WEB PROXY PFSENSEPre requis
Travail effectué en version 2.2.6
Installation des packages Squid
Installer Squid 2.7 et Squid Guard
Eviter les packages de type Béta ou RC
Squid Guard v3
Squid
Web Proxy avec LDAP - Configuration de l’authentification LDAP
Procédure
Dans l’AD
Créer dans l’AD un utilisateur PFSENSE
Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet
Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité
Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE
Conseils : Eviter les espaces dans les noms d’où
En cas de problème ne pas hésiter à changer le port 3128 en 8080
Dans PFsense
Paramétrer PFSense
Sur une machine
Modifier dans un navigateur le proxy
Tester le proxy
Mise en place
Créer dans l’AD un utilisateur PFSENSE
Créer une OU avec à l’intérieur un groupe de sécurité AccesInternet
Affecter les utilisateurs disposant d’un accès internet à ce groupe de sécurité (Attention PFSENSE ne prend en compte l’authentification basés sur un groupe – A VERIFIER)
Placer les utilisateurs pouvant disposer de l’accès internet dans l’OU ACCESINTERNET
Accorder sur l’OU des droits en lecture à l’utilisateur PFSENSE
On crée une délégation de contrôle à l’utilisateur PFSENSE pour l’OU ACCESINTERNET.
Pfsense pourra ainsi lire le contenu de l’OU ACCESINTERNET
Variante si cette méthode ne fonctionne pas, cette méthode est plus fine
On coche toutes les propriétés en lecture
Paramétrage de PFSENSE
On choisit l’authentification LDAP et V3
Je saisi l’IP du serveur AD ou le FQDN complet
Bien saisir le port LDAP en 389 même si celui-ci est le port par défaut
Je saisis le DN de l’utilisateur PFSENSE qui aura le droit de lire dans l’OU ACCES INTERNET, attention aux majuscules !!!
Je donne à PFSENSE le droit d’aller lire dans l’AD via la délégation de contrôle précédemment créée
Je saisis le base domain, c’est l’endroit où sont stockés les utilisateurs ayant un accès internet.
Supprimer le contenu de LDAP username DN attribute (UID par défaut)
Modifier le LDAP search filter comme sur le screen en respectant majuscules et minuscules
Test
Je modifie le proxy et son port dans mon navigateur
Paramétrage des navigateurs internet
Pour que le proxy soit actif pour https bien coché la case utiliser le proxy pour tous les protocoles
Je tente de me connecter en administrateur (qui n’a pas d’accès internet), puis je tente de me connecter en testman qui possède un accès internet
Ajouter le routeur PFSENSE dans les exceptions de proxy
Pour bloquer des sites :
http://www.squidguard.org/Doc/expressionlist.html
Mise en place d’un filtrage avec Squid Guard
ATTENTION : BIEN FAIRE APPLY A CHAQUE MODIFICATION DE LA CONFIGURATION DE SQUID GUARD
Activer Squid Guard en cochant ENABLE puis faire SAVE puis APPLY
Aller dans Comme ACL et dans Target Rules List autoriser tous les sites par défaut
Ajouter une target category avec la liste des domaines interdits
Activer Deny sur la target List
Faire Save et Apply sur l’onglet 1 et tester