Ipcop avec urlfilter, bot et HTTPS

[youg10]

Bonjour à tous,
j'ai un petit souci, je m'explique.
Je voudrais refuser l'accès à certains sites en https mais voilà avec BOT soit je bloque tous les https soit j'autorise tout!
Y a t'il un autre moyen à votre avis? Bloquer l'ip de destination?
Car je ne voudrais pas bloquer tout le https (banques, mail et compagnies...)
Là j'avoue que je suis un peu perdu.
Merci pour votre aide.

[youg10]

Bonjour,
personne n'aurait une petite idée? ou une info pour me mettre sur une piste.
Je ne cherche pas à avoir la solution toute cuite mais une info me permettant de comprendre le fonctionnement.
Je suis bien embeté avec ce problème.

D'avance merci à tous.

[jdh]

On ne peut avoir le beurre, l'argent du beurre et le sourire de la fermière.


Soit
chaque micro (et chaque application) utilise un proxy déclaré et Squid peut filtrer http ou https,

Soit
il y a proxy transparent (qui filtre http) et on autorise explicitement chaque site en https.


En effet, dans le dernier cas, puisque le micro n'a pas connaissance de proxy, il établit lui-même la session https qui ne peut plus être filtré ailleurs.

C'est évident qu'il est pratique de n'avoir rien à configurer sur chaque micro mais cela a ses conséquences ...

[youg10]

Merci beaucoup pour votre réponse.
Donc si je comprend bien, il n'y a pas de moyen pour moi de bloquer un site en https, si ce n'est de déclarer le proxy sur chaque poste.
Bon c'est dommage, mais si il n'y a pas d'autre moyen je vais faire avec alors...
Dernière question : le site en question a une adresse et ne peut on pas bloquer cette adresse de destination?
Enore merci.

[ccnet]

Merci beaucoup pour votre réponse.
Donc si je comprend bien, il n'y a pas de moyen pour moi de bloquer un site en https, si ce n'est de déclarer le proxy sur chaque poste.

Petite précision de langage qui a son importance : Il n'est pas possible de bloquer une url en https autrement qu'avaec un proxy non transparent.

Bon c'est dommage, mais si il n'y a pas d'autre moyen je vais faire avec alors...
Dernière question : le site en question a une adresse et ne peut on pas bloquer cette adresse de destination?
Enore merci. :wink:

Il faut bien comprendre que le firewall travaille au niveau des couches 3 et 4. Or ce que vous souhaitez nécessite de "comprendre" le contenu du protocole http(s) c'est à dire de s'intéresser au contenu. C'est à dire à la couche applicative. C'est le travail d'un proxy qui exécute effectivement le protocole http(s), ce que ne fait pas un firewall comme ipcop.

[jdh]

En fait, le proxy transparent est très pratique et ... très mal compris :

- pas de réglage sur le micro qui se croit en direct sur Internet,
- au niveau du firewall déroutage du traffic vers le proxy (Squid),
- Squid reçoit le trafic, l'analyse et identifie qu'il est en mode transparent,
- Squid exécute la requête demandée, reçoit le résultat et le transfère au client.

Cela fonctionne pour http et cela permet le filtrage.

C'est super pratique parce que zéro config au niveau du client ! Mais cela ne fonctionne QUE pour http.


En utilisant un proxy déclaré (dans toute applications : p.e. firefox a ses réglages qui ne sont pas ceux d'IE), le fonctionnement devient :

- le pc sait qu'il a un proxy,
- il envoie la requête au proxy (en http, https, ou même ftp),
- Squid exécute la requête demandée, reçoit le résultat et le transfère au client.

Cela fonctionne pour http, https et ftp et cela permet le filtrage.

C'est super efficace mais il y a une config au niveau client (pour chaque appli).


Beurre, argent du beurre, sourire de la fermière ...


NB : le proxy automatique (WPAD) n'est qu'une alternative du proxy transparent. (hélas pour moi).

[youg10]

Merci beaucoup
J'y vois plus clair avec vos explications... bon je vois ce qu'il me reste à faire maintenant.