Emplacement proxy Squid

[wasch]

Bonjour à tous,

Je vais prochainement mettre en place un proxy squid dans une entreprise principalement pour pouvoir filtrer les accès par groupe (OU-ADcrosoft).
Solution retenu: Debian + Squid + Squidguard.

Le principal problème chez ce client est la bande passante, un 768kb en synchrone en partie occupée par le trafic mail (liaison satellite).
Pour essayer de "soulager" cette ligne, je vais utiliser une ligne Adsl nouvellement installée.

Nous n'avons pas la main sur le routeur Cisco (Passerelle du LAN en 192.168.161.1), cependant je vais demander au fournisseur d'accès qui le gère de créer une règle (PBR)
permettant de rediriger tout le trafic http & https vers le routeur de la ligne adsl, excepté pour le serveur mail (Outlook anywhere + webmail -> Dns vers l'IP Wan de la liaison satellite).

Donc pour le moment tout le trafic sort par le firewall situé après la liaison satellite.

Je me pose un peu la question de la meilleure manière d'insérer le proxy:
(les demandes sur le port 80 arrivant sur le Cisco seront redirigées vers le port 8080 de squid).

-> Soit dans le réseau en 172.16.16.x entre le cisco et le modem/routeur adsl.
-> Soit mettre une interface dans le réseau en 192.168.161.x et une autre en 172.16.16.x

Qu'en pensez-vous ?
Si je n'ai pas été assez clair, merci de me le dire, j'essaierai de vous fournir des infos supplémentaires.

[jdh]

(Premier bon point : voilà un problème bien posé ! C'est comme cela qu'il faut décrire son problème : il y a des informations, c'est bien !)


De mon point de vue, le proxy Squid devrait disposer de 2 interfaces réseaux plus un petit script iptables (ou mieux shorewall).

- une interface sera connecté à la carte "Eth (Fe0/1)" = sorte de DMZ du cisco,
- l'autre interface sera connecté au modem/routeur ADSL.

Un script s'occupera de controler l'accès à ce proxy :
- côté Cisco : accès depuis le réseau "Green" en 8080/tcp (3128/tcp ?) + 80/tcp (administration web) + 22/tcp (ssh sur Debian)
- côté Adsl : sortie vers Internet pour 80/tcp (http), 443/tcp (https), 21/tcp (ftp), 123/tcp+udp (ntp)

Reste à déterminer comment il résout les adresses : où se trouve son serveur dns ?

Reste à trouver les règles qui permette d'accéder au DC Windows si authentification ActiveDir ...


Outre Debian, Squid, SquidGuard, il faudrait ajouter
- un service AMP (Apache+MySQL+Php),
- le générateur d'état LightSquid pour parser les logs de SquidGuard,
- quelques automatismes pour downloader et activer des blacklist (celle de Toulouse par exemple).

[wasch]

Salut Jdh, merci pour ta réponse rapide, pour les serveurs dns, ils se trouvent en interne et les requêtes Dns vers l'externe se font à travers la ligne synchrone.

Ce qui m'embêtes dans ce que tu me proposes, c'est le nombre de ports à ouvrir, car du coup dans ma "sorte de dmz" j'aurai pas mal de ports à ouvrir de la DmZ-> vers le LAN,
et 'avec l'authentification AD en plus... (et c'est vrai que je n

Est ce que tu penses que cela pose problème, si je laisse mon proxy dans le Lan ?

- Côté Cisco : Toutes les requêtes provenant de mon Lan sur le port 80 forwardées vers le port 8080 (ou 3128) du proxy (sauf pour mon serveur IIS).
Toutes les requêtes provenant de mon proxy sur le port 80 seront envoyées vers la ligne Adsl.
- Côté Adsl: sortie vers ports http et https.

Merci !

[ccnet]

Je partage la solution proposée par jdh.
J'en ajoute une autre, qui fait peut être un peu sortir du cadre initial, mais c'est l'occasion. Pour quo pas un vrai firewall derrière le routeur Cisco. Vous seriez indépendant et pourriez gérer vos règles comme vous l'entendez. Pfsense est capable de gérer vis deux connexions Wan et vous pouvez, dans les règles, choisir la gateway selon le type de trafic.
Authentification: Si vous faites du ldap (même sur AD) un seul port à ouvrir entre deux machines le proxy et le contrôleur de domaine. L'appartenance aux groupes est exploitable via Ldap sur AD.

[jdh]

Je partage l'avis de ccnet : un firewall "propre" permet de gérer finement ses besoins sans avoir à faire intervenir les tech responsables du Cisco.

Par exemple, pfSense offre ce qu'on attend d'un firewall : multi-interfaces réseaux, règles faciles à écrire (grâce aux alias), VPN ...

[wasch]

Oui c'est marrant que vous me parlez de Pfsense car c'est ce que je souhaitais mettre au tout début,
c'est ce que l'on utilise au boulot, d'ailleurs j'ai bien galéré pour faire fonctionner "tout" mes téléphones SIP...

En fait je voulais configurer deux pattes Wan, celle pour l'Adsl ou le trafic http(s) serait envoyé et
une autre pour tout les autres protocoles vers le routeur Cisco (je ne peux pas y toucher car il gère l'authentification
avec le firewall à l'autre bout de la liaison satellite directement chez le FAI)

Ce qui me faisait un peu peur c'est le manque de temps, car je pars installer cela à plusieurs milliers de kilomètres,
et mon planning est fort chargé.
Autre point, je ne dispose que d'un serveur sur place (ML110 G6), j'aurai pu très bien installer pfsense avec addon squid & squidguard,
mais vu qu'il y a environ 80-90 utilisateurs, j'ai peur que Pfsense ne soit pas approprié (robuste ?).
Je pourrai aussi récupérer une vielle machine pour faire tourner pfsense, mais je ne préfère pas risquer une panne hardware vu que l'intervention
se fera à distance en cas de panne...

Donc j'ai pris la solution de facilité, PBR sur le Cisco avec seulement un proxy à configurer.

Bon vous me mettez le doute maintenant

[ccnet]

Le problème est parfois de se décider à mettre les moyens en regard des besoins. ici une machine de plus pour le proxy serait idéale.

[wasch]

Oui malheureusement, je dois faire avec ce que j'ai sur ce coup, c'est vrai que deux machines ça aurait été idéale.

[chazawa]

je viens de configurer dans mon entreprise un proxy PFsens avec Squid pour arreter l'acced à
certains sites. certaines machines de la societé passe par le proxy.
J'ai un controleur de domaine Active direcory 2003 server sur lequel toutes les machine de la societé se trouvent
et je l'ai precisé dans dans le proxy.
J'ai 2 passerelles. 192.168.1.3: c'est l'adresse du proxy qui joue le role du pasesrelle
au niveau de machines qu'il y a la restriction.

192.168.1.2 pour les machines qui ne passe pas par le proxy.
Rappellant que toutes les machines sont integrées dans le domaine.
A chaque fois qu'on se connecte avec un PC portable
sans integrer le PC dans le domaine, en lui donnant comme passerelle 192.168.1.2, qui n'est pas celui de proxy,
ce dernier bloque l'accèe internet. Comment peux configuer pour que un pc qui n'est pas dans le domaine et qui n'a pas
comme passerelle le proxy peut acceder à internet librement

Merci de m'aider.

[jdh]

C'est assez peu clair : schéma ? adressages ? lignes Internet ? Cela serait bien de compléter ...
Peut-être (surement ?) qu'un nouveau fil serait souhaitable : le dernier message date d'octobre 2010 !

Voilà une mauvaise expression : un proxy PFsens : pfSense est un firewall et pas un proxy !

Avec Windows, il existe des GPO que permettent de s'assurer que chacun a un proxy défini (mais cela ne vaut que pour IE !).

[chazawa]

voila ma question.

proxy Squid
@ IP :192.168.1.3
Gateway 192.168.1.1 (routeur)
le proxy joue le role de passerelle pour les postes de employes.


Controleur de domaine
@ IP: 192.168.1.20.

Tous les machines sans expetion sont intergées dans le domaine. mondomaine.net.

expl d'une config d'un poste client.

IP: 192.168.1.22
Masq sous-re: 255.255.255.0
Passerelle par defaut: 192.168.1.3. (proxy)
DNS preferé : 192.168.1.31.

tout passe tres bien sans problème.

Le problçme est la maintenant.


le portable de patron connecter avec un carble RJ45

@ IP : 192.168.1.10
Masq 255.255.255.0
Passerelle par defaut: 192.168.1.1 (routeur)
DNS Preferé: 8.8.8.8

Rappelant que ce portable ne pas integré dans le domaine.
le problème est que avec ce pc portable la restriction appliquée avec les autres postes clients sont appliquées automatiquement. le directeur n'arrive pas à naviguer librement car le proxy l'empêche. j'ai besoin d'aide.

[jdh]

Toujours peu clair !

Quel bazar ces dns !
- le contrôleur de domaine est en 192.168.1.20,
- un client a comme serveur dns 192.168.1.31,
- un autre a comme serveur dns 8.8.8.8.

Si tout est organisé comme cela, ce n'est pas étonnant !

Le PLUS simple, c'est
- la MEME passerelle pour tout le monde,
- le MEME serveur dns pour tout le monde,
- un proxy configuré pour tout le monde, avec en visée la mise en place de WPAD.

Je ne comprends toujours pas 2 passerelles !

Je répète, et j'en ai un peu ras le bol, qu'un proxy ne devrait pas être sur un firewall à partir de disons 10 utilisateurs.
C'est une contrainte ... qui présente d'importants avantages ... à condition de maîtriser !

[chazawa]

je m'excuse pour le NDS preferé c'est 192.168.1.20.

[jdh]

Il faut arrêter de compliquer ce qui pourrait être simple et efficace.

- quelles sont les caractéristiques des 2 lignes Internet ?
- quel équipement est connecté à chacune d'elle ? quelle config ? quels outils ?
- quelle version de pfSense ? quelles interfaces ? quels adressages ?