Hotspot Wifi

sapeurorca

Bonjour,

Je suis en train de travailler sur un projet de mise en place d'un hotspot Wifi pour une salle des fêtes. Actuellement rien n'est présent sauf une Livebox pour l’accès internet, je doit donc tout mettre en place.

• Nombre d'utilisateur connecté : environs 20 (peut être 30 - 40 lors de fête)
• Besoin : - Firewall avec filtrage web
                - Enregistrement des logs
                - Portail captif

https://drive.google.com/open?id=0B_YAwbz00wonYW1wT0NtY3RLMWs&authuser=0

Ne connaissant pas du tout Pfsense mais ayant vu plusieurs topic, je pensait mettre en place Pfsense avec son package Squid pour l'enregistrement des logs.

• Pensez vous que mon raisonnement et mon schéma soit bon ?
• Ayant que 20 utilisateurs environs de connecté, est-il correct de mettre le Proxy et le Firewall ensemble ?
• Concernant la liste noir pour le filtrage web, comment est-il possible de récupérer une liste d'une école et de la mettre sur pfsense ?

Merci beaucoup pour votre aide.

PS: Excusez moi concernant les fautes d'orthographes.

ccnet

Ne connaissant pas du tout Pfsense mais ayant vu plusieurs topic, je pensait mettre en place Pfsense avec son package Squid pour l'enregistrement des logs.

• Pensez vous que mon raisonnement et mon schéma soit bon ?

Sur l'idée de contrôler l'accès via un portail captif et de contr^ler les contenus accessible avec un proxy, l"idée est correcte. La mise en œuvre proposée ne l'est pas.

• Ayant que 20 utilisateurs environs de connecté, est-il correct de mettre le Proxy et le Firewall ensemble ?

Non

• Concernant la liste noir pour le filtrage web, comment est-il possible de récupérer une liste d'une école et de la mettre sur pfsense ?

Je ne comprend pas ce que vous voulez dire.

Talwyn

@ccnet:

• Concernant la liste noir pour le filtrage web, comment est-il possible de récupérer une liste d'une école et de la mettre sur pfsense ?

Je ne comprend pas ce que vous voulez dire.

Je pense qu'il parle de ceci : ftp://ftp.univ-tlse1.fr/pub/contrib_ut1/blacklists/blacklists_for_pfsense.tar.gz

sapeurorca

Merci beaucoup pour le lien de la blacklist for pfsense c'est exactement ça que je recherchait.

"

Sur l'idée de contrôler l'accès via un portail captif et de contr^ler les contenus accessible avec un proxy, l"idée est correcte. La mise en œuvre proposée ne l'est pas.

Si la mise en oeuvre proposé ne l'est pas, comment doit-je procédé ? qu'es ce qui n'est pas bon dans la mise en oeuvre ?

Merci

baalserv

@sapeurorca:

Merci beaucoup pour le lien de la blacklist for pfsense c'est exactement ça que je recherchait.

"

Sur l'idée de contrôler l'accès via un portail captif et de contr^ler les contenus accessible avec un proxy, l"idée est correcte. La mise en œuvre proposée ne l'est pas.

Si la mise en oeuvre proposé ne l'est pas, comment doit-je procédé ? qu'es ce qui n'est pas bon dans la mise en oeuvre ?

Merci

La place du portail captif EST sur le firewall
La place du proxy n'EST PAS sur le firewall

cdt

ccnet

Précisons qu'il s'agit de la blacklist de Squid et non de Pfsense.
Le proxy, Squid, devrait être sur une machine séparée. Nous avons déjà expliqué maintes fois pourquoi.

sapeurorca

Oui ça j'avais déjà vue. Mais comme c'est un simple Hotspot Wifi avec à peine 20 utilisateurs de connecté 1 à 2 fois par mois et que rien d'autre n'est connecté sur le réseau je vais d'abord essayer en regroupant le tout.

Merci beaucoup à tous pour vos informations et surtout pour la blacklist.

Florian22

slt

moi je trouve que ca rame vachement la blacklist par proxy

en plus c est vachement contournable !

pourquoi ne pas implementer Opendns et restreindre le DNS coté LAN?

basta ;)

sapeurorca

@Florian22:

pourquoi ne pas implementer Opendns et restreindre le DNS coté LAN?

Tu parle de faire un peu comme une blacklist DNS ?

Merci beaucoup pour ces tuyaux.

jdh

Je conteste formellement l'avis de Florian22 sur SquidGuard.

SquidGuard est l'addons de filtrage d'url le plus rapide :

• il y en a d'autres, et ils sont même indiqués sur le site de SquidGuard
• SquidGuard est très très rapide : la liste 'adult' de la blacklist de Toulouse c'est plus d'1 million de lignes, et cela prend moins d'1 seconde à tester !

Florian22

@jdh

je ne te met pas en doute

moi j avais fait un essai sur un serveur (plutot bon hardware)

sur un réseau d'une 30e d'appareils, avec 2-3 millions de lignes..

ca ramait un max..  (au niveau proxy)

si je proposais cette solution, c'est aussi pour dire que gerer une blacklist n'est pas son taf et est assez penible
l'empoisonnement de DNS par un tiers répondant bien a cette problématique a mon avis, tout en préservant le travail du proxy

qu en penses tu?

Florian22

@sapeurorca:

@Florian22:

pourquoi ne pas implementer Opendns et restreindre le DNS coté LAN?

Tu parle de faire un peu comme une blacklist DNS ?

Merci beaucoup pour ces tuyaux.

OUI, c'est un impoisonnement, pour tous les sites de thematiques a bloquer, les dns envoie une ip "frauduleuse"

c'est transverse niveau protocolaire (contrairement au proxy)