Couplé pfsense avec un proxy
-
Je n'ai pas vérifié sur leur site récemment si c'est encore disponible mais si tu trouves une version de Zentyal en 4.0, ça va répondre à ton besoin y compris sur les aspects Samba 4 (je n'aime pas trop appeler ça "AD" ;) )
Avec le serveur Samba, tu préféreras sans doute installer ce serveur sur le LAN et non pas sur une DMZ
EDIT: pour compléter ma réponse:
1 - Zentyal utilise Dansguardian et pas SquidGaurd
2 - l'implémentation du couple Proxy / filtrage est un peu particulière, mais ça marche -
Merci pour ta réponse et si je ne me trompe pas je mets en passerelle pfsense pour qui renvoi les requêtes vers la patte wan de pfsense sans oublié les règles de par-feu
-
Si tu es en DHCP (ce que je te conseille) et que pfSense est ton serveur DHCP, l'adresse LAN de pfSense va être la passerelle par défaut pour les clients DHCP.
Si ton serveur DHCP est sur une autre machine, oui il faut définir l'adresse LAN de pfSense comme la default gateway.Comme le sujet est relatif au proxy: si tu ne mets pas en oeuvre WPAD, il te faudra configurer en dur sur chaque browser l'adresse du proxy ou au moins l'URL du serveur WEB qui publie le proxy.pac (si tu utilises cette fonctionnalité).
Dans ce cas, la passerelle par défaut sur les machines n'a pas d'impact (pour les flux HTTP) sauf si ton proxy est derrière pfSense (par exemple sur une DMZ)Bien sûr tu comprends bien que dans ce qu'on discute, il s'agit de proxy "explicite" et non pas "transparent" ;)
-
Mon DHCP / DNS est sur une VM à part
A terme je veux utiliser un fichier PAC mais je fais étape par étape
Je souhaite mettre une machine dédié pour le proxy donc je pensais à ipcop mais il faut obligatoirement 2 interfaces donc une dans le lan et une dans la DMZ qui redirige le trafic vers l'interface wan de pfsense -
Je souhaite mettre une machine dédié pour le proxy donc je pensais à ipcop mais il faut obligatoirement 2 interfaces donc une dans le lan et une dans la DMZ qui redirige le trafic vers l'interface wan de pfsense
Tu mélanges, je pense, un certain nombre de concepts:
1 - un proxy en mode explicite n'a jamais besoin, de manière "forcée", de 2 interfaces. Tu peux avoir un proxy traversant, bien sûr, mais ce n'est nullement obligatoire.
2 - dans ce que je comprends de ta description très succincte de ton design cible, tu es parti pour avoir une machine qui va court-circuiter le pare-feu (ici pfSense), ce qui est une très mauvaise idée si tu ne comprends pas très précisément ce qui se passe.
3 - pfSense + ipcop, c'est un peu redondant en terme de pare-feu (mais c'est, quoique dans une moindre mesure, pareil avec Zentyal) -
Je veux surtout un proxy avec une gestion par interface web qui est plus facile que squid est son fichier de configuration
-
Je veux surtout un proxy avec une gestion par interface web qui est plus facile que squid est son fichier de configuration
A mon avis la config de Squid ne change pas très souvent, si tu tes sur un réseau stable.
Il y a, au quotidien, plus de travail coté SquidGuard et il existe pour cela des interfaces graphiques, comme ça par exemple.Selon tes besoins en terme de filtrage, il faut aussi prendre ne compte le fait que certaines options peuvent être gérées en dehors de Squid/Squidguard: par exemple si tu autorises des groupes à certains accès, il s'agit alors d'ajouter / enlever des membres dans un groupe. ça a un effet direct sur les droits au travers du proxy sans que ça demande de changer la conf de celui-ci ;)
-
Je souhaite mettre une machine dédié pour le proxy
Une excellente idée.
donc je pensais à ipcop
Ipcop n'est plus maintenu depuis plusieurs années.
-
Merci pour vos réponses je vais me diriger sur squid/squidgard en essayant l'interface web en mettant le proxy en DMZ
Après si vous avez d'autres suggestions je suis preneur ;-)
-
Après si vous avez d'autres suggestions je suis preneur ;-)
Des suggestions non mais une question: pourquoi mets-tu le proxy en DMZ ? (je ne dis pas que ce n'est pas bien hein ;))
-
C'est lui qui va faire le lien entre les requêtes web entre le lan et vers internet donc pour plus de sécurité je préfère le placer en DMZ
Après je vais travaillé sur le wifi un pour mon lan et un visiteurs quand j'ai du monde qui vient ^^