[SQUID] Mode pont d'interface

Discussions sur l'administration de la protection et de l'administration du proxy SQUID et le filtrage d'URL

[SQUID] Mode pont d'interface

New postby erase » Fri Oct 16, 2015 1:45 pm

Bonjour,

Je viens vers vous car je suis actuellement entrain de tester votre solution pour une mise en production dans l'entreprise ou je travaille.

Je rencontre quelques problèmes dans la mise en place d'un proxy transparent en mode "pont d'interfaces". En effet je suis la procédure détaillée ici afin de mettre ceci en place : http://artica-proxy.fr/le-mode-pont-din ... re-reseau/
Cependant il est impossible de trouver cette icone "transparent", ni même de trouver "l'assistant d'activation du mode transparent".

J'utilise l'appliance VMWARE et je suis sous la version 2.25.101422. Le seul mode transparent que je trouve me mènent vers Mikrotik.

Auriez vous une solution ? Peut être cela viens de ma version ? Ou de l'appliance VMWARE ? Ou bien de la licence ?

Bien a vous.
erase
 
Posts: 6
Joined: Fri Oct 16, 2015 1:26 pm
Artica servers number: 1
Linux System: Debian
Technical skills: A Linux System Administrator

Re: [SQUID] Mode pont d'interface

New postby admin » Fri Oct 16, 2015 3:30 pm

La documentation français est un peut en retard ( v1.9x), je vous invite à regarder la documentation US plus à jour :
http://artica-proxy.com/documentation/
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Mode pont d'interface

New postby erase » Mon Oct 19, 2015 2:11 pm

Bonjour et merci de votre réponse rapide.

Je suis effectivement arrivé à faire marcher le mode proxy transparent tel que nous le voulons, avec un "pont d'interface" donc.
Les requêtes transitent donc bien via notre proxy sans avoir a toucher a la config des postes ce qui nous convient parfaitement, nous avons également demandé un licence d'évaluation qui nous a étés accordés afin de tester la connexion a notre LDAP.
La connexion est bien établie, cependant nous voyons l'utilisateur LDAP qui est à l'origine d'une requête seulement quand nous rentrons nous mêmes dans les paramètres proxy du système pour indiquer l'adresse de notre serveur et passer par celui-ci.
Lors du fonctionnement en mode transparent le proxy ne semble pas pouvoir résoudre l'utilisateur LDAP a l'origine de la requête.

Je ne sais pas si je me suis bien fait comprendre.

Par avance merci.
erase
 
Posts: 6
Joined: Fri Oct 16, 2015 1:26 pm
Artica servers number: 1
Linux System: Debian
Technical skills: A Linux System Administrator

Re: [SQUID] Mode pont d'interface

New postby admin » Mon Oct 19, 2015 11:08 pm

Oui vous vous êtes bien fait comprendre toutefois

Le mode transparent n'autorise pas d'indentification à travers une base de données ( aussi bien via Active Directory que LDAP )
Le mode transparent utilise un routage TCP qui n'est pas en mode "Connecté" et ne permet pas d'authentifier les utilisateurs.
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Mode pont d'interface

New postby erase » Tue Oct 20, 2015 1:09 pm

Très bien,

Et existe-il une solution qui serais "transparente" dans le sens ou l'utilisateur n'aurais pas de proxy à rentrer dans les paramètres système ou navigateurs et qui proposerait une authentification par AD et dans le cas d'absence de compte un prompt pour s'identifier ?
Cette problématique se pose pour tout les appareils nomades et que nous devons gérer. J'avais pensé peut être au mode "hotspot" qui est disponible mais il nécessite beaucoup de changement (création d'un subnet dédié à ça entres autres).

edit : nous avons un routeur zywall usg 200 et j'ai vu sur l'un de vos tuto web que nous pouvons l'utiliser avec l'option de redirection http, cependant cela ne permettrais pas de faire de l'auth ?
erase
 
Posts: 6
Joined: Fri Oct 16, 2015 1:26 pm
Artica servers number: 1
Linux System: Debian
Technical skills: A Linux System Administrator

Re: [SQUID] Mode pont d'interface

New postby admin » Tue Oct 20, 2015 1:59 pm

Non plus il ne s'agit pas d'une limitation proxy mais d'une limitation protocolaire.

En effet pour demander une authentification il faut que explicitement le proxy stoppe la communication et envoi un 304.
Cette condition ne peut être satisfaite par un routage TCP comme le DNAT/SNAT/NAT

Le système de hotspot corrompt le protocole et utilise l'adresse MAC comme identifiant avec une pseudo identification par page Web.
Ce système n'a rien à voir avec une authentification explicite.

Toutefois, je comprends votre frustration et votre besoin.

Pour cela je vous propose deux thèmes correspondant à deux besoins:

1) Je ne veux pas me déplacer sur les postes de travail pour modifier les paramètres des navigateurs.

Il existe plusieurs alternatives/solutions pour ceci:
Utiliser une GPO Microsoft:
http://artica-proxy.fr/gpo-internet-exp ... tory-2012/
Utililser FrontMontion
http://artica-proxy.fr/piloter-firefox- ... ry-2012r2/

Utiliser le DHCP avec l'option 252
Utilise le système WPAD
http://artica-proxy.fr/auto-configuration-et-wpad/

2) Je veux juste avoir des logs et statistiques avec des comptes utilisateurs.
Artica permet de faire coïncider des adresses MAC avec des comptes utilisateurs ( fonctionnalité nommée Alias Proxy)
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Mode pont d'interface

New postby erase » Tue Oct 20, 2015 2:42 pm

Tout d'abord merci encore pour cette réponse détaillée.

Le besoin est effectivement celui-ci, j'avais d'ailleurs regardés en amont les différentes options que vous me proposez (à l’exception du DHCP avec l'option 252 que je ne connaissait pas). Cependant le problème principal n'étant pas vraiment les postes de travail fixe ou il est assez simple de modifier le proxy.

Le problème se situant plutôt au niveau des appareils mobiles qui vont se connecter au wifi déjà existant, il est difficile de contrôler ces appareils et de mettre un nom en face d'une IP / MAC. Au delà du mode transparent qui ne propose pas d'identification et d'authentification, articaproxy ne propose il pas un mode de fonctionnement (routeur peut être ?) qui permettrais par exemple en changeant la passerelle par défaut et en mettant le serveur artica en gateway de proposer cela ?

Je demande cela car nous sommes en contact avec des sociétés proposant des utm qui semblent faire cela, cependant nous préférerions partir sur artica entreprise qui est plus abordable.
erase
 
Posts: 6
Joined: Fri Oct 16, 2015 1:26 pm
Artica servers number: 1
Linux System: Debian
Technical skills: A Linux System Administrator

Re: [SQUID] Mode pont d'interface

New postby admin » Tue Oct 20, 2015 3:18 pm

Vous pouvez faire un proxy "mixte".
C'est à dire un Port connecté avec Active Directory/LDAP pour les utilisateurs identifiés et un autre port en mode "transparent" permettant d'être la passerelle d'un réseau afin de faire passer les paquets 80/443 par le proxy.

La seule incompatibilité du mode mixte est que l'on ne peut pas faire de proxy mixte hotspot/proxy authentifié. Un hotspot est un hotspot point.

Toutefois, comme la licence permet d'installer deux proxys dans un même réseau et que vous pouvez virtualiser... Cette limitation ne pose pas de problème en soit...
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France


Return to Squid et filtrages

Who is online

Users browsing this forum: No registered users and 6 guests

cron