournement de la politique de sécurité.

                Bref, je voulais simplement apporter mon expérience de mon utilisation de pfsense, si elle ne vous convient pas, vous n'avez qu'à empêcher les gens de télécharger l'iso depuis les IP qui sont derrière des proxy  :P

                Je n'ai ni le pouvoir, ni l'envie d'agir de la sorte. L'utilisation faite de Pfsense n'a pas à me convenir ou pas. Je suis simplement partisan du respect des politiques de sécurité des organisations dont chacun de nous peut être un collaborateur. Lorsque je me rend chez un client dont la politique de sécurité est gênante pour la mission que j'ai en charge, je m'en explique avec lui pour trouver des solutions. Je ne commence pas par tenter de contourner cette politique de sécurité.

                Je me doute que n'avez que faire de ces commentaires, puisque l'essentiel est de dormir tranquille avec un profil Facebook à jour. Je m'adresse plutôt aux administrateur et personnes en charge de politiques de sécurité pour faire sentir la distinction entre l'intérêt privé et aveugle d'un individu et les besoins, contraintes de l'organisation. Ce faisant il ont une idée des risques internes qui existent.

                1 Reply Last reply Reply Quote 0
                • T
                  titofe
                  last edited by

                  +1

                  1 Reply Last reply Reply Quote 0
                  • Z
                    Zigouigoui
                    last edited by

                    Si tu veux vraiment installer certains packages, le plus simple est de connecter ton pfsense directement a internet … tu le passeras ensuite en prod derrière ton proxy.

                    Plug le discretos dans un cyber café ! :D

                    1 Reply Last reply Reply Quote 0
                    • T
                      tugs
                      last edited by

                      Bonjour à tous,

                      je me posais exactement la même question que ce jeune homme et quelle ne fut pas ma surprise quand j'ai lu les commentaires. A croire que la quasi-totalité des protagonistes ayant répondus qu'on ne met pas un Firewall n'ayant pas accès à internet n'ont jamais passés le palier de la PME…. (et certains ont même abusé des métaphores, vraiment n'importe quoi le coup du steak ^^)

                      Chez les client avec des grosses infrastructures, il n'est pas rare (vraiment pas rare puisque ca concerne au moins 20 de mes clients) d'avoir plusieurs couches de zones de sécurité spécialisées (zone de rupture protocolaire, zone de comptes, zone de services) . On trouve parfois 3 couches de firewalling. Après on peut discuter pendant des lustres de l'organisation d'un réseau, mais après 14 ans de consulting, vous allez pas me la faire à l'envers :p

                      Certes on utilise pas de pfSense dans ces infras, mais ce n'est pas le sujet. le sujet étant, on peut avoir un Firewall qui n'a pas accès à Internet (heureusement en termes de sécurité).

                      Peu importe.

                      Je suis confronté à un autre cas, une infrastructure ESX de maquette avec un Firewall pfSense (c'est pas cher à virtualiser), sur laquelle j'ai besoin de récupérer des packages :/ . Comme quoi, encore un cas ou on a ce besoin fonctionnel.

                      Donc, je m'en vais chercher ailleurs :D . mais bien que ce topic date un peu, je tenais à rassurer le pauvre gars qui a posé la question, qu'elle est loin d'être bête, que ca arrive, même dans la vrai vie, et qu'il ne faut pas écouter les détracteurs surtout quand leurs compétences ne dépassent pas le réseau du lycée ;)

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh
                        last edited by

                        Il est établi que

                        • pfSense est conçu pour downloader ses packages "en direct" sur Internet,
                        • si pfSense est derrière un proxy, il n'est pas "en direct",
                        • il n'y a nul part une zone de saisie pour spécifier un proxy pour downloader les packages.

                        (C'est comme cela)

                        Puisque vous êtes si fort Monsieur tugs,
                        pourquoi ne proposez vous pas votre aide pour ajouter cette zone de saisie d'un proxy pour le download des packages ?
                        (A moins que ce soit de la provocation ?)

                        L'analogie avec un marteau pour des vis ou un congélateur pour cuire un steack n'est là que pour faire comprendre que, ce qui est logique, c'est d'utiliser les bons outils.
                        Il est établi qu'utiliser l'outil adapté est toujours plus efficace que de bricoler.

                        Par ailleurs, il est à noter que les packages ne sont que des compléments, pas forcément utiles (et sans garantie) à l'activité de firewall proprement dit : pfSense dispose nativement de ce qu'on peut attendre pour un firewall dans sa fonction native de filtrage de flux.

                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.