Aide pfsense2.2.5



  • Bonjour,
    j'ai besoin d'aide
    voila j'utilise pfsense 2.2.5 avec deux carte réseaux WAN et LAN
    l'interface physique LAN est segmenter virtuellement en 8 sous interface (subinterface) ces 8 subinterfaces sont assigner au 8 vlan chacun avec une adresses réseaux c'est a dire on a créer des vlan sous pfsense
    le problème c'est que lorsque je configure le filtrage WEB via squid et squidguard
    sur un vlan cette configuration s'applique sur tous les vlan
    donc comment faire cette configuration sur quelque vlan et non sur tous les vlan



  • Tu devrais supprimer le message que tu as posté dans le fil "bloquer sites pour école" => il ne sert à rien de poster en double.

    Le fonctionnement que tu rencontres est "normal" dans la mesure ou ton proxy est un service commun à tous ses clients.
    Si tu veux un comportement différent par VLAN, il faut des règles dans Squid qui s'appliquent pour une source que tu définis comme le VLAN en question.

    Je ne sais pas faire ça avec le package Squid intégré à pfSense car je ne l'utilises pas mais les ACL de Squid le permettent.
    La question que je me pose est plutôt: veux-tu faire ça avec Squid (ACL) ou avec SquidGuard (content filtering) ?



  • Fonctionnement normal. Ce n'est pas un problème Pfsense. Encore un exemple où l'inadéquation du proxy sur le firewall est patente. Une configuration avec 8 vlans laisse supposer (supposer seulement) un réseau d'une certaine ampleur. Comme nous n’avons aucune information de contexte difficile de dire plus. Au fait pourquoi 8 Vlans ?



  • salut
    notre établissement contient 8 services (département) c'est pour cela on a créer 8 vlan donc ce que je voulait faire c'est de bloquer des sites sur 3 vlans et les autoriser sur le reste des vlans 
    j'ai utiliser squidguard proxy c'est le meme que proxy filter

    services–---------squidguard proxy---------------------groups acl 
    click sur  +  pour ajouter un group  ( add  a new item)
    on donne un nom au groupe  (champ name )
    on saisie l'adresse réseau du vlan  valn 7 par exemple avec l'adresse 192.168.7.0/24
    sur Target rules list click le bouton vert  la black listes s'affiche on selectionne les sites a bloquer on met deny ----------------save
    enfin sur  General settings-----------------------on click sur Aplly  ----------------save
    SquidGuard service state: STARTED
    ensuite il se desactive tous seul  SquidGuard service state: STOPPED  et ça c'est le problème
    donc est ce qu'il ya une autre configuration a faire
    cordialement



  • donc est ce qu'il ya une autre configuration a faire

    Une configuration de squid (et non squidguard) via des acl. Donc problème sans rapport avec Pfsense mais avec Squid. Dans une telle infrastructure l'utilisation d'un proxy dédié serait le bon sens même. Il n'est même pas certain que le package Squid pour Pfsense permettre de configurer les acl qui sont nécessaires au bon fonctionnement de cette architecture. Etes vous bien certain de l'étanchéité de vos vlans ?



  • @ccnet:

    Une configuration de squid (et non squidguard) via des acl. Donc problème sans rapport avec Pfsense mais avec Squid.
    Dans une telle infrastructure l'utilisation d'un proxy dédié serait le bon sens même. Il n'est même pas certain que le package Squid pour Pfsense permettre de configurer les acl qui sont nécessaires au bon fonctionnement de cette architecture.

    Il est également possible de faire, dans Squidguard, des contrôles qui s'appuient sur l'adresse IP du client.
    http://www.squidguard.org/Doc/extended.html
    et l'interface de l'implémentation pfSense semble le permettre également.

    De mon point de vue, le vrai problème derrière cette approche "par VLAN" est plus lié au fait que le filtrage n'est pas personnalisé. Une personne qui n'a pas accès depuis son VLAN ne peut-elle pas simplement aller se connecter sur le VLAN d'à coté ?

    Une gestion de l'accès web dépendant de l'utilisateur (et donc avec authentification) me semble préférable.



  • Cette dernière remarque va de soi mais notre internaute en a t il conscience ? Sans cela tout ce dispositif est inutile. Et comment est gérée l'affectation d'une machine dans un vlan … Changer de vlan permet à l'utilisateur de s'affranchir du contrôle.



  • Oui nous sommes bien d'accord. la gestion de ce type de personnalisation (profiling) via la mise en oeuvre de VLAN est potentiellement une fausse bonne idée.

    Ceci étant, si les VLAN sont déjà en place et déjà gérés, il est possible de faire quelques trucs au niveau proxy HTTP mais il faut bien en saisir les limitations, ce qui n'est pas toujours évident.



  • Salut mes amis et un grand merci pour ces précieux conseilles
    Voila je crois que j’ai trouvé ou est le problème
    Dans  services–------------------------squidguard proxy ----------general settings
    Sous l’option  Blacklisit options  j’ai  ce message
    Check this option to enable blacklist.            (Option cocher)
    Do NOT enable this on NanoBSD installs!
    J’ai  besoin d’une explication sur ce message  Do NOT enable this on NanoBSD installs  et comment le résoudre
    Cordialement



  • @blbmalek:

    Salut mes amis et un grand merci pour ces précieux conseilles
    Voila je crois que j’ai trouvé ou est le problème
    Dans  services–------------------------squidguard proxy ----------general settings
    Sous l’option  Blacklisit options  j’ai  ce message
    Check this option to enable blacklist.            (Option cocher)
    Do NOT enable this on NanoBSD installs!
    J’ai  besoin d’une explication sur ce message  Do NOT enable this on NanoBSD installs  et comment le résoudre
    Cordialement

    Le moins que l'on puisse dire est qu'il n'y a aucun rapport entre votre problème et ce message purement informatif !
    Il n'y a rien à résoudre. C'est un avertissement qui vous enjoint de ne pas utiliser cette option sur une installation basée Nanobsd. Rien de plus. Nous ne savons pas si c'est votre cas ou non.


Log in to reply