Tutoriel rédigé par Harold Jean le 28 mars 2013

Installation du proxy squid + squidguard grâce à pfsense

Après avoir récupéré votre matériel l’installation peut commencer. A noter qu’il est

impossible d'installer Pfsense sur un disque contenant une partition Fat16/32, NTFS ou

autres. Le disque dur devra être formaté pendant l’installation.

Installation sur le disque dur :

Tout d'abord, vérifier que votre ordinateur possède les caractéristiques requises, puis insérer le

cd au démarrage de votre machine.

Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix

possibles. Vous allez ici mettre l'option 1 (défaut) ou bien attendre que le compte à rebours

termine.

Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-dessous que

FreeBSD détecte le nombre de carte réseau, et y attribue des noms.

Choisissez donc quelle interface sera le LAN et l'autre le WAN.

Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y".

Tutoriel rédigé par Harold Jean le 28 mars 2013

FreeBSD charge ensuite et nous entrons dans le menu.

Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99".

L'installation qui va suivre se fait en acceptant toutes les options par défaut. Il suffit d'accepter

toutes les demandes (formatage si nécessaire et création de la partition).

Une fois l'installation terminée, retirer le cd et redémarrer la machine.

Normalement, si tout s'est bien déroulé, vous devriez atteindre à nouveau le menu de Pfsense

sans le cd.

Pfsense est en marche. Vous pouvez le configurer ici même via le Shell (ligne de commande)

ou bien via une interface graphique (http) en connectant un PC sur la carte associé au LAN.

Tutoriel rédigé par Harold Jean le 28 mars 2013

Configuration de Pfsense

Avant tout, nous vous conseillons de changer l'IP sur la machine de PfSense directement, pour

plus de simplicité par la suite.

Pour cela, dans le menu de PfSense, tapez le choix 2 Set LAN IP address.

Entrer l'adresse IP correspondant à votre LAN.

Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.

Connectez une machine sur la carte réseau de Pfsense (coté LAN, tout est bloqué coté WAN

par défaut).

N'oubliez pas de changer l'IP de votre machine.

Ouvrez ensuite votre navigateur Web, puis entrez l’adresse de la machine

Entrez ensuite le login (par défaut : admin, mot de passe : pfsense).

Installation des packages Squid et SquidGuard

Allez ensuite dans System, puis Package.

Pour pouvoir utiliser les fonctionnalités de proxy, il faut ajouter les packages « squid »,

« squid3 » et «squidguard» puis configurer les blacklists, les différentes restrictions et

éventuellement des règles d’accès supplémentaires (ACL)

Cliquer sur le signe + pour ajouter le package Squid.

Tutoriel rédigé par Harold Jean le 28 mars 2013

Installer ensuite Squid3 et également Squidguard de la même façon.

Après l’installation l’onglet « Installed Packages » permet de vérifier que les deux modules

sont bien installés

Cliquer sur Services → Proxy server.

Dans l’onglet Général, configurer les options suivantes :

Proxy interface , Pour sélectionner plusieurs interfaces utiliser la touche « control »

Allow user on interface : valider.

Transparent proxy : valider.

Log store directory : /var/log : dossier contenant déjà les autres logs.

Proxy port : 3128 : port classique pour proxy.

Language : French

Cliquer ensuite sur Save pour enregistrer la configuration.

Au niveau de l’onglet Access control → Blacklist, il est possible d’indiquer des sites en

complément des Blacklists de SquidGuard.

Cliquer sur Services → Proxy filter.

Enable : valider.

Blacklist : valider.

Blacklist url : http://www.shallalist.de/Downloads/shallalist.tar.gz (ce lien recense

tous les mots-clés sensibles, exemple : games, religion, sex, …)

Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.

Tutoriel rédigé par Harold Jean le 28 mars 2013

La liste commence à se charger, le message disparaît lorsque le téléchargement est terminé.

Il faut ensuite cliquer sur l’onglet « Default » puis sur le triangle vert pour afficher la

blacklist.

Sur chaque élément que vous souhaitez autoriser, choisissez l’élément « allow », et « deny »

pour ceux que vous voulez interdire

Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP

tapées directement dans l’URL.

Redirect mode : laisser l’option par défaut int error page

Redirect info : entrer un message d’erreur personnalisé, par exemple « Accès interdit,

contacter votre administrateur »

Enable log : cocher la case pour enregistrer l’activité du service

Cliquer enfin sur Save pour enregistrer la configuration. A noter qu’il faut également

cliquer sur Apply au niveau de l’onglet General settings pour mettre en œuvre les options

paramétrées.

Mise en place d’ACL

Une ACL (Access Control List) permet de définir des règles d’accès pour certaines

adresses IP.

Sélectionner Services -> Proxy filter -> ACL puis cliquer sur +.

Name : donner un nom à votre ACL.

Source IP adresses and domains : Entrer une plage d’adresses IP.

Ex : 10.20.201.120 - 10.20.201.150

Destination : cliquer sur le triangle vert et sélectionner les domaines à bloquer.