Bypass ip source proxy (transparent mode)



  • Bonjour

    Je souhaite donner un accès total à internet à une partie de mon réseau

    Schema : Internet <–-> Pfsense (squid squidGuard)  <--> LAN (2 subnets)
    Le mode transparent ne marche pas, je suis toujours obligé de mettre le proxy dans le navigateur

    y a t il une solution pour permettre l'accès (bypass the proxy) celà?  Je ne suis pas obligé de garder le mode transparent.



  • Un paramètrage correct du proxy vous permet, sélectivement, de donner un accès non restreint à internet. Je ne vois pas votre problème avec Pfsense. Ceci est un problème de configuration Squid.



  • @elyadari.othmane:

    Je souhaite donner un accès total à internet à une partie de mon réseau

    Schema : Internet <–-> Pfsense (squid squidGuard)  <--> LAN (2 subnets)
    Le mode transparent ne marche pas, je suis toujours obligé de mettre le proxy dans le navigateur

    y a t il une solution pour permettre l'accès (bypass the proxy) celà?  Je ne suis pas obligé de garder le mode transparent.

    A mon avis, tu mélanges 2 aspects différents:

    • règles d'accès à internet
    • règles de filtrage

    ou alors c'est juste un abus de langage dans ta requête  ;)

    Tu peux tout à fait permettre un "accès total" à internet tout en passant par le proxy (Squid) si celui n'intègre pas de règles (ACL) limitant cet accès.
    En mode transparent, tu noteras que, sauf implémentation de SSL Bump (Man In The Middle), l'accès à internet est forcément total en mode HTTPS donc la question ne s'applique pas.

    Vient ensuite l'aspect Squidguard au niveau duquel tu peux appliquer où pas des contrôles en fonction de certains critères tels que l'appartenance à un groupe (ce qui ne fonctionne bien sûr pas en mode transparent) ou l'adresse IP source (ce qui est à mon avis une mauvaise idée car très facile à contourner).

    Il y a donc plusieurs manières d'atteindre le résultat escompté (en faisant une supposition sur la requête initiale qui n'est pour moi pas assez claire) mais le seul réellement efficace consiste à demander aux utilisateurs de s'authentifier et ensuite gérer des autorisations par groupe.



  • Les mots ont un sens :
    Quand on écrit 'Le mode transparent ne marche pas', alors qu'il faudrait écrire 'Le mode transparent ne fonctionne pas', c'est qu'on est pas assez précis alors qu'il faut d'abord être précis avec des mots avant de passer à la config !

    je suis toujours obligé de mettre le proxy dans le navigateur

    Ca arrive ! Et c'est même assez normal !

    Le bon sens (en sus de l'obligation légale) est d'utiliser FORCEMENT un proxy (qu'il faudrait ne pas mettre sur le firewall, mais …).
    Donc, le navigateur doit savoir passer par un proxy.
    Donc, il y a 2 façons de faire (ou exclusif) :

    • configurer chaque navigateur en indiquant explicitement le proxy
    • configurer chaque navigateur en indiquant 'détection automatique' -> WPAD  : NB pour Internet Explorer/Chrome, rien à faire, pour Firefox, il faut faire quelque chose
      Ca c'est du basique ... (on le lit régulièrement sur le forum ... si vous aviez un peu cherché)

    Prenez vous par la main pour mettre en place WPAD, c'est franchement pas sorcier ...



  • @jdh:

    je suis toujours obligé de mettre le proxy dans le navigateur

    Ca arrive ! Et c'est même assez normal !

    ???
    On peut ne pas apprécier le proxy HTTP en mode transparent (et c'est mon cas) mais il n'est par contre pas normal que le mode transparent ne fonctionne pas.
    Ce dysfonctionnement signifierait, par exemple, que la gateway par défaut ne redirige pas les requêtes vers le port du proxy.

    • configurer chaque navigateur en indiquant 'détection automatique' -> WPAD  : NB pour Internet Explorer/Chrome, rien à faire, pour Firefox, il faut faire quelque chose
      Ca c'est du basique … (on le lit régulièrement sur le forum ... si vous aviez un peu cherché)

    ;D il y a rarement des choses très compliquées dans l'IT une fois que tu comprends comment ça marche  ::)
    Mais pour WPAD, ce n'est pas si simple, malheureusement, parce que le RFC décrivant ce mécanisme n'a jamais dépassé l'état de draft et que du coup, les implémentations diffèrent selon les éditeurs des programmes susceptibles d’utiliser le proxy HTTP, ce qui oblige souvent à mettre en œuvre plusieurs méthodes de détection.

    Par ailleurs, si la contrainte est de fournir l'intégralité de ce service uniquement avec pfSense (ce qui n'est pas la meilleure idée, j'en conviens) alors c'est encore un peu plus complexe, quoique réalisable.

    Concrètement, tu peux facilement configurer le DNS (pour mettre en œuvre le mécanisme dit du "well known alias") et DHCP (pour pousser l'option 252) mais il te faut ensuite déterminer quel sera le serveur web qui va exposer le fichier proxy.pac.
    Dans le cas de l'utilisation de pfSense pour cet usage, si ta console de management est accessible en HTTPS, le serveur lighttpd par défaut ne répond pas sur le port 80.
    Passer en console HTTP n'est pas à mon avis une bonne idée.

    Tu peux en revanche démarrer une seconde occurrence de lighttpd sur le port 80  ;)



  • Au lieu de contester ce que j'écris, vous devriez donner des liens.
    J'en ai ras le bol d'avoir de la contestation de votre part : cessez de polluer ce que j'écris ! Et d'ailleurs elle n'est que DE votre part !
    Vous compliquez toujours tout ! Et les débutants sont noyés : pitoyables propos … comme toujours !
    Comme d'hab 'moi j'utilise pas' ou 'ce n'est pas le meilleure idée' mais faites donc ... alors qu'il suffirait que vous ne répondiez rien (puisque vous n'utilisez pas ou ce n'est pas une bonne idée !).
    Vraiment un gros n..

    Non, WPAD n'est pas difficile à mettre au point : 2h, quand on a envie, doivent suffire (Oui il faut un serveur web, mais c'est pas la mer à boire)
    Non, configurer un navigateur n'est pas difficile, en tous cas pour l'auto-détection !

    Un bon lien, facile à mettre en oeuvre et facile à trouver, http://findproxyforurl.com/deploying-wpad/ (c'est simple, il y a tout pour mettre en oeuvre WPAD)

    Evidemment si Monsieur veut tout faire avec son pfsense : proxy, serveur web, dns, c'est moins simple.
    Mais dans une entreprise civilisée, d'une certaine taille, on sait que dhcp/dns est géré par le DC Windows, on devrait avoir un proxy séparé, et un petit serveur web ça se trouve (surtout pour 3 fichiers texte à la racine ! Moi c'est sur un srv web à tout faire OCS, GLPI, ...).


Log in to reply