Port 443



  • Bonsoir.

    Je vais probablement passer pour un demeuré, mais ça fait 3h que je cale sur un problème qui va surement (je l'espère) vous paraître évident.

    Voilà, je monte un proxy sur une base de pfsense, en labo d'essais pour éviter de casser le réseau de mon entreprise, avec 2 interfaces réseau (LAN & WAN).
    Pour l'instant du classique : Squid, Squidguard (avec une blacklist), SARG pour les log…

    Je rencontre deux problèmes. Tout d'abord celui que je ne comprends pas :
    j'active le proxy transparent (sur port 80), je ne change pas de règles de port sur Squid ni sur le firewall de pfsense.

    Mon poste client est monté en série, coté lan, donc je traverse obligatoirement ma passerelle pour aller taper sur le net.

    Si je ne renseigne aucun proxy, j'accède aux sites sur le port 80 (avec une redirection a travers le proxy, puisque si je lance un site de porn je suis bloqué par mon filtrage de blacklist), j'accède aux sites sur port 443 (eux ne sont pas redirigés, donc ils traversent juste le firewall puis atteignent leur cible).

    Là où ça coince, c'est quand je force le proxy dans le navigateur, les sites sur port 80 fonctionnent toujours, par contre les sites en 443 finissent en timeout. Alors ce n'est pas un problème de blacklist sinon j'aurais une erreur et pas un timeout. Je ne pense pas que ça vienne du parefeu, puisque sans renseigner de proxy je peux accéder au site, alors que ma requête doit toujours traverser le parefeu, donc j'en déduis que c'est un blocage en port du proxy, sauf que dans la config par défaut le 443 n'est pas bloqué, donc je cale...

    Ma deuxième problématique, et là c'est plus par méconnaissance de l'interface qu'un problème insoluble, quelle solution pour forcer les utilisateurs à traverser le proxy sur le port 443 ? j'ia regardé du côté du nat mais m'en suis pas sorti :(

    Un grand merci d'avance à qui voudra/pourra m'aider.



  • Hello,

    Donc un proxy Squid en mode transparent ne traitera pas le trafic en 443.

    Je te conseille d'autres part d'utiliser un proxy "a part" du firewall, dans une dmz par exemple.

    Tout ce que tu as besoin est expliqué ici : http://irp.nain-t.net/doku.php/220squid:010_fonctionnement

    Voilà



  • Il y a plusieurs évidences (qu'on ne cesse de rappeler)

    • pfSense est un firewall, pas un proxy
    • un proxy transparent ne s'applique qu'à http=80/tcp (et pas à https)
    • un proxy transparent ne fonctionne pas avec une authentification

    Une bonne architecture serait

    • un proxy traditionnel (= un Squid sur une Debian),
    • WPAD = Web Proxy Auto Discovery,
    • le firewall qui n'autoriserait plus que le proxy à accéder à Internet.

    Cela demande un peu plus de temps mais ça fonctionne bien.

    Merci à PARN pour avoir commencé …



  • Je n'ai jamais dit que je comptais héberger les services de parefeu et de proxy sur la même machine. J'ai un parefeu en amont, et c'est bien un serveur proxy dédié que je cherche.

    Alors pourquoi pfsense ? Parce que je n'ai aucune notion en linux, parce que écrire le fichier de config à la main c'est pas mon truc, et que pfsense propose justement une interface toute adaptée.
    Webmin faisait des choses de ce genre également à l'époque, mais :

    • pfsense est plus intuitif
    • webmin est incompatible avec les dernières versions de squid

    D'autre part, s'il est aussi démoniaque de mettre les services de proxy sur pfsense, pourquoi les développeurs ont-ils prévu le téléchargement, l'installation, et l'interface de config pour squid au sein de pfsense ?



  • D'autre part, s'il est aussi démoniaque de mettre les services de proxy sur pfsense, pourquoi les développeurs ont-ils prévu le téléchargement, l'installation, et l'interface de config pour squid au sein de pfsense ?

    Précisons une chose : pas les développeurs de Pfsense. Ils n'ont rien prévu de tel. C'est quelque chose qui est ajouté par des tiers externes à l’équipe qui développe et maintient Pfsense. Nuance sensible à mon avis.

    Cela dit pour apporter de l'eau à votre moulin, j'ai été tenté par la même approche que je n'ai pas encore repris avec la version actuelle de Pfsense. Toutefois ce n'est pas si simple et peut être même plus compliqué que d'installer une Debian ou Ubuntu LTS et d'y installer Squid.



  • On a déjà écrit que les packages ne sont pas ni la responsabilité de pfSense ni la sécurité.
    Cela dit, les packages bénéficient d'une interface commune agréable, mais cache bien souvent la complexité sous-jacente !
    L'exemple de Squid est frappant puisque la nature de la fonction "proxy" est TRES différente de celle d'un firewall : temps/réactivité contre disque/lenteur/mémoire pour Squid.

    Je ne conteste pas que l'écriture du fichier de conf de Squid demande du temps et de l'expérience.
    Pourtant, c'est là que se fait ou non la réussite !
    On peut d'ailleurs s'inspirer du fichier généré par le package Squid et sa config …
    Il est assez notable qu'un fichier de conf minimum de Squid devrait avoir 20 ou 30 lignes au maxi.

    Je pense, personnellement, que créer un pfSense pour en faire juste un proxy est une erreur.
    Il n'existe pas à ma connaissance de distribution centrée sur le proxy (et c'est regrettable).