Proxy HTTP seul
-
Bonjour,
Dans ma boite, nous avons une solution firewall intégrant un proxy http. Il se trouve que ce dernier ne m'apporte pas satisfaction.
Question: est-il possible d'installer pfSense mais de n'activer que la partie proxy http (Squid+Squiguard si j'ai bien compris) afin de remplacer mon proxy actuel ?
En quelque sorte, déléguer le filtrage web (et seulement lui dans un premier temps) à pfSense.Si c'est faisable, pourriez-vous juste m'indiquer (dans les grandes lignes) comment et à quel endroit activer cette option et/ou désactiver les autres ?
Pour l'instant, je n'ai pas encore téléchargé pfSense, je viens juste aux nouvelles si je puis dire :)Merci d'avance.
-
A mon avis ça ne présente aucun intérêt.
Autant je peux comprendre quelqu'un qui voudrait cumuler, sous certaines conditions, certains services avec le firewall, autant je ne comprends pas la démarche qui consiste à prendre une solution qui est principalement un firewall pour y ajouter des services annexes et n'utiliser que ceux-ci.
-
En complément de mon point précédent:
- il est probablement intéressant, en dehors du cadre de pfSense, de comprendre en quoi un proxy supplémentaire va corriger le problème auquel tu fais face.
Dans la situation actuelle, si tu ajoutes un proxy, celui-ci va se superposer au proxy existant sur la gateway. Soit celui-ci fonctionne en mode transparent soit de manière explicite mais dans tous les cas, il est probable que l'administrateur du proxy, si ce n'est pas toi, ne t'autorisera pas à contourner celui-ci.
Au mieux c'est un proxy explicite qu'il te faudrait déclarer comme proxy chaîné dans ta conf Squid.
Quel serait, selon toi, l'avantage d'utiliser la vers pfSense de Squid plutôt qu'une installation standalone ?
-
Merci Chris.
Dans ma question, je parle bien de remplacer mon proxy HTTP actuel par celui de pfSense. Les 2 ne vont donc pas se superposer, ce qui serait en effet complètement absurde.
En supposant donc que je désactive le proxy http intégré à mon boitier UTM actuel, j'ai le choix de le remplacer par une installation Squid+Squidguard en stand-alone sur une VM ou par le module équivalent dans pfSense dont j'ai souvent entendu parler et qui m'a l'air pas mal.
Voilà donc le contexte de ma démarche.
Quant à savoir pourquoi mon proxy HTTP actuel ne me satisfait pas, j'ai retrouvé avec surprise quelques-unes des raisons dans le débat du post intitulé "Pourquoi pas de proxy sur le firewall" que j'ai vu après avoir mis mon message.
Cela me conforte de savoir que d'autres pensent aussi que la fonction proxy HTTP doit être séparée du Firewalling stricto censu, tant pour des raisons de sécurité que de performance. Mais je m'éloigne déja… -
Il est clair pour tous qu'un design avec un proxy ailleurs que sur le firewall présente plein d'avantages. C'est le meilleur choix en terme de design pour la grande majorité des déploiements.
La cascade de proxy n'est pas nécessairement un mauvais choix technique mais probablement pas opportun dans ta situation.
Pour en revenir au proxy de pfSense, ce n'est, selon le package que tu choisis, ni plus ni moins de Squid + Squidguard ou Dansguardian.
Faire le choix de la version "pfSense" n'apporte rien, de mon point de vue, hormis des problèmes potentiels liés au support moindre des packages. Si l'objectif est de disposer d'une interface graphique (ce qui, à mon avis, pour le proxy, ne s'impose pas) alors tu peux obtenir un meilleur résultat avec une interface de type webmin
-
Merci Chris, voila qui a le mérite d'être clair.
Je projetais en effet de monter une instance Squid en stand-alone mais je voulais au préalable m'assurer de ne pas louper quelque chose avec pfSense dont on m'avait dit le plus grand bien.
Ta réponse lève le doute, je peux donc y aller sans regrets.En plus, vu la lente évolution de SquidGuard ces dernières années, je pense me diriger plutôt vers ufdbGuard si mes tests confirment ce qu'on en dit sur le papier. A voir donc.
Merci encore de ton éclairage et bonne continuation ;)
-
J'ai dans le passé fait des test de ce type, c'est à dire utiliser Pfsense comme base pour des appliances en tout genre, étant entendu que cela restait séparé du firewall. Cela peut fonctionner et fonctionne.
Néanmoins on est dans cette situation un peu bancale lié à la pratique des packages sur Pfsense et a tout ce que cela implique.
Finalement le Squid à "l'ancienne" convient bien. Je suis sur la même ligne que Chris4916. Ce qui permet aussi d'utiliser autre chose que Squid pourquoi pas.