Pfsense et Filtrage Web



  • Bonjour à tous

    Je viens vers vous pour requérir vos conseils et vos expériences, pour ne pas me tromper et me mettre dans une situation bancale et me mettre dans le mur ( et venir crier au secours sur le forum … ;P )

    Donc ma question quelle est pour vous la bonne pratique avec un pfsense de mettre en place dans une TPE (30-40 postes) un filtrage web pour empêcher tout abus légal et de bon sens sur l'utilisation d'internet.

    J'ai pas mal parcouru le forum et google, et je doit dire que l'on trouve tout d'un extrême a l'autre. et faire le tri deviens difficile ...

    Merci pour vos conseil

    Cordialement

    Benjamin



  • Si j'ai bien compris ce que vous attendez d'un filtrage web, c'est essentiellement la navigation des utilisateurs qui est concernée, pour mettre en œuvre les dispositions d'une indispensable charte utilisateurs. Si tel est le cas, un proxy avec quelques composants complémentaires devrait rendre le service souhaité. Tout cela n'est que supposition de ma part.

    La démarche adaptée :
    Commencez par bien définir le besoin en termes fonctionnels (et non de solutions techniques) puis les services attendus. Enfin vous pourrez déterminer une solution avec ses aspects techniques (par exemple proxy) et organisationnels (par exemple charte utilisateurs).



  • Merci

    L'idée est de mettre en place un filtrage pour protéger la société d'un mauvaise utilisation d'internet (Blocage de certaines catégories de sites via liste type "Toulouse" en http et https en transparent)

    Je pensais donc un pfsense et un squid en parallèle, mais pour des raisons de coup pour les TPE un squid en package serait pas mal (bien que je préfère un deuxième équipement) ainsi qu'un stokage des log.

    Merci pour vos conseils



  • J'ai pas mal parcouru le forum

    Non, non : il y a eu BEAUCOUP de débat (et pas toujours avec l'esprit scientifique nécessaire), et il est clair qu'à partir d'un certain volume, il FAUT un proxy dédié (=distinct de pfSense). Par exemple, dans votre cas, 30-40 utilisateurs justifie d'un serveur dédié.

    Regardez juste vos conditions :

    • blacklist (de Toulouse)
    • whitelist spécifique
    • stockage des logs
      Ces conditions militent pour un proxy dédié !


  • Eventuellement, a partir de combien d'utilisateur il est Nécessaire de basculer vers un proxy dédié…

    Grande question ... ;P

    Merci



  • Quelques éléments de réponse:

    • le proxy en mode transparent ne fonctionne basiquement que si celui-ci est la passerelle par défaut (donc dans ton cas = pfSense)

    • le proxy en mode transparent ne sait pas faire de filtrage sur les URL pour HTTPS

    • de mon point de vue, le problème de charge n'est qu'une problématique d'adéquation entre la charge visée et la capacité de la machine. Sur une machine multi-coeur un peu moderne, tu peux facilement accepter la charge de 30 à 40 utilisateurs sur les aspects filtrage uniquement. C'est un peu plus compliqué pour le cache mais rien d'insurmontable, surtout que compte tenu de la nature de plus en plus dynamique du web, le cache est peu utile

    • le vrai soucis se situe au niveau du package Squid pour pfSense: c'est un package, donc pas forcément maintenu en ligne avec pfSense. La version actuellement dispo avec pfSense 2.2 rencontre plein de problèmes. Je te suggère l'aller lire le forum en anglais à ce sujet.

    • tu auras beaucoup plus de souplesse et de latitude de réglage avec un proxy en dehors de pfSense, en mode explicite et non pas transparent, quitte à déployer WPAD  ;)



  • Voilà l'exemple type de discours qui embrouille : "il est possible de mettre sur pfsense" puis "il vaudrait mieux le mettre ailleurs" …
    Dommage, il y a une réponse qui convient à 99% des cas ...

    A partir de 15-20 utilisateurs, je dis et répète qu'il FAUT avoir un proxy interne. Ce sera BIEN mieux pour PLEIN de raisons : fiabilité, hardware moins puissant pour le firewall, stockage des logs, facilité d'ajouter des blacklist, des whitelist, visu des logs, ...

    Si on a de la virtualisation en interne, il est évident et très facile de créer un proxy dédié.
    Si on a pas de virtualisation, il est moins évident de consacrer un PC mais à partir de 40 utilisateurs, je peux supposer que la virtualisation va arriver : il faut juste s'y mettre.

    Bien sur que cela demande du temps de créer son proxy mais il faut bien réfléchir : c'est un investissement et même excellent !



  • Merci pour ces conseils

    Je vais probablement poser une question bête …

    Comment faire pour empêcher l’accès au web si le proxy n'est pas configurer dans le PC. (avec Pfsense et un SQUID en paralelle)

    Merci d'avance

    @+

    Benjamin



  • @jdh:

    Voilà l'exemple type de discours qui embrouille : "il est possible de mettre sur pfsense" puis "il vaudrait mieux le mettre ailleurs" …
    Dommage, il y a une réponse qui convient à 99% des cas ...

    J'espère que tu es le seul a être embrouillé  :-[

    Il est évident que nous n'avons pas la même approche dans la manière d'expliquer (ou pas) les choses  ;)

    [quote author=ben.lgrs]Comment faire pour empêcher l’accès au web si le proxy n'est pas configurer dans le PC. (avec Pfsense et un SQUID en paralelle)

    Simplement en mettant une règle sur le firewall qui n'autorise les flux sortants à destination des ports HTTP (80, 443 et peut-être quelques autres comme 8080) que depuis l'adresse IP source correspondant à celle de ton proxy. De cette manière, les clients qui ne passent pas par le proxy seront bloqués par le firewall.
    L'idée est de dire:

    • les flux sortants depuis le proxy vers les ports "destination" 80 et 443 sont autorisés
    • les flux sortant depuis xxx vers yyy sont autorisés (mettre ici les autres règles dont tu peux avoir besoin comme par exemple du mail, FTP ou autre)
    • tout est interdit  (cet dernière règle va interdire tout ce qui n'est pas expressément autorisé)


  • Merci pour les réponses

    Oui effectivement la multitude de réponse que l'on trouve sur squid en package sur pfsense est … :-[

    Je pense que je vais m'orienter vers d'autre produit pour des petites installation 5-10 Utilisateurs. (Type Fortigate) car au niveau investissement pour le client la facture peux rapidement devenir lourde en matériel et en heures. pour un "simple" blocage de site.

    Merci Chris4916 pour la précision de la configuration avec le proxy

    Bonne Journée

    @+

    Benjamin



    • les versions précédentes de Zentyal répondaient plutôt bien à ton besoin. Ce n'est actuellement plus le cas en 4.1 mais si tu trouves une version < 4.1, ça le fait.
    • il existe des solutions comme ClearOS, NethServer ou SME qui devraient te convenir


  • Merci pour ces conseils

    @+


Log in to reply