Firewall + Proxy = pas bien mais Pfsense juste en proxy = envisageable ?

domelven

Bonjour,

je cherche à remplacer un Ipcop qui faisait office de Firewall + Proxy transparent (une centaine d'utilisateurs, évidemment pas tous simultanés).
L'objectif est d'obtenir les mêmes fonctionalités avec une authentification AD en plus, aussi bien pour les navigateurs dont le proxy est bien configuré (en manuel ou en auto) que pour ceux qui auraient choisi "Pas de proxy".

Je me suis donc intéressé à Pfsense pour tester … avec les résultats suivants :
1.  Pour les clients avec navigateur "bien configurés" (ie avec proxy), squid+squiguard+authentification LDAP fonctionne à merveille.

2.  Pour les clients configurés sans proxy, je rajoute le portail captif+radius. Dans ce cas, il y a bien "autorisation" (ou non) après authentification mais pas de logs des sites visités. Pour cela, il faudrait le portail captif + squid transparent + squidguard, le mode transparent étant en contradiction avec le 1. évoqué ci-dessus.

3. De plus, j'ai bien compris ;-) que Pfsense ne devrait pas servir de proxy...

4. Mais Pfsense propose une interface de configuration de squid-squidgaurd-lightsquid bien pratique...

Compte-tenu de tous ces éléments, la structure suivante, qui fonctionne bien, peut-elle être acceptable/envisageable (notamment le fait d'utiliser Pfsense en proxy seul, firewall ouvert) :

--Pfsense en proxy+ldap seul (firewall tout ouvert)---|
WAN -- Pfsense en firewall -- |                                                                                      |---Routeur----Reseau LAN avec serveur AD
                                              |---Pfsense en portail captif (firewall tout ouvert)-------

Ce sont bien 3 machines Pfsense indépendantes...

Merci pour vos éclaircissements et bonne journée,
Dominique

nouveau dans cette communauté,

jdh

Il ne faut pas être intimidé par l'interface web des packages de pfSense.
Ces packages utilisent l'interface web commune de pfsense pour générer le fichier de conf du service derrière le package.

Aussi, il est bien préférable de mettre en place une machine dédiée à la fonction proxy

• les pré-requis ou ressources nécessaires sont TRES différents entre la fonction firewall et la fonction proxy
• le proxy sera très efficace sans l'interface web assez inutile une fois la config faite.

Rien n'interdit de récupérer la config créée par l'interface web du package pour en faire le fichier de conf du proxy dédié !
Et pour Squid+LightSquid, il n'y a que 2 fichiers de conf (un par produit) !

Bien sur c'est moins automatique de créer son proxy dédié mais il y a quand même pas mal de tuto dispo sur Internet (notamment pour les dépendances nécessaire pour ldap).
Et c'est une bonne satisfaction d'y arriver …

Dans un réseau LAN d'entreprise, le portail captif n'est pas très utile : il l'est pour une borne wifi ouverte aux "invités" sur un réseau (forcément) séparé !
Avec un contexte LAN simple, il est judicieux de penser à utiliser WPAD : les navigateurs seront en "proxy automatique" et ils trouveront le proxy.

domelven

Merci pour cette réponse.

@jdh:

Rien n'interdit de récupérer la config créée par l'interface web du package pour en faire le fichier de conf du proxy dédié !

C'est vrai. Cela permet aussi de le monter rapidement et de s'en inspirer pour la suite.

@jdh:

Dans un réseau LAN d'entreprise, le portail captif n'est pas très utile : il l'est pour une borne wifi ouverte aux "invités" sur un réseau (forcément) séparé !
Avec un contexte LAN simple, il est judicieux de penser à utiliser WPAD : les navigateurs seront en "proxy automatique" et ils trouveront le proxy.

En fait, pour les postes du domaine, pas de souci : ils sont configurés par gpo et les utilisateurs n'ont pas la main. La plupart des postes sont raccordées en filaire mais certaines salles n'étant pas -encore- équipées, des bornes wifi ont été mises en place.
Mais comme il s'agit d'un établissement scolaire, il y a aussi des profs et des élèves qui souhaitent raccorder leur ordi (pour la bonne cause), voire leur téléphone (moins bonne, la cause…). Et la clé WPA n'a pas été secrète longtemps ;-).
Ceci dit, on peut passer le deal suivant : "proxy obligatoire ou pas d'internet". Ce n'est pas choquant.

Concernant Wpad, je l'ai testé et cela fonctionne bien sauf avec Firefox, qui ne reconnait wpad que par la méthode dns. Encore faut-il que la case "détection auto" soit cochée.
Affaire à suivre...

Encore merci,
Dominique

Guest

Bonjour,

Je suis curieux de savoir comment tu as procédé pour la suite.

Tu as utiliser un second pfsense en activant que le proxy ?

Merci de ta réponse.

Tatave

Salut salut

@Cstmarche
Comme vous pouvez le voir le poste de départ est initié avril de cette année pour une personne travaillant dans un établissement scolaire, je ne suis pas sur que cette personne vous réponde avant la rentrée de septembre.

Connaissant le monde scolaire, je suis persuadé qu'après le 15 juillet jusqu'au 15 aout cette personne est ou sera en congés.

Avec cette information la, je ne peux que vous conseiller d'ouvrir un nouveau topique au format de la nouvelle charte.
Ceux d'entre nous qui ne sont pas encore partie ou pas encore sur le point de le faire vous répondrons du moment que vous vous conformer à la charte.
De plus remonter pas des postes trop anciens sur tout pour votre propre usage cela est des plus mal vu quelques soit le forum.

Cordialement.

domelven

Bonjour,

@Tatave:

@Cstmarche
Comme vous pouvez le voir le poste de départ est initié avril de cette année pour une personne travaillant dans un établissement scolaire, je ne suis pas sur que cette personne vous réponde avant la rentrée de septembre.

Connaissant le monde scolaire, je suis persuadé qu'après le 15 juillet jusqu'au 15 aout cette personne est ou sera en congés.

Et pourtant, si ! malgré les congés.  ;)

Concernant l'avancée de ma réflexion, j'ai eu d'autres préoccupations en fin d'année scolaire (ouverture d'un accès fibre, virtualisation des serveurs de l'établissement), lesquels m'ont quelque peu éloigné du projet Proxy/portail captif. Le système Ipcop est donc toujours en place avec proxy authentifiant, logs et leur exploitation avec lighsquid.
La sortie "en direct" sur les ports 80, 21 et 443 est bloquée. Les utilisateurs ont donc deux solutions :

• configurer manuellement leur(s) navigateur(s) .
• cocher la case "détection auto" pour obtenir un config via wpad.
  Celui qui ne veut ou peut pas : pas d'internet (ou en tous cas, pas de manière simple et normale).

En attendant un portail captif, c'est une solution qui donne satisfaction.

J'étudie également la possibilité d'externaliser cette partie filtrage/auth/logs via l'opérateur. Evidemment, cela a un coût mais présente deux avantages :

• aspect technique et équipements gérés par le prestataire
• "transfert" de la responsabilité juridique auprès de ce même prestaire.

Comme mon "vrai" travail, c'est d'abord enseignant ; que je n'ai qu'un petit temps prévu pour la gestion du réseau info ; et qu'on ne peut pas être au four et au moulin (comme disais Desproges…), j'essaie donc de trouver le meilleur compromis avec les contraintes de temps, d'argent et de compétences...

... même pendant l'été.

Bonne continuation,
Dominique

ccnet

• "transfert" de la responsabilité juridique auprès de ce même prestaire.

Surement pas !

domelven

@ccnet:

• "transfert" de la responsabilité juridique auprès de ce même prestaire.

Surement pas !

Excusez-moi, je me suis mal exprimé :

Par "transfert de responsabilité au prestataire", il fallait comprendre que ce serait le prestataire qui assurerait le contenu des blacklists ou du filtrage de contenu, l'authentification, la conservation des logs, conformément à la légistation.
Mais le responsable, aux yeux de la loi, demeure le donneur d'ordres.

Ceci dit, il me semble qu'il y a obligation de moyens, mais pas de résultat.

Bonne journée.

ccnet

De cette façon, je suis d'accord.