Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Filtrer HTTPS squid proxy transparent

    Scheduled Pinned Locked Moved Français
    10 Posts 7 Posters 12.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      larsN
      last edited by

      Bonjour,

      J'ai installé pfsense, et je souhaite bloqué https://facebook.com
      Sachant que j'ai déjà le proxy squid pour optimiser la bande passante, j'ai vu qu'il n'est pas possible de bloqué les sites en HTTPS.

      Avez-vous une autre alternative ?

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        La bonne solution consiste à

        • utiliser un proxy pour les proto http et https,
        • bloquer dans le proxy les sites interdits (p.e. avec SquidGuard pour Squid).

        La mauvaise solution consiste à bloquer la communication avec les ip de facebook.
        (Problème auxiliaire : comment déterminer les ip utilisées par facebook ?)

        Où on voit que le proxy transparent est bien moins pratique qu'un proxy dédié !

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          cinoque5
          last edited by

          Peut-on faire un alias  sur pfsense www.facebook.com qui irait chercher l'ip sur un server dns pour éviter de devoir taper toutes les ip de facebook
          et ainsi se passer d'utiliser en plus un proxy ?

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Solution du pauvre :
            Si on fournit le dns au réseau interne, on peut faire une définition (dns) facebook.com -> 127.0.0.1
            (s'applique aussi à un cas de proxy.)

            NB : la loi de 2006 oblige à stocker les url cherchées par les utilisateurs de votre réseau. Ce n'est pas possible SANS proxy.

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • K
              kayas
              last edited by

              On peut aussi faire ça avec le module Squidguard et téléchargeant une blacklist et en cochant les "social network" pour éviter d'aller dessus. Facebook étant le plus connu, il est normal que celui-ci soit bloqué comme twitter et bien d'autres. :)

              1 Reply Last reply Reply Quote 0
              • J
                Jaguy
                last edited by

                Salut.

                Non, squidguard n'y changera rien. N'oublions pas que nous sommes dans le contexte "Proxy transparent" …
                Seul les requêtes sur le port 80 sont redirigées ... donc, comme HTTPS = 443, ça ne filtrera pas.

                Je suis moi même en recherche d'une solution viable pour filtrer les https avec un proxy en mode transparent.

                Pour ceux qui diront: "bennnn, ne le met pas en mode transparent"
                -> Ok pour gérer 5 ordis mais j'en est 150 et j'ai pas envie de me les faire tous surtout qu'ils sont sur des lieux différents ...

                En bref, pas de filtrage https en mode transparent pour l'instant ...  :-[

                1 Reply Last reply Reply Quote 0
                • PARNP
                  PARN
                  last edited by

                  Bonjour à toi,

                  Il faut que tu regardes WPAD : http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

                  Ensuite tu pourras définir les paramatres du proxy en fonction su réseau sur lequel le script est appelé.

                  http://www.linuxreaders.com/2010/01/wpad-file-for-multiple-networks.html#.T-LtuDnIZKQ

                  Par exemple.

                  Pas forcement évident à mettre en place si on a un existant, mais c'est vraiment une bonne solution selon moi, plutôt qu'un proxy transparent.

                  Ça mérite d'y travailler dessus.

                  1 Reply Last reply Reply Quote 0
                  • J
                    Jaguy
                    last edited by

                    Merci pour cette info … le plus dur pour moi va être de trouver un peu de temps pour le mettre en test ... arfff

                    Bye

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Evidemment, qu'il faut pensez à WPAD ! (Bravo à PARN de le rappeler !)

                      Bien sur, il y a un peu de travail (notamment avec les dns Windows !) mais une fois mis en place c'est simple !

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • J
                        Juve
                        last edited by

                        Attention avec le WPAD, firefox et Windows 7 si vous réalisez un contrôle logique en fonction de l'IP du poste client (par exemple tel subnet utilise tel proxy).
                        Cet imbecile de firefox remonte systématiquement l'IP v6 et non v4.

                        De même sir vos DNS internes sont de type Windows 2008 ou supérieur, par défaut wpad est un nom de machine interdit (query blocklist). Il faut suivre cette méthode pour corriger la situation:
                        http://technet.microsoft.com/en-us/library/cc441517.aspx

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.