pfsense : configuration du proxy squidguard
TRANSCRIPT
PfSense : configuration du Proxy SquidGuard
1 BEKAI Ryad BTSSIO2A
Pour répondre aux besoins multiples (abus de réseaux sociaux sur lieu de travail, etc…), dans ce
tutoriel, nous verrons comment configurer un proxy sur PfSense afin de filtrer certaines URL des
utilisateurs connectés au réseau. Le tout sera monitoré grâce au service LightSquid qui fournira
les logs proxy.
Prérequis :
- Avoir installé un PfSense et l’avoir mis dans le réseau.
- Une machine cliente ou serveur Windows permettant d’accéder à l’interface web
Etape 1 : On se retrouve sur le dashboard de PfSense après l’installation classique, en accédant
à l’interface Web avec l’ip du routeur. On clique sur System > Package Manager
PfSense : configuration du Proxy SquidGuard
2 BEKAI Ryad BTSSIO2A
Etape 2 : Sur la page Package Manager, on recherche les paquets suivants : « Squid »,
« LightSquid » et « SquidGuard »
Etape 3 : On installe maintenant les trois paquets.
PfSense : configuration du Proxy SquidGuard
3 BEKAI Ryad BTSSIO2A
Etape 4 : Les paquets sont bien installés.
Etape 5 : On va maintenant créer un certificat afin de pouvoir appliquer le filtrage non seulement
en http mais aussi en https. On se rend sur System > Cert. Manager
PfSense : configuration du Proxy SquidGuard
4 BEKAI Ryad BTSSIO2A
Etape 6 : On clique sur le bouton + Add .
Etape 7 : On laisse tous les paramètres par défaut sauf Descriptive name (nom du certificat). On
retrouve notre certificat créé.
PfSense : configuration du Proxy SquidGuard
5 BEKAI Ryad BTSSIO2A
Etape 8 : On navigue sur Services > Squid Proxy Server
Etape 9 : On navigue sur l’onglet Local Cache, puis pour le champ « Hard Disk Cache Size », on
met 500 Mo. Puis on clique sur Save
PfSense : configuration du Proxy SquidGuard
6 BEKAI Ryad BTSSIO2A
Etape 10 : On navigue sur l’onglet General. On coche Enable Squid Proxy. On sélectionne
l’interface proxy « LAN », et on coche « Resolve IPv4 First ». Puis on coche également
« Trasnparent HTTP Proxy » avec l’interface « LAN » de nouveau.
PfSense : configuration du Proxy SquidGuard
7 BEKAI Ryad BTSSIO2A
Etape 11 : On coche ensuite « Enable SSL filtering », puis pour SSL/MITM Mode, on sélectionne
« Splice All », sur l’interface LAN. Pour CA (Certificat d’autorité), on sélectionne le certificat créé
aux étapes 6 et 7 (ici ProxyRyad )
Etape 12 : On coche ensuite Enable Access Logging et dans Rotate Logs, on indique 365 (365
jours)
365
PfSense : configuration du Proxy SquidGuard
8 BEKAI Ryad BTSSIO2A
Etape 13 : Dans « Error language », on sélectionne « fr », puis on coche également « Suppress
Squid Version », puis on clique sur Save
Etape 14 : On navigue sur Services > SquidGuard Proxy Filter
365
PfSense : configuration du Proxy SquidGuard
9 BEKAI Ryad BTSSIO2A
Etape 15 : On coche « Enable » pour activer SquidGuard
Etape 16 : On coche « Enable log » et « Enable log rotation » pour faire remonter les logs de
proxy.
PfSense : configuration du Proxy SquidGuard
10 BEKAI Ryad BTSSIO2A
Etape 17 : On coche ensuite « Blacklist » puis dans le champ « Blacklist URL », on entre le lien
d’une blacklist (archive contenant des catégories d’URLS à bloquer), en l’occurrence la plus
complète, celle de l’université de Toulouse, on peut aussi mettre celle de Shallalist :
http://dsi.ut-capitole.fr/blacklists/download/all.tar.gz
https://www.shallalist.de/Downloads/shallalist.tar.gz
On clique sur Save
PfSense : configuration du Proxy SquidGuard
11 BEKAI Ryad BTSSIO2A
Etape 18 : On navigue sur l’onglet « Blacklist » puis l’URL sera automatiquement insérée. On
clique sur le bouton
Etape 19 : On attend que le téléchargement se finisse.
PfSense : configuration du Proxy SquidGuard
12 BEKAI Ryad BTSSIO2A
Etape 20 : Sur l’onglet « Common ACL », on clique sur le petit de « Target Rules List »
Etape 21 : On sélectionne ici les catégories à bloquer (deny) ou à autoriser (allow). Puis Pour
« Default access [all] », on sélectionne « Allow », sinon tout sera bloqué par défaut.
PfSense : configuration du Proxy SquidGuard
13 BEKAI Ryad BTSSIO2A
Etape 22 : On coche « Do not allow IP Addresses in URL » et également « Use SafeSearch
engine » puis
Etape 23 : On retourne sur l’onglet « General Settings », puis on clique sur Apply
PfSense : configuration du Proxy SquidGuard
14 BEKAI Ryad BTSSIO2A
Etape 24 : On navigue sur Status > Squid Proxy Reports
Etape 25 : On décoche « LightSquid web SSL » qui est coché par défaut. Puis on définit un
utilisateur et un mot de passe d’accès aux logs. Puis on sélectionne également Français comme
langue.
PfSense : configuration du Proxy SquidGuard
15 BEKAI Ryad BTSSIO2A
Etape 25 : On descend plus bas, puis pour « IP Resolve Method », on sélectionne « Squidauth ».
Ensuite, pour « Refresh Scheduler », on sélectionne 60min (+). On clique ensuite sur
puis sur
Etape 26 : On peut désormais se connecter à la Console Web LightSquid en tapant l’IP sur routeur
PfSense suivi du port 7445 (port dans l’étape précédente). On entre le login et le mot de passe
également renseignés dans l’étape précédente.
PfSense : configuration du Proxy SquidGuard
16 BEKAI Ryad BTSSIO2A
Etape 24 : On navigue sur Diagnostics > Reboot puis on redémarre le PfSense.
Après le redémarrage du routeur PfSense, on se rend sur un PC Windows Client dans le réseau,
puis si l’on essaie d’accéder à une URL contenue dans la blacklist et bloquée dans la Target Rule
List, on devrait être redirigé sur une page d’erreur comme ci-dessous.
Note additionnelle : il se peut qu’il y’ait une erreur lors du chargement de l’URL lorsqu’on utilise
Google Chrome. Le proxy fonctionne bien, mais il faut importer le certificat créé dans les étapes
7 et 8 dans les paramètres de Google Chrome.
Pour cela, on se rend sur le PfSense puis System > Cert. Manager et dans Actions on le
télécharge.
PfSense : configuration du Proxy SquidGuard
17 BEKAI Ryad BTSSIO2A
1. Une fois le certificat téléchargé, dans Google Chrome, en haut à gauche cliquer sur les trois
ronds et Paramètres > Confidentialité et sécurité > Sécurité > Gérer les certificats > Importer.
2. Sur la page de bienvenue, on clique sur Suivant.
3. Dans la page Fichier à importer, on clique sur Parcourir et on sélectionne notre certificat
précédemment téléchargé.
4. Sur la page Magasin de certificats, on clique sur Placer tous les certificats dans le magasin
suivant.
5. Dans la zone Magasin de certificats, on sélectionne Personnel pour le magasin, puis on
clique sur Suivant.
5. On clique sur Terminer.