hassaniznb.files.wordpress.com · web viewweb proxy pfsense. pre requis. travail effectué en...
TRANSCRIPT
![Page 1: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/1.jpg)
WEB PROXY PFSENSEPre requis
Travail effectué en version 2.2.6
Installation des packages Squid
Installer Squid 2.7 et Squid Guard
Eviter les packages de type Béta ou RC
Squid Guard v3
![Page 2: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/2.jpg)
Squid
![Page 3: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/3.jpg)
Web Proxy avec LDAP - Configuration de l’authentification LDAP
Procédure
Dans l’AD
Créer dans l’AD un utilisateur PFSENSE
Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet
Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité
Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE
Conseils : Eviter les espaces dans les noms d’où
En cas de problème ne pas hésiter à changer le port 3128 en 8080
Dans PFsense
Paramétrer PFSense
Sur une machine
Modifier dans un navigateur le proxy
Tester le proxy
Mise en place
Créer dans l’AD un utilisateur PFSENSE
Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet
Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité (Attention PFSENSE ne prend en compte l’authentification basés sur un groupe – A VERIFIER)
Placer les utilisateurs pouvant disposer de l’accès internet dans l’OU ACCESINTERNET
![Page 4: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/4.jpg)
![Page 5: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/5.jpg)
Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE
On crée une délégation de contrôle à l’utilisateur PFSENSE pour l’OU ACCESINTERNET.
Pfsense pourra ainsi lire le contenu de l’OU ACCESINTERNET
![Page 6: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/6.jpg)
Variante si cette méthode ne fonctionne pas, cette méthode est plus fine
![Page 7: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/7.jpg)
![Page 8: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/8.jpg)
On coche toutes les propriétés en lecture
Paramétrage de PFSENSE
On choisit l’authentification LDAP et V3
Je saisi l’IP du serveur AD ou le FQDN complet
Bien saisir le port LDAP en 389 même si celui-ci est le port par défaut
Je saisis le DN de l’utilisateur PFSENSE qui aura le droit de lire dans l’OU ACCES INTERNET, attention aux majuscules !!!
![Page 9: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/9.jpg)
Je donne à PFSENSE le droit d’aller lire dans l’AD via la délégation de contrôle précédemment créée
Je saisis le base domain, c’est l’endroit où sont stockés les utilisateurs ayant un accès internet.
Supprimer le contenu de LDAP username DN attribute (UID par défaut)
Modifier le LDAP search filter comme sur le screen en respectant majuscules et minuscules
Test
Je modifie le proxy et son port dans mon navigateur
Paramétrage des navigateurs internet
![Page 10: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/10.jpg)
Pour que le proxy soit actif pour https bien coché la case utiliser le proxy pour tous les protocoles
Je tente de me connecter en administrateur (qui n’a pas d’accès internet), puis je tente de me connecter en testman qui possède un accès internet
![Page 11: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/11.jpg)
Ajouter le routeur PFSENSE dans les exceptions de proxy
Pour bloquer des sites :
http://www.squidguard.org/Doc/expressionlist.html
Mise en place d’un filtrage avec Squid Guard
ATTENTION : BIEN FAIRE APPLY A CHAQUE MODIFICATION DE LA CONFIGURATION DE SQUID GUARD
Activer Squid Guard en cochant ENABLE puis faire SAVE puis APPLY
![Page 12: hassaniznb.files.wordpress.com · Web viewWEB PROXY PFSENSE. Pre requis. Travail effectué en version 2.2.6. Installation des packages Squid. Installer Squid 2.7 et Squid Guard](https://reader036.vdocuments.mx/reader036/viewer/2022081411/60ac9bf03558e5158a393911/html5/thumbnails/12.jpg)
Aller dans Comme ACL et dans Target Rules List autoriser tous les sites par défaut
Ajouter une target category avec la liste des domaines interdits
Activer Deny sur la target List
Faire Save et Apply sur l’onglet 1 et tester