Aide pfsense2.2.5
-
Bonjour,
j'ai besoin d'aide
voila j'utilise pfsense 2.2.5 avec deux carte réseaux WAN et LAN
l'interface physique LAN est segmenter virtuellement en 8 sous interface (subinterface) ces 8 subinterfaces sont assigner au 8 vlan chacun avec une adresses réseaux c'est a dire on a créer des vlan sous pfsense
le problème c'est que lorsque je configure le filtrage WEB via squid et squidguard
sur un vlan cette configuration s'applique sur tous les vlan
donc comment faire cette configuration sur quelque vlan et non sur tous les vlan -
Tu devrais supprimer le message que tu as posté dans le fil "bloquer sites pour école" => il ne sert à rien de poster en double.
Le fonctionnement que tu rencontres est "normal" dans la mesure ou ton proxy est un service commun à tous ses clients.
Si tu veux un comportement différent par VLAN, il faut des règles dans Squid qui s'appliquent pour une source que tu définis comme le VLAN en question.Je ne sais pas faire ça avec le package Squid intégré à pfSense car je ne l'utilises pas mais les ACL de Squid le permettent.
La question que je me pose est plutôt: veux-tu faire ça avec Squid (ACL) ou avec SquidGuard (content filtering) ? -
Fonctionnement normal. Ce n'est pas un problème Pfsense. Encore un exemple où l'inadéquation du proxy sur le firewall est patente. Une configuration avec 8 vlans laisse supposer (supposer seulement) un réseau d'une certaine ampleur. Comme nous n’avons aucune information de contexte difficile de dire plus. Au fait pourquoi 8 Vlans ?
-
salut
notre établissement contient 8 services (département) c'est pour cela on a créer 8 vlan donc ce que je voulait faire c'est de bloquer des sites sur 3 vlans et les autoriser sur le reste des vlans
j'ai utiliser squidguard proxy c'est le meme que proxy filterservices–---------squidguard proxy---------------------groups acl
click sur + pour ajouter un group ( add a new item)
on donne un nom au groupe (champ name )
on saisie l'adresse réseau du vlan valn 7 par exemple avec l'adresse 192.168.7.0/24
sur Target rules list click le bouton vert la black listes s'affiche on selectionne les sites a bloquer on met deny ----------------save
enfin sur General settings-----------------------on click sur Aplly ----------------save
SquidGuard service state: STARTED
ensuite il se desactive tous seul SquidGuard service state: STOPPED et ça c'est le problème
donc est ce qu'il ya une autre configuration a faire
cordialement -
donc est ce qu'il ya une autre configuration a faire
Une configuration de squid (et non squidguard) via des acl. Donc problème sans rapport avec Pfsense mais avec Squid. Dans une telle infrastructure l'utilisation d'un proxy dédié serait le bon sens même. Il n'est même pas certain que le package Squid pour Pfsense permettre de configurer les acl qui sont nécessaires au bon fonctionnement de cette architecture. Etes vous bien certain de l'étanchéité de vos vlans ?
-
Une configuration de squid (et non squidguard) via des acl. Donc problème sans rapport avec Pfsense mais avec Squid.
Dans une telle infrastructure l'utilisation d'un proxy dédié serait le bon sens même. Il n'est même pas certain que le package Squid pour Pfsense permettre de configurer les acl qui sont nécessaires au bon fonctionnement de cette architecture.Il est également possible de faire, dans Squidguard, des contrôles qui s'appuient sur l'adresse IP du client.
http://www.squidguard.org/Doc/extended.html
et l'interface de l'implémentation pfSense semble le permettre également.De mon point de vue, le vrai problème derrière cette approche "par VLAN" est plus lié au fait que le filtrage n'est pas personnalisé. Une personne qui n'a pas accès depuis son VLAN ne peut-elle pas simplement aller se connecter sur le VLAN d'à coté ?
Une gestion de l'accès web dépendant de l'utilisateur (et donc avec authentification) me semble préférable.
-
Cette dernière remarque va de soi mais notre internaute en a t il conscience ? Sans cela tout ce dispositif est inutile. Et comment est gérée l'affectation d'une machine dans un vlan … Changer de vlan permet à l'utilisateur de s'affranchir du contrôle.
-
Oui nous sommes bien d'accord. la gestion de ce type de personnalisation (profiling) via la mise en oeuvre de VLAN est potentiellement une fausse bonne idée.
Ceci étant, si les VLAN sont déjà en place et déjà gérés, il est possible de faire quelques trucs au niveau proxy HTTP mais il faut bien en saisir les limitations, ce qui n'est pas toujours évident.
-
Salut mes amis et un grand merci pour ces précieux conseilles
Voila je crois que j’ai trouvé ou est le problème
Dans services–------------------------squidguard proxy ----------general settings
Sous l’option Blacklisit options j’ai ce message
Check this option to enable blacklist. (Option cocher)
Do NOT enable this on NanoBSD installs!
J’ai besoin d’une explication sur ce message Do NOT enable this on NanoBSD installs et comment le résoudre
Cordialement -
Salut mes amis et un grand merci pour ces précieux conseilles
Voila je crois que j’ai trouvé ou est le problème
Dans services–------------------------squidguard proxy ----------general settings
Sous l’option Blacklisit options j’ai ce message
Check this option to enable blacklist. (Option cocher)
Do NOT enable this on NanoBSD installs!
J’ai besoin d’une explication sur ce message Do NOT enable this on NanoBSD installs et comment le résoudre
CordialementLe moins que l'on puisse dire est qu'il n'y a aucun rapport entre votre problème et ce message purement informatif !
Il n'y a rien à résoudre. C'est un avertissement qui vous enjoint de ne pas utiliser cette option sur une installation basée Nanobsd. Rien de plus. Nous ne savons pas si c'est votre cas ou non.