PhenIXUS

[bartoch]

Bonjour,

Je possède un Squid sous Debian qui me sert exclusivement à loguer le traffic web des utilisateurs. Nous n'utilisons pas de cache et celui ci est transparent.

Par contre il est impossible de voir les sites en https, il faut savoir que le Squid n'a qu'une seule carte réseau.

Je sais que le https ne peut pas fonctionner avec un transparent mais est il possible de faire une règle pour que tout ce qui arrive du port 443 ne soit pas analyser et rediriger directement vers la gateway ?

J'ai beaucoup de mal avec le firewall, serait il possible de me montrer un exemple.

Mon réseau 192.168.0.0/255.255.255.0
Squid 192.168.0.250
Routeur 192.168.0.240

Merci à vous.

[jdh]

C'est un peu succinct comme schéma !
(Il semble que vous n'ayez pas de firewall : c'est 'mal' !)

Un bon schéma pourrait être :

Internet <---> routeur <-A-> (WAN) firewall (LAN) <-B-> réseau interne dont le proxy
(dois-je préciser que les réseaux A et B doivent être différents ?)


Dans ce schéma, on peut faire une redirection pour le trafic sortant en 80/tcp=http via le proxy.
Et on laissera passer le trafic sortant 443/tcp=https.
(Bien évidemment on interdira toute autre machine que le proxy à traverser le firewall pour http !)


Mais il y a mieux à faire : WPAD = web proxy auto discover et configurer chaque client en 'proxy automatique'.
Avec ce protocole, il est possible de 'forcer' à passer par le proxy pour http et https sans doute.
Et cela ne demande aucune machine de plus !

[bartoch]

Bonsoir,

Non le Squid n'est là que pour du log sur le trafique web. Nous avons un firewall sur la gateway.
Le proxy devant resté transparent également donc pas de config sur les postes clients.

Cdt

[jdh]

WPAD suppose que chaque poste (firefox ou IE en fait) soit configuré en proxy automatique.
Cela ne constitue pas une difficulté puisque c'est juste le test de WPAD avant de passer en 'pas de proxy'.
C'est donc une config meilleure que la oonfig de base 'pas de proxy'.

L'intérêt de la démarche est de bénéficier d'un proxy s'il en existe un disponible sur le réseau.
En l'absence, cela fonctionne aussi (par exemple pour les nomades) !


Par ailleurs, certains sites ne fonctionnent pas en transparent ...
Par exemple, l'authentification n'est pas compatible comme le mode sécurisé https.
Et il faut savoir qu'ouvrir en sortie https sans contrôle n'est pas une bonne idée ...

[jdh]

Je vous renvoie à http://irp.nain-t.net/doku.php/220squid:050_wpad (Christian CALECA forcément).

Je cite (à la fin) :

Cette « configuration automatique » peut rester activée en permanence. En effet, si le serveur wpad n'est pas trouvé, ou s'il ne fournit pas de script, le navigateur enverra les requêtes directement au serveur ciblé par l'URL. A première vue, cette solution semble bien souple et bien agréable pour l'utilisateur.

Comme je pense utile de faire connaitre WPAD, je vais préparer un petit tuto de mise en oeuvre ...

[bartoch]

Un grand merci à vous