PFSense comme Web Gateway
-
Bonjour à tous,
J'ai actuellement derrière mon PFSense plusieurs serveurs Web que je voudrai sécuriser. Actuellement chacun en va de sa petite sécurité (ou pas de tout d'ailleurs …), il m'es donc impossible (éthiquement parlant) d'y acceder depuis l'extérieur.
La question que je me posais c'est si PFSense pouvais faire office de Web Gateway ?
Je m'explique, le service que je voudrais avoir c'est que lorsqu'une personne tente d'accéder a une page web, celle-ci soit redirigée sur un portail lui demandant de se connecter, puis le cas échéant, lui donner l'accès. Ceci es dans le même ordre d'idée qu'un portail captif mais sur le traffic entrant et non sortant.
-
ça s'appelle un "reverse proxy"
Faire un reverse proxy avec pfSense, c'est comme faire un proxy avec pfSense ;D
bof pas terrible si tu as beaucoup d'accès et/ou que tu veux faire des trucs un peu fins en termes de réécriture.De plus, autant un proxy sur pfSense, il y a des conditions ou je pense que c'est acceptable car c'est un service qui s'adresse aux utilisateurs internes, autant exposer un (reverse) proxy sur internet je trouve ça vraiment risqué que ce soit en même temps ton FW
(j'entends déjà les voix qui s'élèvent pour expliquer que la majorité des attaques vient de l'intérieur ;D ;D ;D)
Installe donc un Nginx, Apache etc (je ne connais pas Vulture autrement que ce qu'ils décrivent sur leur site) et tu pourras faire ce que tu décris 8)
-
Ok, effectivement en cherchant avec ce terme c'est beaucoup plus simple !
L'idée es juste d'avoir un pool de services non sécurisés avec par exemple 2 services web qui s'appuient sur un intermédiaire pour être certains que si l'utilisateur demande la page c'est qu'il a le droit d'y accéder. Je pensais que on pouvais s'appuyer sur les comptes utilisateurs (via LDAP) de PFSense pour résoudre ceci mais apparemment pas …
J'ai regardé du côté de Nginx, pour le proxy ca a l'air simple, mais pour lier un formulaire d'authentification avec LDAP ca deviens tout de suite moisn simple ;)
-
pfSense n'est pas serveur LDAP mais client LDAP.
Il va pouvoir s'appuyer sur un annuaire LDAP externe de la même manière qu'un serveur Apache, Squid ou Ngnix.Tu n'as pas nécessairement besoin d'ailleurs d'un formulaire pour faire ce que tu vises.
Par exemple si tu configures un serveur pour demander une authentification, celui va renvoyer au browser un code HTTP 401 pour que celui-ci demande à l'utilisateur de s'authentifier. Il n'y a aucun formulaire mis en jeu.
De même, l'authentification via un proxy renvoie HTTP 407Maintenant, si tu veux agrémenter cette authentification d'une page avec des commentaires, des champs à saisir etc.. alors oui il te faut un formulaire, mais ce n'est pas indispensable pour l'authentification.
Il faut que tu regardes 2 choses de manière distincte:
- Nginx LDAP authentication
- Nginx reverse proxy
et après tu fais un merge ;)
-