Forum Linux.debian/ubuntu Configuration serveur squid indépendant avec pfsense

Posté par  . Licence CC By‑SA.
Étiquettes :
1
7
juin
2021

Bonjour à tous,

Je ne sais pas si quelqu’un pourra m’aider mais je vous présente mon problème.

Je travaille avec VirtualBox sur lequel j’ai 2 routeur pfsense sur un réseau privé pour chacun donc la configuration de chaque routeur est la suivante : une carte en reseau privé IP RFC1918, une carte en reseau interne qui est ma DMZ et une carte en pont.

Les deux routeurs sont donc interconnecté via ce réseau interne qui est ma DMZ et peuvent communiquer entre eux, j’ai installer un serveur proxy Squid que j’ai mis sur le reseau DMZ celui-ci accède en NAT au web et sa passerelle est le routeur 1, celui-ci peut communiquer avec chacun des routeurs via le ping.

Je voudrais pouvoir configurer ce proxy de tel manière à ce que chacun de mes réseaux privé avec une IP RFC1918 puissent par le biais du proxy être bloqué pour la navigation de certaine page web.

J’ai déjà essayer de configurer ce serveur en déclarant les IP des réseaux privé dessus mais j’ai du surement mal m’y prendre car quand je mets un poste client sur un des réseaux privé, j’ai beau eu appliqué des ACL pour filtrer les url en navigation cela ne fonctionne pas.

Si vous pouviez m’aider ça serait sympa

PS : Je sais qu’on peux installer squid directement sur pfsense mais je tiens vraiment à faire un serveur squid indépendant de pfsense

Merci d’avance

  • # au choix, peu importe ou est le proxy

    Posté par  . Évalué à 2.

    proxy configuré sur le client
    => tu bloques les flux 80 et 443 des machines qui ne sont pas le proxy, et tu configures les clients pour utiliser le dit proxy

    proxy transparent (sans modification du client)
    => tu rediriges les flux sortant 80 et 443 des machines qui ne sont pas le proxy vers le proxy, seuls les proxy peuvent sortir

    • [^] # Re: au choix, peu importe ou est le proxy

      Posté par  . Évalué à 1.

      J’ai configuré le proxy sur le client mais lorsque j’ai mis mes ACL pour bloquer des url spécifiques type facebook, le client arrive quand même à y accéder.

      je vais essayer de bloquer les flux clients en source autre que le proxy

      merci de ta réponse en tout cas, c’est super sympa d’avoir répondu

  • # Squid proxy

    Posté par  . Évalué à 1. Dernière modification le 07 juin 2021 à 13:03.

    Peux on m’expliquer comment
    « tu bloques les flux 80 et 443 des machines qui ne sont pas le proxy sur le serveur squid » ?

    merci

    • [^] # Re: Squid proxy

      Posté par  . Évalué à 2. Dernière modification le 07 juin 2021 à 19:35.

      dans le firewall, tu bloques les flux sortant de toutes les machines

      • action : bloque

        • source : toutes les machines
        • destination : toutes
        • service/port : https (443)

      • action : bloque

        • source : toutes les machines
        • destination : toutes
        • service/port : http (80)

      sauf la sortie http/s du squid lui meme

      • action : autorise

        • source : IP du squid
        • destination : toutes
        • service/port : https (443)

      • action : autorise

        • source : IP du squid
        • destination : toutes
        • service/port : http (80)

      ainsi seul le squid peut sortir sur 80 (http) et 443 (https)
      une machine qui n'aurait pas connaissance du squid ne peut pas aller sur internet
      une machine qui est configuré pour utiliser le squid demandera au squid, qui demandera la page sur internet, la ramener, et la donnera à la machine de depart

      • [^] # Re: Squid proxy

        Posté par  . Évalué à 3.

        Ton premier "action : bloque" semble erroné
        :)

        • [^] # Re: Squid proxy

          Posté par  . Évalué à 2. Dernière modification le 07 juin 2021 à 19:36.

          merci d'être attentif,

          en effet, un mauvais copier/coller, je corrige (parce que je peux) :p

  • # Squid

    Posté par  . Évalué à 1.

    Merci pour cette réponse claire.

    je vais tenter de l’appliquer, et je ferais un retour pour vous dire si ça fonctionne

  • # squid

    Posté par  . Évalué à 1.

    Je viens faire un retour vers vous,

    J'ai bien appliqué les règles sur le firewall

    Mais je dois avoir un soucis dans mon fichier squid.conf

    Pouvez vous comment m'expliquer si je dois déclarer les réseaux LAN en modifiant les lignes
    acl localnet src XXX.XXX.XXX.XXX/24 ?

    Si vous pouviez m'aider avec un exemple de configuration réseau et règles à mettre sur squid pour filtrer par exemple l'url Facebook Youtube…

    Merci infiniment !

  • # Squid

    Posté par  . Évalué à 1. Dernière modification le 08 juin 2021 à 19:20.

    Bonjour alors finalement, j’ai réussie,

    j’ai déclarer mes réseaux lan exemple

    acl blabla srx xxx.xxx.xxx.xxx/x

    J’ai aussi mis https_access blabla allow puis un autre http_access all deny

    j’ai ensuite créer une acl de type 

    acl blocked_websites dstdomain .facebook.com
http_access deny blocked_websited

    puis j’ai fait des tests et finalement j’ai réussie à faire ce que je voulais .

    merci à vous pour votre aide

    • [^] # Re: Squid

      Posté par  . Évalué à 2.

      de memoire l'ordre est important

      tu peux définir toutes les acl à la suite,

      mais c'est l'ordre des regles qui fait que ca passe ou pas

      ex :

      acl blabla srx xxx.xxx.xxx.xxx/x
acl blocked_websites dstdomain .facebook.com

http_access deny blocked_websited
http_access blabla allow
http_access all deny

      va bloquer Facebook pour tout le monde meme blabla, alors que

      acl blabla srx xxx.xxx.xxx.xxx/x
acl blocked_websites dstdomain .facebook.com

http_access blabla allow
http_access deny blocked_websited
http_access all deny

      ca autoriser blabla à aller partout, et bloquer les autres pour Facebook ou tout

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.