pfsense : configuration du proxy squidguard

PfSense : configuration du Proxy SquidGuard

1 BEKAI Ryad BTSSIO2A

Pour répondre aux besoins multiples (abus de réseaux sociaux sur lieu de travail, etc…), dans ce

tutoriel, nous verrons comment configurer un proxy sur PfSense afin de filtrer certaines URL des

utilisateurs connectés au réseau. Le tout sera monitoré grâce au service LightSquid qui fournira

les logs proxy.

Prérequis :

- Avoir installé un PfSense et l’avoir mis dans le réseau.

- Une machine cliente ou serveur Windows permettant d’accéder à l’interface web

Etape 1 : On se retrouve sur le dashboard de PfSense après l’installation classique, en accédant

à l’interface Web avec l’ip du routeur. On clique sur System > Package Manager



Etape 2 : Sur la page Package Manager, on recherche les paquets suivants : « Squid »,

« LightSquid » et « SquidGuard »

Etape 3 : On installe maintenant les trois paquets.



Etape 4 : Les paquets sont bien installés.

Etape 5 : On va maintenant créer un certificat afin de pouvoir appliquer le filtrage non seulement

en http mais aussi en https. On se rend sur System > Cert. Manager

Rectangle



Etape 6 : On clique sur le bouton + Add .

Etape 7 : On laisse tous les paramètres par défaut sauf Descriptive name (nom du certificat). On

retrouve notre certificat créé.

Stamp

Rectangle

Rectangle



Etape 8 : On navigue sur Services > Squid Proxy Server

Etape 9 : On navigue sur l’onglet Local Cache, puis pour le champ « Hard Disk Cache Size », on

met 500 Mo. Puis on clique sur Save



Etape 10 : On navigue sur l’onglet General. On coche Enable Squid Proxy. On sélectionne

l’interface proxy « LAN », et on coche « Resolve IPv4 First ». Puis on coche également

« Trasnparent HTTP Proxy » avec l’interface « LAN » de nouveau.



Etape 11 : On coche ensuite « Enable SSL filtering », puis pour SSL/MITM Mode, on sélectionne

« Splice All », sur l’interface LAN. Pour CA (Certificat d’autorité), on sélectionne le certificat créé

aux étapes 6 et 7 (ici ProxyRyad )

Etape 12 : On coche ensuite Enable Access Logging et dans Rotate Logs, on indique 365 (365

jours)

365



Etape 13 : Dans « Error language », on sélectionne « fr », puis on coche également « Suppress

Squid Version », puis on clique sur Save

Etape 14 : On navigue sur Services > SquidGuard Proxy Filter

365



Etape 15 : On coche « Enable » pour activer SquidGuard

Etape 16 : On coche « Enable log » et « Enable log rotation » pour faire remonter les logs de

proxy.



Etape 17 : On coche ensuite « Blacklist » puis dans le champ « Blacklist URL », on entre le lien

d’une blacklist (archive contenant des catégories d’URLS à bloquer), en l’occurrence la plus

complète, celle de l’université de Toulouse, on peut aussi mettre celle de Shallalist :

http://dsi.ut-capitole.fr/blacklists/download/all.tar.gz

https://www.shallalist.de/Downloads/shallalist.tar.gz

On clique sur Save



Etape 18 : On navigue sur l’onglet « Blacklist » puis l’URL sera automatiquement insérée. On

clique sur le bouton

Etape 19 : On attend que le téléchargement se finisse.

Rectangle

Stamp



Etape 20 : Sur l’onglet « Common ACL », on clique sur le petit de « Target Rules List »

Etape 21 : On sélectionne ici les catégories à bloquer (deny) ou à autoriser (allow). Puis Pour

« Default access [all] », on sélectionne « Allow », sinon tout sera bloqué par défaut.



Etape 22 : On coche « Do not allow IP Addresses in URL » et également « Use SafeSearch

engine » puis

Etape 23 : On retourne sur l’onglet « General Settings », puis on clique sur Apply

Rectangle

Stamp



Etape 24 : On navigue sur Status > Squid Proxy Reports

Etape 25 : On décoche « LightSquid web SSL » qui est coché par défaut. Puis on définit un

utilisateur et un mot de passe d’accès aux logs. Puis on sélectionne également Français comme

langue.



Etape 25 : On descend plus bas, puis pour « IP Resolve Method », on sélectionne « Squidauth ».

Ensuite, pour « Refresh Scheduler », on sélectionne 60min (+). On clique ensuite sur

puis sur

Etape 26 : On peut désormais se connecter à la Console Web LightSquid en tapant l’IP sur routeur

PfSense suivi du port 7445 (port dans l’étape précédente). On entre le login et le mot de passe

également renseignés dans l’étape précédente.

Stamp

Rectangle

Stamp

Stamp



Etape 24 : On navigue sur Diagnostics > Reboot puis on redémarre le PfSense.

Après le redémarrage du routeur PfSense, on se rend sur un PC Windows Client dans le réseau,

puis si l’on essaie d’accéder à une URL contenue dans la blacklist et bloquée dans la Target Rule

List, on devrait être redirigé sur une page d’erreur comme ci-dessous.

Note additionnelle : il se peut qu’il y’ait une erreur lors du chargement de l’URL lorsqu’on utilise

Google Chrome. Le proxy fonctionne bien, mais il faut importer le certificat créé dans les étapes

7 et 8 dans les paramètres de Google Chrome.

Pour cela, on se rend sur le PfSense puis System > Cert. Manager et dans Actions on le

télécharge.



1. Une fois le certificat téléchargé, dans Google Chrome, en haut à gauche cliquer sur les trois

ronds et Paramètres > Confidentialité et sécurité > Sécurité > Gérer les certificats > Importer.

2. Sur la page de bienvenue, on clique sur Suivant.

3. Dans la page Fichier à importer, on clique sur Parcourir et on sélectionne notre certificat

précédemment téléchargé.

4. Sur la page Magasin de certificats, on clique sur Placer tous les certificats dans le magasin

suivant.

5. Dans la zone Magasin de certificats, on sélectionne Personnel pour le magasin, puis on

clique sur Suivant.

5. On clique sur Terminer.

pfsense : configuration du proxy squidguard

Documents