Bonjour,
 
Je souhaite installer un proxy Squid en mode transparent afin d'obliger tout utilisateur du réseau à se connecter par le proxy afin d'y appliquer des règles de filtrage URL avec blacklist et pouvoir surveiller l'activité des requêtes.
Je me pose quelques questions à savoir quel est le meilleur endroit pour le positionner (juste avant le routeur ?) et par quels moyens (redirection de port...) ?
 
Architecture :
 
pc1--
pc2--
...          ---switch--firewall (Netasq f60)--Routeur(Livebox Business 1000)--Internet
pcn--
 
En vous remerciant.

Bonjour,
 
Voici comment cela fonctionne :
 
http://www.certa.ssi.gouv.fr/site/ [...] parent.png
 
Il faudrait créer une DMZ sur le firewall Netasq (si vous avez assez de port) et ne pas oublier d'installer un DNS (qui sera configuré sur les machines) qui redirigera les requêtes http (port 80) sur le proxy transparent.
 
En suite c'est de la configuration au niveau du squid.
 
Bonne journée.

Merci. Le problème est que, comme il n'y a pas de serveur DHCP, il suffit qu'un petit malin modifie l'adresse du DNS pour mettre le DNS du FAI pour qu'il évite de passer par le proxy.
 
N'y a t-il pas un autre moyen ?

Le moyen le plus simple :  
1) ne pas le mettre en transparent
2) pusher la config proxy par GPO.
3) bloquer TOUT accès à internet quel qu'il soit aux postes.
T'inkiète, les utilisateurs feront l'effort de configurer le proxy.
 
PS: ne fonctionne que si tu fais l'étape 3).
PPS : avantage: dans ce cas, tu pourras même envisager du AAA basé sur ldap/AD

Il n'y a pas d'Active Directory sur le parc

Filtre au niveau du firewall pour rediriger tous les flux dns de ton LAN vers le bon DNS de ta DMZ.

oui, fait ca, ou alors du policy-base routing, pour router automatiquement le trafic web vers le proxy .; sinon WCP, c'est bien aussi.
Ou alors, tu te dis qu'une usine à gaz te pompera tout ton temps en maintenance et debug, et tu lis mon post pour monter un truc simplissime, compatible avec tous browsers, touts routers, et évolutif, et dont tu oublieras l'existence une fois en place...

Merci pour vos réponses. Je viens de m'apercevoir que le pare-feu dont je vous parlais (Netasq f60) n'est plus en fonction.
Pas d'AD, de pare-feu. Il n'y a donc pas d'autre choix que d'acheter du matériel ?

Le problème avec le squid transparent, c'est que tu ne pourras pas intercepter le traffic https sans avoir d'alertes de certificats (sauf si squid sait gérer un CA et que tu l'installes sur chaque pc).

Bah le plus simple c'est que le proxy transparent soit au niveau du routeur/firewall.
Impossible de le contourner sauf à sortir par une autre passerelle.

Plus 1 pour ShonGail

Pourquoi personne me lit
Est ce tellement dur de faire simple

Bonjour,

Nous l'utilisons de cette façon chez nous.

Tu places la machine sur laquelle tu as installée squid avant le routeur qui donne accès à internet et tu le configure en tant que passerelle. De cette façon, personne ne peut le contourner.

Après une règle de firewall sur le proxy qui redirige le trafic à destination du port 80 vers le port 8080 de squid.
 

mitm powa

 
Et pour le 443 ?

même principe. tu rediriges les requêtes à destination du port 443 vers le 8080 local.

 
?

ok, mais pour le filtrage URL ?

man in the middle
t'as pas d'alerte de sécurité dans le navigateur sur le https?

pas sur des sites importants. Le https est filtré pour éviter que des comiques n'utilisent ce protocole pour contourner le proxy et lorqu'il y a un problème avec un site https, on lui donne comme directive direct_connect et jusqu'à présent, ça fonctionne très bien comme ça.

Voir dans certains cas bien déterminés (banques, institutions officielles), nous ajoutons des règles de routage qui contournent le proxy.

Autre solution plus sécurisé on va dire  
 
2 proxy, l'un demande une authentification, il est sur le lan,
le deuxieme est en dmz et est transparent.
 
Tu fais des regles de changement de port entre les 2 via ton Firewall et zou !!!