Squid transparent - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 26-07-2012 à 13:32:20
Bonjour,
Voici comment cela fonctionne :
http://www.certa.ssi.gouv.fr/site/ [...] parent.png
Il faudrait créer une DMZ sur le firewall Netasq (si vous avez assez de port) et ne pas oublier d'installer un DNS (qui sera configuré sur les machines) qui redirigera les requêtes http (port 80) sur le proxy transparent.
En suite c'est de la configuration au niveau du squid.
Bonne journée.
Marsh Posté le 26-07-2012 à 14:42:31
Merci. Le problème est que, comme il n'y a pas de serveur DHCP, il suffit qu'un petit malin modifie l'adresse du DNS pour mettre le DNS du FAI pour qu'il évite de passer par le proxy.
N'y a t-il pas un autre moyen ?
Marsh Posté le 26-07-2012 à 14:59:01
Le moyen le plus simple :
1) ne pas le mettre en transparent
2) pusher la config proxy par GPO.
3) bloquer TOUT accès à internet quel qu'il soit aux postes.
T'inkiète, les utilisateurs feront l'effort de configurer le proxy.
PS: ne fonctionne que si tu fais l'étape 3).
PPS : avantage: dans ce cas, tu pourras même envisager du AAA basé sur ldap/AD
Marsh Posté le 26-07-2012 à 15:06:29
Filtre au niveau du firewall pour rediriger tous les flux dns de ton LAN vers le bon DNS de ta DMZ.
Marsh Posté le 26-07-2012 à 15:47:11
oui, fait ca, ou alors du policy-base routing, pour router automatiquement le trafic web vers le proxy .; sinon WCP, c'est bien aussi.
Ou alors, tu te dis qu'une usine à gaz te pompera tout ton temps en maintenance et debug, et tu lis mon post pour monter un truc simplissime, compatible avec tous browsers, touts routers, et évolutif, et dont tu oublieras l'existence une fois en place...
Marsh Posté le 26-07-2012 à 17:45:33
Merci pour vos réponses. Je viens de m'apercevoir que le pare-feu dont je vous parlais (Netasq f60) n'est plus en fonction.
Pas d'AD, de pare-feu. Il n'y a donc pas d'autre choix que d'acheter du matériel ?
Marsh Posté le 26-07-2012 à 17:48:37
Le problème avec le squid transparent, c'est que tu ne pourras pas intercepter le traffic https sans avoir d'alertes de certificats (sauf si squid sait gérer un CA et que tu l'installes sur chaque pc).
Marsh Posté le 26-07-2012 à 23:35:22
Bah le plus simple c'est que le proxy transparent soit au niveau du routeur/firewall.
Impossible de le contourner sauf à sortir par une autre passerelle.
Marsh Posté le 09-08-2012 à 19:23:03
Pourquoi personne me lit
Est ce tellement dur de faire simple
Marsh Posté le 10-08-2012 à 06:57:27
Bonjour,
Nous l'utilisons de cette façon chez nous.
Tu places la machine sur laquelle tu as installée squid avant le routeur qui donne accès à internet et tu le configure en tant que passerelle. De cette façon, personne ne peut le contourner.
Après une règle de firewall sur le proxy qui redirige le trafic à destination du port 80 vers le port 8080 de squid.
|
Marsh Posté le 10-08-2012 à 10:06:47
Hanka a écrit : Bonjour,
|
Et pour le 443 ?
Marsh Posté le 10-08-2012 à 10:42:08
même principe. tu rediriges les requêtes à destination du port 443 vers le 8080 local.
Marsh Posté le 10-08-2012 à 10:48:07
Hanka a écrit : même principe. tu rediriges les requêtes à destination du port 443 vers le 8080 local. |
ok, mais pour le filtrage URL ?
Marsh Posté le 10-08-2012 à 11:11:22
man in the middle
t'as pas d'alerte de sécurité dans le navigateur sur le https?
Marsh Posté le 10-08-2012 à 11:50:37
pas sur des sites importants. Le https est filtré pour éviter que des comiques n'utilisent ce protocole pour contourner le proxy et lorqu'il y a un problème avec un site https, on lui donne comme directive direct_connect et jusqu'à présent, ça fonctionne très bien comme ça.
Voir dans certains cas bien déterminés (banques, institutions officielles), nous ajoutons des règles de routage qui contournent le proxy.
Marsh Posté le 30-08-2012 à 11:53:52
Autre solution plus sécurisé on va dire
2 proxy, l'un demande une authentification, il est sur le lan,
le deuxieme est en dmz et est transparent.
Tu fais des regles de changement de port entre les 2 via ton Firewall et zou !!!
Marsh Posté le 25-07-2012 à 16:04:52
Bonjour,
Je souhaite installer un proxy Squid en mode transparent afin d'obliger tout utilisateur du réseau à se connecter par le proxy afin d'y appliquer des règles de filtrage URL avec blacklist et pouvoir surveiller l'activité des requêtes.
Je me pose quelques questions à savoir quel est le meilleur endroit pour le positionner (juste avant le routeur ?) et par quels moyens (redirection de port...) ?
Architecture :
pc1--
pc2--
... ---switch--firewall (Netasq f60)--Routeur(Livebox Business 1000)--Internet
pcn--
En vous remerciant.