PROXY TRANSPARENT



  • Bonjour,

    Je sollicite votre aide car j'ai installé pfsense avec une authentification via un portail captif.  La solution fonctionne parfaitement.

    En revanche, je souhaite  mettre en place un proxy transparent avec une solution de filtrage d'accès en utilisant squid+squidguard. J'ai vu que ces packages sont intégrés à pfsense je les ai donc installés.

    Le proxy transparent fonctionne très bien.

    Par contre, impossible de mettre en place une solution de filtrage.

    Je vous donne la configuration que j'ai mis en place, ainsi que les règles de contrôle actuellement installés :

    [blk_blacklists_ads] access
    [blk_blacklists_adult] access
    [blk_blacklists_aggressive] access
    [blk_blacklists_agressif] access
    [blk_blacklists_astrology] access
    [blk_blacklists_audio-video] access
    [blk_blacklists_blog] access
    [blk_blacklists_cleaning] access
    [blk_blacklists_dangerous_material] access
    [blk_blacklists_dating] access
    [blk_blacklists_drogue] access
    [blk_blacklists_drugs] access
    [blk_blacklists_filehosting] access
    [blk_blacklists_financial] access
    [blk_blacklists_forums] access
    [blk_blacklists_gambling] access
    [blk_blacklists_games] access
    [blk_blacklists_hacking] access
    [blk_blacklists_liste_bu] access
    [blk_blacklists_mail] access
    [blk_blacklists_malware] access
    [blk_blacklists_marketingware] access
    [blk_blacklists_mixed_adult] access
    [blk_blacklists_mobile-phone] access
    [blk_blacklists_phishing] access
    [blk_blacklists_porn] access
    [blk_blacklists_proxy] access
    [blk_blacklists_publicite] access
    [blk_blacklists_radio] access
    [blk_blacklists_reaffected] access
    [blk_blacklists_redirector] access
    [blk_blacklists_sect] access
    [blk_blacklists_sexual_education] access
    [blk_blacklists_shopping] access
    [blk_blacklists_strict_redirector] access
    [blk_blacklists_strong_redirector] access
    [blk_blacklists_tricheur] access
    [blk_blacklists_violence] access
    [blk_blacklists_warez] access
    [blk_blacklists_webmail] access
    [reseau_wifi] access
    Default access [all] access

    et la règle de filtrage :
    0  reseau_wifi  !blk_blacklists_ads !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_agressif !blk_blacklists_astrology !blk_blacklists_audio-video !blk_blacklists_blog !blk_blacklists_cleaning !blk_blacklists_dangerous_material !blk_blacklists_dating !blk_blacklists_drogue !blk_blacklists_drugs !blk_blacklists_filehosting !blk_blacklists_financial !blk_blacklists_forums !blk_blacklists_gambling !blk_blacklists_games !blk_blacklists_hacking !blk_blacklists_liste_bu !blk_blacklists_mail !blk_blacklists_malware !blk_blacklists_marketingware !blk_blacklists_mixed_adult !blk_blacklists_mobile-phone !blk_blacklists_phishing !blk_blacklists_porn !blk_blacklists_proxy !blk_blacklists_publicite !blk_blacklists_radio !blk_blacklists_reaffected !blk_blacklists_redirector !blk_blacklists_sect !blk_blacklists_sexual_education !blk_blacklists_shopping !blk_blacklists_strict_redirector !blk_blacklists_strong_redirector !blk_blacklists_tricheur !blk_blacklists_violence !blk_blacklists_warez !blk_blacklists_webmail all [ !blk_blacklists_ads !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_agressif !blk_blacklists_astrology !blk_blacklists_audio-video !blk_blacklists_blog !blk_blacklists_cleaning !blk_blacklists_dangerous_material !blk_blacklists_dating !blk_blacklists_drogue !blk_blacklists_drugs !blk_blacklists_filehosting !blk_blacklists_financial !blk_blacklists_forums !blk_blacklists_gambling !blk_blacklists_games !blk_blacklists_hacking !blk_blacklists_liste_bu !blk_blacklists_mail !blk_blacklists_malware !blk_blacklists_marketingware !blk_blacklists_mixed_adult !blk_blacklists_mobile-phone !blk_blacklists_phishing !blk_blacklists_porn !blk_blacklists_proxy !blk_blacklists_publicite !blk_blacklists_radio !blk_blacklists_reaffected !blk_blacklists_redirector !blk_blacklists_sect !blk_blacklists_sexual_education !blk_blacklists_shopping !blk_blacklists_strict_redirector !blk_blacklists_strong_redirector !blk_blacklists_tricheur !blk_blacklists_violence !blk_blacklists_warez !blk_blacklists_webmail all] .

    Est-ce que squidguard fonctionne en proxy transparent ?

    Si oui, quelqu'un d'entre vous a t-il une solution ?

    Je vous remercie.

    Frédéric



  • Salut,

    Oui cela marche parfaitement avec squidguard .
    http://diskatel.narod.ru/sgquick.htm pour la configuration.
    Regarde au niveau des log ce que tu as .



  • Bonjour,

    Merci pour ta réponse.

    J'ai bein vu ce guide, mais en face de chaque catégorie, je ne peux pas cocher de case en face des catégories que je souhaite interdire.

    voici ce que j'ai

    je ne vois donc pas les cases situées à gauche. C'est normal?

    Encore merci pour votre aide.

    Frédéric



  • Encore deux choses :

    Lorsque j'effectue une modification via l'interface web, celle-ci n'est pas prise en compte dans le fichier squid.conf mais dans le fichier squid.conf.xml. Il n'y a pas de lien entre les deux?

    Et enfin, mon fichier squid.conf à la dernière ligne avec acl "default pass all".

    Normalement, l'option devrait être à none, Je me trompe? Si non, je n'arrive pas à modifier cette option.

    Merci pour votre aide

    Frédéric



  • Salut,

    pour ce qui est des cases j'ai la même chose .Pour interdire tu mets acces deny comme tu l'as fait .

    Et enfin, mon fichier squid.conf à la dernière ligne avec acl "default pass all".
    Normalement, l'option devrait être à none, Je me trompe? Si non, je n'arrive pas à modifier cette option.

    Pour tester tu peux mettre a none ,mais après c'est sur allow du moins pour moi .
    Pour le xml c'est normal ,c'est le principe des "templates" si je ne me trompe .



  • Salut,

    Merci pour vos réponses.

    Néanmoins, je n'ai toujours pas trouvé la solution.

    J'ai encore une idée:

    Je me demande si mon problème ne viendrait pas du fait que je n'ai pas précisé de page de redirection. J'en profite pour vous donner la configuration actuelle de mon fichier squidguard. conf :

    /usr/local/etc/squidGuard/squidGuard.conf

    ============================================================

    SquidGuard configuration file

    This file generated automaticly with SquidGuard configurator

    (C)2006 Serg Dvoriancev

    email: dv_serg@mail.ru

    ============================================================

    logdir /var/squidGuard/log
    dbhome /var/db/squidGuard

    acl {
    default {
    pass all
    redirect https://192.168.2.254:443/sgerror.php?url=Error! Check squidGuard configuration data. (sg_create_config%3A [2]).&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    }
    }

    Qu'en pensez vous?

    Merci



  • Salut,

    Je me demande si ce n'est pas un problème de droit.

    # ============================================================
    # SquidGuard configuration file
    #
    # This file generated automaticly with SquidGuard configurator
    #
    # (C)2006 Serg Dvoriancev
    # email: dv_serg@mail.ru
    # ============================================================
    
    logdir /var/squidGuard/log
    dbhome /var/db/squidGuard
    
    src TEST {
    	 ip 192.168.0.25
    }
    
    dest blk_BL_adv {
    	 domainlist blk_BL_adv/domains
    	 urllist blk_BL_adv/urls
    	 log block.log
    }
    
    dest blk_BL_aggressive {
    	 domainlist blk_BL_aggressive/domains
    .......
    
    dest blk_BL_webtv {
    	 domainlist blk_BL_webtv/domains
    	 urllist blk_BL_webtv/urls
    	 log block.log
    }
    
    acl {
    	 TEST { 
    		 pass all
    	 }
    
    	 default { 
    		 pass !blk_BL_aggressive !blk_BL_movies !blk_BL_music !blk_BL_porn !blk_BL_sex_lingerie !blk_BL_violence !blk_BL_warez !blk_BL_webradio !blk_BL_webtv all
    		 redirect http://192.168.0.1/sgerror.php?url=http://192.168.2.250/sg/template.html&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    	 }
    }
    
    

    j'ai ça .
    Mais j'ai du faire:
    chown -R proxy:proxy /var/squidGuard

    J'ai vu ça aussi trainer dans un post :

    chmod -R 755 /var/db/squidGuard/usr /local/etc/squidGuard
    chown -R proxy:proxy /var/db/squidGuard/usr /local/etc/squidGuard

    Autre piste le https ,il y a eu un problème a un moment avec la redirection en https ,test sans .

    @+



  • Salut,

    Encore merci pour ton aide afin de résoudre mon problème.

    En effet, j'ai mis les droits que tu m'as suggéré sur les répertoires concernés et cela ne fonctionne toujours pas.

    Je me pose une question concernant la création
    Tu les fais via l'interface web d'administration ou par le mode console directement à partitr du serveur ?

    Car moi je les fais via l'interface web d'administration et je ne vois pas le fichier squidguard.conf prendre en compte mes modifications.

    Donc j'ai dans l'idée de passer directement par le fichier pour mettre en place mes acl.

    Qu'en penses-tu?



  • Salut,

    Je te remercie de m'avoir aidé. Effectivement, le problème était lié à l'utilisation du protocole https.

    Dans mon cas, il est préférable d'utiliser la solution via https, je vais donc mettre en place une blacklist directement via squid. Certes ce sera moins efficace mais toujours mieux que rien!!!!!!!

    Encore merci

    Fréd



  • Salut, j'ai eu le même pb que toi.
    va voir le post http://forum.pfsense.org/index.php/topic,9631.0.html

    a+


Log in to reply