we proxy pfsense - brotelrichard.files.wordpress.com · we proxy pfsense pre requis travail...

WEB PROXY PFSENSE

Pre requis

Travail effectué en version 2.2.6

Ajouter le routeur PFSENSE dans les exceptions de proxy

Installation des packages Squid

Installer Squid 2.7 et Squid Guard

Eviter les packages de type Béta ou RC

Squid Guard v3

Squid

Web Proxy avec LDAP - Configuration de l’authentification LDAP

Procédure

Dans l’AD

Créer dans l’AD un utilisateur PFSENSE

Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet

Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité

Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE

Conseils : Eviter les espaces dans les noms d’où

En cas de problème ne pas hésiter à changer le port 3128 en 8080

Dans PFsense

Paramétrer PFSense

Sur une machine

Modifier dans un navigateur le proxy

Tester le proxy

Mise en place

Créer dans l’AD un utilisateur PFSENSE

Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet

Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité (Attention PFSENSE ne

prend en compte l’authentification basés sur un groupe – A VERIFIER)

Placer les utilisateurs pouvant disposer de l’accès internet dans l’OU ACCESINTERNET

Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE

On crée une délégation de contrôle à l’utilisateur PFSENSE pour l’OU ACCESINTERNET.

Pfsense pourra ainsi lire le contenu de l’OU ACCESINTERNET

Variante si cette méthode ne fonctionne pas, cette méthode est plus fine

On coche toutes les propriétés en lecture

Paramétrage de PFSENSE

On choisit l’authentification LDAP et V3

Je saisi l’IP du serveur AD ou le FQDN complet

Bien saisir le port LDAP en 389 même si celui-ci est le port par défaut

Je saisis le DN de l’utilisateur PFSENSE qui aura le droit de lire dans l’OU ACCES INTERNET, attention

aux majuscules !!!

Je donne à PFSENSE le droit d’aller lire dans l’AD via la délégation de contrôle précédemment créée

Je saisis le base domain, c’est l’endroit où sont stockés les utilisateurs ayant un accès internet.

Supprimer le contenu de LDAP username DN attribute (UID par défaut)

Modifier le LDAP search filter comme sur le screen en respectant majuscules et minuscules

Test

Je modifie le proxy et son port dans mon navigateur

Paramétrage des navigateurs internet

Pour que le proxy soit actif pour https bien coché la case utiliser le proxy pour tous les protocoles

Je tente de me connecter en administrateur (qui n’a pas d’accès internet), puis je tente de me

connecter en testman qui possède un accès internet

Pour bloquer des sites :

http://www.squidguard.org/Doc/expressionlist.html

Mise en place d’un filtrage avec Squid Guard

ATTENTION : BIEN FAIRE APPLY A CHAQUE MODIFICATION DE LA CONFIGURATION DE SQUID GUARD

Activer Squid Guard en cochant ENABLE puis faire SAVE puis APPLY

Aller dans Comme ACL et dans Target Rules List autoriser tous les sites par défaut

Ajouter une target category avec la liste des domaines interdits

Activer Deny sur la target List

Faire Save et Apply sur l’onglet 1 et tester