PhenIXUS

[ben350ci]

Salut,
est ce qu'une machine tournant avec squid et deux cartes réseau est capable de gérer les requêtes de deux réseau différents?
Je m'explique:
J'ai deux réseaux non interconnectés sur deux plages réseau différentes.
Les deux réseau possèdent leur propre pare-feu PfSense.
Chaque réseau possède son propre WAN.
Donc étant donné que le proxy serait placé non pas entre le pare-feu et le wan mais plutôt parallèle au pare-feu sur un même switch sortant sur le wan, est il possible, n'est il pas possible?
Pour le moment je ne connais squid que par l'intermédiaire du package pfsense donc je ne sais pas si squid peut gérer deux interfaces réseau connectées à deux réseaux différents.

ARCHI PROXY.jpg (21.95 Kio) Consulté 1456 fois

J'ai cherché un peu sur le web mais sans succès, ou alors je n'utilise pas les bons mots clés.

[ben350ci]

D'ailleurs le proxy je le mets avant ou après les firewalls?

[jdh]

(Pour un premier fil, c'est bien : il y a un schéma et c'est à peu près clair.)

Je pense qu'il y a plusieurs problèmes (cachés ou non) avec ce schéma :
- le squid aurait 2 WAN : cela pose problème,
- comment squid pourrait aiguiller sur le wan correspondant à la requête arrivé : il est plus que probable qu'une fois sur 2 ce sera le mauvais wan,
- confidentialité : non vu !

Je ne pense pas que ce soit un schéma souhaitable.
Au mieux, il faut mutualiser le pfsense : 1 seul pfsense + 2 LAN + 2 WAN + règles interdisants LAN1 vers LAN2

NB : Si le proxy est avant le firewall, c'est que les 2 réseaux sont reliés ! Donc pas bon !

[ben350ci]

Ok, merci. Ça s'éclaircit.
Donc, effectivement supprimer un pfsense et en utiliser un pour les deux réseau serait une solution alternative.
Mais y a t'il un moyen de "router" les requêtes vers le bon wan selon l'origine de la demande?

[ccnet]

Bonne description de la situation mais architecture inadaptée.
Une première règle simple à ne pas perdre de vue : tous les flux doivent transiter par le firewall (ou le cluster). L'architecture est à revoir, Jdh donne les bonnes directions à suivre. Vous pouvez mutualiser mais conserver l'étanchéité des réseaux. Squid devrait être une machine indépendante. Il sait gérer ce que vous souhaitez, mais commençons par l'architecture d'ensemble.

[jdh]

pfSense est parfaitement adapté pour gérer 2 réseaux distincts (=étanches) et 2 WAN distincts.

Néanmoins, utiliser un seul Squid (Proxy) est, pour la confidentialité, une hérésie totale !
Il y a un risque de récupérer en cache des pages web cherchées pour l'autre réseau !

[ben350ci]

Salut,
En fait, je vais détailler un peu plus. Il y a un réseau administratif avec une cinquantaine de postes environ et un second réseau destiné à l’accès Internet strictement (pas de trafic intra-lan, en moyenne 250-300 clients), comme un hot-spot.
J'ai 3 serveur HP DL360 dispo. En fait, deux d'entre eux sont actifs en ce moment avec pare-feu pfsense. Je souhaite donc à présent mettre en place efficacement le proxy sur ces deux réseau.
Ma question était pour savoir si je pouvais m'éviter l'ajout d'un autre serveur. C'est pas pour ce que ça coûte mais plutôt pour la place dans la baie serveur.

Vous me conseillez donc un firewall pour les deux réseaux et deux proxy, un pour chaque WAN, c'est bien ça? Mais comment demander au pfsense de diriger les requêtes aux bons proxy respectifs puis au bon WAN? Ça sent l'impasse, non?

[jdh]

Je reprends :

- 2 réseaux distincts = 2 proxy distincts, ne serait que par sécurité,
- un pfsense avec 4 cartes ports doit convenir : LAN1, HOTSPOT, WAN1, WAN2,

Ce pfsense saura :
- séparer sérieusement LAN1 et HOTSPOT (avec règles d'interdiction entre zones),
- utiliser la bonne gateway (LAN1 -> WAN1 et HOTSPOT -> WAN2),
- rediriger vers PROXY1 et PROXY2 toujours selon le réseau d'origine,

Avec 3 machines, c'est possible :
- un pfsense avec 4 ports réseau,
- 2 proxy avec une seule interface,
- 2 switchs (distincts) 5 ports reliant WAN1-PROXY1-rtr1 et WAN2-PROXY2-rtr2.

(Idéalement, je doublerai le pfSense en créant un cluster CARP de 2 serveurs)

[ben350ci]

Ok ça se tient. Donc j'ai bien compris comment faire le lien entre LAN et WAN mais "rediriger vers PROXY1 et PROXY2 toujours selon le réseau d'origine," ça se fait comment dans pfsense?