Couplé pfsense avec un proxy



  • Bonjour,

    Je souhaite mettre en place un proxy chez moi j'ai un pfsense sur un boitier alix.

    Mon réseau

    Livebox –> pfsense --> lan
                                    --> dmz

    Mon esxi a une patte réseau sur mon lan et ma DMZ.

    J'aimerais savoir quel proxy vous pouvez me conseiller ?

    J'aimerais mettre ipcop une patte sur le lan et une dmz.

    Je souhaite pouvoir gérer le proxy via une interface web, sinon j'utilise squid + squidguard.

    J'ai pensé à artica mais à terme j'aimerais mettre un AD sous samba et la version artica open source ne fait pas de lien avec l'AD.

    si vous avez besoin de plus de précisions il n'y a aucun soucis.



  • Je n'ai pas vérifié sur leur site récemment si c'est encore disponible mais si tu trouves une version de Zentyal en 4.0, ça va répondre à ton besoin y compris sur les aspects Samba 4 (je n'aime pas trop appeler ça "AD"  ;) )

    Avec le serveur Samba, tu préféreras sans doute installer ce serveur sur le LAN et non pas sur une DMZ

    EDIT: pour compléter ma réponse:
    1 - Zentyal utilise Dansguardian et pas SquidGaurd
    2 - l'implémentation du couple Proxy / filtrage est un peu particulière, mais ça marche



  • Merci pour ta réponse et si je ne me trompe pas je mets en passerelle pfsense pour qui renvoi les requêtes vers la patte wan de pfsense sans oublié les règles de par-feu



  • Si tu es en DHCP (ce que je te conseille) et que pfSense est ton serveur DHCP, l'adresse LAN de pfSense va être la passerelle par défaut pour les clients DHCP.
    Si ton serveur DHCP est sur une autre machine, oui il faut définir l'adresse LAN de pfSense comme la default gateway.

    Comme le sujet est relatif au proxy: si tu ne mets pas en oeuvre WPAD, il te faudra configurer en dur sur chaque browser l'adresse du proxy ou au moins l'URL du serveur WEB qui publie le proxy.pac (si tu utilises cette fonctionnalité).
    Dans ce cas, la passerelle par défaut sur les machines n'a pas d'impact (pour les flux HTTP) sauf si ton proxy est derrière pfSense (par exemple sur une DMZ)

    Bien sûr tu comprends bien que dans ce qu'on discute, il s'agit de proxy "explicite" et non pas "transparent"  ;)



  • Mon DHCP / DNS est sur une VM à part
    A terme je veux utiliser un fichier PAC mais je fais étape par étape
    Je souhaite mettre une machine dédié pour le proxy donc je pensais à ipcop mais il faut obligatoirement 2 interfaces donc une dans le lan et une dans la DMZ  qui redirige le trafic vers l'interface wan de pfsense



  • @yodu52:

    Je souhaite mettre une machine dédié pour le proxy donc je pensais à ipcop mais il faut obligatoirement 2 interfaces donc une dans le lan et une dans la DMZ  qui redirige le trafic vers l'interface wan de pfsense

    Tu mélanges, je pense, un certain nombre de concepts:
    1 - un proxy en mode explicite n'a jamais besoin, de manière "forcée", de 2 interfaces. Tu peux avoir un proxy traversant, bien sûr, mais ce n'est nullement obligatoire.
    2 - dans ce que je comprends de ta description très succincte de ton design cible,  tu es parti pour avoir une machine qui va court-circuiter le pare-feu (ici pfSense), ce qui est une très mauvaise idée si tu ne comprends pas très précisément ce qui se passe.
    3 - pfSense + ipcop, c'est un peu redondant en terme de pare-feu (mais c'est, quoique dans une moindre mesure, pareil avec Zentyal)



  • Je veux surtout un proxy avec une gestion par interface web qui est plus facile que squid est son fichier de configuration



  • @yodu52:

    Je veux surtout un proxy avec une gestion par interface web qui est plus facile que squid est son fichier de configuration

    A mon avis la config de Squid ne change pas très souvent, si tu tes sur un réseau stable.
    Il y a, au quotidien, plus de travail coté SquidGuard et il existe pour cela des interfaces graphiques, comme ça par exemple.

    Selon tes besoins en terme de filtrage, il faut aussi prendre ne compte le fait que certaines options peuvent être gérées en dehors de Squid/Squidguard: par exemple si tu autorises des groupes à certains accès, il s'agit alors d'ajouter / enlever des membres dans un groupe. ça a un effet direct sur les droits au travers du proxy sans que ça demande de changer la conf de celui-ci  ;)



  • Je souhaite mettre une machine dédié pour le proxy

    Une excellente idée.

    donc je pensais à ipcop

    Ipcop n'est plus maintenu depuis plusieurs années.



  • Merci pour vos réponses je vais me diriger sur squid/squidgard en essayant l'interface web en mettant le proxy en DMZ

    Après si vous avez d'autres suggestions je suis preneur ;-)



  • @yodu52:

    Après si vous avez d'autres suggestions je suis preneur ;-)

    Des suggestions non mais une question: pourquoi mets-tu le proxy en DMZ ? (je ne dis pas que ce n'est pas bien hein  ;))



  • C'est lui qui va faire le lien entre les requêtes web entre le lan et vers internet donc pour plus de sécurité je préfère le placer en DMZ
    Après je vais travaillé sur le wifi un pour mon lan et un visiteurs quand j'ai du monde qui vient ^^


Log in to reply