Filtrer HTTPS squid proxy transparent



  • Bonjour,

    J'ai installé pfsense, et je souhaite bloqué https://facebook.com
    Sachant que j'ai déjà le proxy squid pour optimiser la bande passante, j'ai vu qu'il n'est pas possible de bloqué les sites en HTTPS.

    Avez-vous une autre alternative ?



  • La bonne solution consiste à

    • utiliser un proxy pour les proto http et https,
    • bloquer dans le proxy les sites interdits (p.e. avec SquidGuard pour Squid).

    La mauvaise solution consiste à bloquer la communication avec les ip de facebook.
    (Problème auxiliaire : comment déterminer les ip utilisées par facebook ?)

    Où on voit que le proxy transparent est bien moins pratique qu'un proxy dédié !



  • Peut-on faire un alias  sur pfsense www.facebook.com qui irait chercher l'ip sur un server dns pour éviter de devoir taper toutes les ip de facebook
    et ainsi se passer d'utiliser en plus un proxy ?



  • Solution du pauvre :
    Si on fournit le dns au réseau interne, on peut faire une définition (dns) facebook.com -> 127.0.0.1
    (s'applique aussi à un cas de proxy.)

    NB : la loi de 2006 oblige à stocker les url cherchées par les utilisateurs de votre réseau. Ce n'est pas possible SANS proxy.



  • On peut aussi faire ça avec le module Squidguard et téléchargeant une blacklist et en cochant les "social network" pour éviter d'aller dessus. Facebook étant le plus connu, il est normal que celui-ci soit bloqué comme twitter et bien d'autres. :)



  • Salut.

    Non, squidguard n'y changera rien. N'oublions pas que nous sommes dans le contexte "Proxy transparent" …
    Seul les requêtes sur le port 80 sont redirigées ... donc, comme HTTPS = 443, ça ne filtrera pas.

    Je suis moi même en recherche d'une solution viable pour filtrer les https avec un proxy en mode transparent.

    Pour ceux qui diront: "bennnn, ne le met pas en mode transparent"
    -> Ok pour gérer 5 ordis mais j'en est 150 et j'ai pas envie de me les faire tous surtout qu'ils sont sur des lieux différents ...

    En bref, pas de filtrage https en mode transparent pour l'instant ...  :-[



  • Bonjour à toi,

    Il faut que tu regardes WPAD : http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

    Ensuite tu pourras définir les paramatres du proxy en fonction su réseau sur lequel le script est appelé.

    http://www.linuxreaders.com/2010/01/wpad-file-for-multiple-networks.html#.T-LtuDnIZKQ

    Par exemple.

    Pas forcement évident à mettre en place si on a un existant, mais c'est vraiment une bonne solution selon moi, plutôt qu'un proxy transparent.

    Ça mérite d'y travailler dessus.



  • Merci pour cette info … le plus dur pour moi va être de trouver un peu de temps pour le mettre en test ... arfff

    Bye



  • Evidemment, qu'il faut pensez à WPAD ! (Bravo à PARN de le rappeler !)

    Bien sur, il y a un peu de travail (notamment avec les dns Windows !) mais une fois mis en place c'est simple !



  • Attention avec le WPAD, firefox et Windows 7 si vous réalisez un contrôle logique en fonction de l'IP du poste client (par exemple tel subnet utilise tel proxy).
    Cet imbecile de firefox remonte systématiquement l'IP v6 et non v4.

    De même sir vos DNS internes sont de type Windows 2008 ou supérieur, par défaut wpad est un nom de machine interdit (query blocklist). Il faut suivre cette méthode pour corriger la situation:
    http://technet.microsoft.com/en-us/library/cc441517.aspx


Locked