Suite à la lecture du topic Pas de proxy sur un firewall ? , je pense avoir compris la problématique du proxy intégré mais il me vient des questions complémentaires sur la mise en application concernant le proxy :
Mon contexte :
- PME, 15-20 postes clients
- 1 Firewall Pfsense fraichement installé (enfin parfaitement fonctionnel) sans proxy.
- 1 DMZ isolée avec une serveur Linux : Aujourd'hui serveur FTP, demain IMAPs, SMTP(s), Webmail (https)
- 1 LAN constitué de 1 serveur Win 2003, 1 serveur Linux et 15 à 20 postes clients.
La problématique :
- Par le passé, le firewall était un IPCop avec proxy transparent activé.
- Aujourd'hui PFsense pourrait héberger le proxy, mais je souhaite faire le choses proprement et je dispose d'au moins un serveur Linux dans chaque zone avec les ressources matérielles suffisantes pour héberger la fonction proxy.
Les questions :
- Par le passé, le proxy sur IPCop était transparent donc indolore pour les utilisateurs.
- Si je cale le proxy sur un serveur Linux en DMZ ou en LAN, j'imagine qu'il ne sera plus transparent. La conf des postes clients sera gérée par les serveurs DHCP (PFsense en DMZ; Win 2003 en LAN), mais est-ce que les utilisateurs devront faire face à des limitations fonctionnelles du fait de l'utilisation du proxy ? Par exemple certains sites distants qui n'accepteront pas l'utilisation d'un proxy (il me semble avoir vu ça une fois en testant un squid en DMZ).
- Quelle est le meilleur endroit pour placer le proxy (DMZ ou LAN) ? Je précise que normalement, je n'ai qu'un seul serveur en DMZ,et à part les mises à jour d'OS, il n'a pas besoin d'accéder à des sites distants en http. Le serveur DHCP géré par PFsense sur la DMZ sert à offrir une connexion internet hors LAN à nos visiteurs occasionnels, donc trafic sortant divers (http(s), imap(s), pop(s), smtp(s)).
Merci d'avance pour vos réponses et conseils.