Академический Документы
Профессиональный Документы
Культура Документы
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration
© Copyright 2004
Author: Marco Sondermann
Traduit en français par Pulsergene
marco.sondermann@myrealbox.com
http://www.advproxy.net
Table of contents
1 PREFACE.....................................................................................................................................................4
1.1 RIGHTS AND DISCLAIMERS ......................................................................................................................4
1.2 TRADEMARKS .........................................................................................................................................4
2 INTRODUCTION ..........................................................................................................................................5
2.1 APERÇU .................................................................................................................................................5
2.2 LISTE DETAILLEE SUR L’ADVANCED PROXY ..............................................................................................5
2.3 BASE LEGALE .........................................................................................................................................5
2.4 MOTES DE SECURITE ..............................................................................................................................6
2.4.1 Installation et remplacement des fichiers binaires...........................................................................6
2.4.2 Règles du firewall ............................................................................................................................6
2.4.3 Mots de passe..................................................................................................................................6
3 INSTALLATION............................................................................................................................................7
3.1 PRE REQUIS POUR L’INSTALLATION ..........................................................................................................7
3.2 INSTALLATION DE L’ADD-ON ADVANCED PROXY ........................................................................................7
3.3 DESINSTALLATION DE L’ADD-ON ADVANCED PROXY ..................................................................................7
3.4 PROBLEMES LIES AUX MISES A JOUR OFFICIELLES DE SMOOTHWALL .........................................................8
3.5 DEFINITION DES DIRECTIVES DE CONFIGURATION PAR L’UTILISATEUR .........................................................8
4 CONFIGURATION DU PROXY WEB ..........................................................................................................9
4.1 PARAMETRAGES COMMUNS .....................................................................................................................9
4.1.1 Activé sur <Interface>......................................................................................................................9
4.1.2 Transparent sur <Interface> ............................................................................................................9
4.1.3 Le serveur proxy (host:port).............................................................................................................9
4.1.4 Nom d’utilisateur ..............................................................................................................................9
4.1.5 Mot de passe ...................................................................................................................................9
4.1.6 Port du Proxy .................................................................................................................................10
4.1.7 Langage du message d’erreur.......................................................................................................10
4.1.8 Email de l’Administrateur du cache ...............................................................................................10
4.2 PARAMETRAGES DES LOGS ...................................................................................................................11
4.2.1 Activation des logs.........................................................................................................................11
4.2.2 Log query terms .............................................................................................................................11
4.2.3 Log useragents ..............................................................................................................................11
4.3 GESTION DU CACHE ..............................................................................................................................12
4.3.1 Taille du cache disque ...................................................................................................................12
4.3.2 Taille de la mémoire cache............................................................................................................12
4.3.3 Taille minimum des objets .............................................................................................................12
4.3.4 Taille maximum des objets ............................................................................................................12
4.3.5 Nombre de sous repertoires au niveau -1 .....................................................................................12
4.3.6 Stratégie de suppression de la mémoire .......................................................................................13
4.3.7 Stratégie de suppression du cache ...............................................................................................13
4.3.8 Ne pas cacher ces domaines ........................................................................................................13
4.4 RESEAU BASE SUR LE CONTROLE D’ACCES.............................................................................................14
4.4.1 Sous réseaux .................................................................................................................................14
4.4.2 Adresses IP ou sous réseaux bannis ............................................................................................14
4.4.3 Adresses IP non restreintes...........................................................................................................14
4.4.4 Adresses MAC non retreintes........................................................................................................15
4.5 RESTRICTIONS DE TEMPS ......................................................................................................................16
4.6 LIMITATION DES TRANSFERTS ................................................................................................................16
4.7 TYPE DE FILTERS MIME........................................................................................................................17
4.8 NAVIGATEUR INTERNET.........................................................................................................................18
4.8.1 Vérification du navigateur ..............................................................................................................18
Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 2
Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration
1 Préface
1.1 Rights and Disclaimers
The information contained within this document may change from one version to the next.
All programs and details contained within this document have been created to the best of the authors
knowledge and tested carefully. However, errors cannot be completely ruled out. Therefore the author does
not express or imply any guarantees for errors within this document or consequent damage arising from the
availability, performance or use of this or related material.
1.2 Trademarks
The use of names in general use, names of firms, trade names, etc. in this document, even without special
notation, does not imply that such names can be considered as “free” in terms of trademark legislation and that
they can be used by anyone. All trade names are used without a guarantee of free usage and might be
registered trademarks. As a general rule, the author adheres to the notation of the manufacturer. Other
products mentioned here could be trademarks of the respective manufacturer.
Microsoft, Windows, FrontPage, Internet Explorer and Active Directory are either registered trademarks or
trademarks of Microsoft Corporation in the United States and/or other countries/regions.
Novell, NetWare and eDirectory are either registered trademarks or trademarks of Novell, Inc. in the United
States and other countries.
2 Introduction
2.1 Aperçu
L’add-on Advanced Proxy Server étend le service Proxy de SmoothWall avec beaucoup de dispositifs
additionnels souples, flexibles et utiles.
Intégration sans couture dans l’interface d’administration pour la configuration du Advanced Web
Proxy
Authentification des utilisateurs locaux, incluant des groupes basés sur la gestion utilisateurs
Attention: Avant d’utiliser ce logiciel, soyez sûr que ce sera en accord avec les lois nationales ou d'
autres
règlements légaux
Avertissement explicite: Dans la plupart des pays, les utilisateurs doivent être informé que les données
personnelles seront enregistrées, comme la date, le temps, la source et la destination dans la conjonction
avec le nom d'utilisateur. N'
utilisez pas ce logiciel dans un environnement d'
affaires sans l'
accord écrit
du service du personnel
3 Installation
3.1 Pré requis pour l’installation
Il n’y a pas de pré requis spéciaux à connaître avant l’installation de cette add-on.
Note: D’autres add-ons qui ont modifiés les paramètres de Proxy (spécialement certains modules filtres)
peuvent ne plus fonctionner après l’installation de cette add-on.
Étape 2: Copier le paquetage d’installation sur le serveur SmoothWall. Pour les clients WIndows, ceci peut
être fait en utilisant le logiciel WinSCP.
Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SCP
Étape 3: Connecter vous en root sur la console ou via SSH. Pour les clients WIndows, ceci peut être fait en
utilisant le logiciel PuTTY.
Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SSH
Étape 6: Ouvrez l’interface d’administration de SmoothWall. Maintenant, dans le menu service, vous trouverez
l’entrée “Proxy” étendue à “Advanced Proxy”. Sélectionnez cette entrée pour accéder) la page
d’administration du proxy avancé.
Étape 7: Modifiez les paramétrages de configuration en fonction de vos besoins et redémarrer le serveur
Proxy pour faire appliquer mes changements de paramètres.
Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SSH
Étape 3: Ouvrez l’interface d’administration de SmoothWall. Dans le menu service, sélectionnez l’entrée
“Proxy”.
Étape 4: Les précédentes configurations sont maintenant mises par défaut. Redémarrer le serveur Proxy pour
activer la précédente configuration.
Ce problème peut être résolu en réinstallant l’add-on. Il n’est pas nécessaire de désinstaller celle-ci en
premier, parce qu'
il régénère toutes les modifications nécessaires du menu et conserve les paramètres actuels
de l'
add-on.
Advanced Proxy ne fonctionnera pas proprement après l’installation d’une mise à jour
Il est possible que certains fichiers binaires nécéssaires de l’Advanced Proxy ont été remplacés.
Ce problème peut être résolu en réinstallant l’add-on. Cela ne nécéssite pas une désinstallation de l’add-on en
premiser, parce qu'
il installe tous les dossiers requis une fois de plus et conserve les paramètres actuels de
l’add-on.
Note: Si le service Proxy est désactivé, toutes les requêtes de clients seront transférées directement vers
l’adresse de destination sans passer par le service Proxy et de plus, les requêtes outrepasseront toutes les
ACL (Liste de contrôle d’accès) configurées
Note: Le mode transparent fonctionne seulement avec le port de destination 80. Toutes les autres requêtes
(par exemple, le port 443 pour SSL) outrepasseront le serveur Proxy.
Note: Lorsque vous utilisez plusieurs typres d’authentification, le Proxy ne pourra pas fonctionner en mode
transparent.
Note: Pour forcer l’utilisation d’un serveur Proxy en mode non transparent, vous devrez bloquer en sortie tous
les ports habituellement utilisés pour le trafic http (80, 443, 8000, 8080, etc.).
Note: En mode transparent, Toutes les requêtes clientes pour le port 80 seront redirigées automatiquement
vers ce port.
Note: En mode non transparent, vérifiez que vos postes clients sont configurés poiur utiliser ce port.
Autrement, ils outrepasseront le serveur Proxy et les ACL seront ignorés.
Cette option de fichier log devra être seulement active pour le débuggage et le résultat non montré dans
l’interface Web.
Note: Ce paramètre ne specifie pas la taille maximum du process. Cela place seulement une limite sur
combien de RAM additionnelle, le Proxy Web l’utilisera comme un cache d’objets.
Chaque répertoire de niveau -1 contient 256 sous répertoires, alors pour un nombre de 256 répertoires de
niveau -1 utilisera un nombre total de 65536 sous répertoires pour le disque cache. Ceci ralentira le
démarrage du service Proxy but pourra accélérer la vitesse du cache sous certaines conditions.
Note: La valeur recommandée de répertoires pour le niveau -1 est de 16. Vous devrez augmenter cette valeur
si seulement c’est nécessaire.
heap LRU :La stratégie Last Recently Used implémentée utilisant le heap fonctionne comme LRU, mais utilise
le heap au lieu de cela.
Pour plus d’informations sur les stratégies de suppression du cache GDSF et LFUDA, regardez :
http://www.hpl.hp.com/techreports/1999/HPL-1999-69.html et
http://fog.hpl.external.hp.com/techreports/98/HPL-98-173.html .
Vous pouvez ajouter d’autres sous-réseaux comme les sous-réseaux derrière l’interface GREEN dans de
grands environnements pour cette liste. Tous les sous-réseaux non listés n’accéderont pas à Internet.
• Restriction de temps
• Limitation de la taille pour des requêtes de téléchargement
• Vérification du navigateur
• Type de filtres MIME
• Authentification (sera exigée par défaut pour ces adresses, mais peut être arrêtée)
• Ouvertures concourantes par utilisateur (seulement disponible si l’authentification est activée)
• Restriction de temps
• Limitation de la taille pour des requêtes de téléchargement
• Vérification du navigateur
• Type de filtres MIME
• Authentification (sera exigée par défaut pour ces adresses, mais peut être arrêtée)
• Ouvertures concourantes par utilisateur (seulement disponible si l’authentification est activée)
L’utilisation des adresses MAC au lieu des addresses IP peut être utile si le service DHCP est activé sans
avoir des plages IP définies.
Les adresses MAC peuvent être entrées dans l’une de ces manières:
00-00-00-00-00-00 ou 00:00:00:00:00:00
Note: Le Serveur Proxy peut seulement déterminer les adresses MAC des clients configurés pour les sous-
réseaux des interfaces GREEN, BLUE ou ORANGE.
L’option “permis” permet l’accès à Internet et l’option “refusé” bloque l’accès à Internet durant la période
choisie. Le choix de “permis” ou “refusé” dépendra des règles de temps que vous souhaitez appliquer.
Par défaut, l’accès est permis tous les jours et à toute heure.
Note: Les restrictions de temps ne seront pas éffectives pour ces clients:
Les valeurs sont indiquées en KB. Une des raisons de la limitation de transfert pourrait être que vous
souhaitez prévenir des téléchargements des fichiers de grandes tailles, tel qu’une image de CD.
La valeur par défaut est 0 KB pour le chargement et le téléchargement, cette valeur ne définit aucune
limitation.
Note: Ces limites se rapportent à chaque demande, ce n’est pas la totalité de toutes les demandes.
Note: Les limitations de téléchargements ne seront pas éffectives pour ces clients:
Note: les limitations de chargements seront éffectives pour tous les clients.
Si l’option est activée, le filtre vérifie toutes les entêtes entrantres pour ces types de MIME. Si la demande de
type de MIME est listée pour être bloquée, l’accès à ce contenu sera refusé. Par ce chemin vous pouvez
bloquez des contenus, en aucune manière de donner une extension de nom de fichier.
Exemples:
Ajouter ce type de MIME si vous souhaitez bloquer le téléchargement des fichiers pdf:
application/pdf
Ajouter ce type de MIME si vous souhaitez bloquer le téléchargement des fichiers vidéos MPEG et QuickTime:
video/mpeg
video/quicktime
Note: Les types de MIME sont traités comme des expressions régulières. Cela signifie que le type de MIME
javascript
application/x-javascript
text/javascript
Note: Le blocage de type de MIME ne sera pas éffectif pour ces clients:
Note: Le contrôle d’accès via le navigateur ne sera pas éffectif pour ces clients:
L’ajout d’un client personnalisé peut s’avérer nécessaire si vous souhaitez mettre à jour des définitions de
votre antivirus. Si vous ne connaissez pas le useragent de ce logiciel, vous pouvez activer le logging du
useragent dans la section “Log settings” et regarder le fichier /var/log/squid/useragent.log
name,display,(regexp)
name est nécessaire pour le processus interne de l’Advanced Proxy et devra être un nom court en lettre
capiltale alphanumérique sans espacement.
display est la ligne qui apparait dans la liste de l’interface et devrait contenir le nom commun pour ce client.
(regexp) est une expression régulières qui devra correspondre à la ligne du navigateu useragent et doit
toujours être enfermé avec des parenthèses.
Avec l’option “Fake useragent”, vous avez la possibilité de réecrire cette ligne pour tous les clients. Pour les
demandes sortantes, le champ de l’entête du useragent sera modifié par le Serveur Proxy et soumis aux sites
extermes au lieu de la ligne d’origine du useragent. Ceci peut être fait Ceci peut être fait pour protéger votre
vie privée ou forcer le niveau de compatibilité désiré.
Exemples:
La ligne suivante fera croire aux serveurs externes que tous vos clients sont en train d’utiliser le navigateur
Firefox :
Quoiqu’il est possible d’entrer une ligne librement définie, un useragent comme
amènera probablement quelques difficultés pour afficher des sites Internet d’une manière correcte.
Exemples:
Pour rendre anonyme vos références, vous pouvez entrer cette ligne comme ceci:
http://xxxxxxxxxxxxxxxxxxxxxxxxxxx
Note: Cela viole la norme HTTP et peut parfois mener à quelques difficultés. Quelques sites Web bloquent les
demandes avec des références incorrectes pour se protéger contre des liaisons prétendues ou l'abus en
"volant" le graphisme de leur site Web.
Cette add-on est optionnelle et est seulement disponible si l’add-on URL filter est installée.
L’add-on URL filter s’intègre dans Advanced Proxy mais ne fait pas partie du paquetage d’Advanced Proxy et
doit être installé séparément
5 Configuration de l’authentification
Note: Lorsque vous utilisez l’authentication et avez activé le log de fichiers sur le Proxy Web, la demande du
nom d’utilisateur sera loggée en outre pour la demande d’URL. Avant d’activer le log de fichiers avec
l’utilisation l’authentification, soyez sûr de ne pas violer les lois existantes.
5.1.1 Aucune
L’authentification est désactivée. Les utilisateurs n’ont plus besoin de s’authentifier pour accéder à Internet.
L’ authentification LDAP sera utile si vous avez déjà directory service sur votre réseau et ne souhaitez pas
gérer de compte utilisteur et mot de passe supplémentaires pour accéder à Internet.
Comme c’est une option, l’appartenance à certains groupes peut être nécessaire.
Note: Le protocole LDAPS (LDAP sécurisé) n’est pas supporté par Advanced Proxy.
Windows NT 4.0 Server or Windows 2000/2003 Server (meme avec Active Directory activé)
Advanced Proxy fonctionne avec l’authentification intégrée de Windows (transparente) ou avec une
authentification standard (avec nom d’utilisateur et mot de passe).
Vous pouvez maintenir des listes avec des noms d’utilisateurs autorisés (liste blanche) ou des noms
d’utilisateurs non autorisés (liste noire).
Note: L’authentification via le groupe de travail (workgroup) peut probablement fonctionnée, mais ce n’est ni
recommandé ni supporté.
Note: Si l’utilisateur ouvre une nouvelle session, the credentials devra toujours être entrés, même si le TTL n’a
pas expiré pour une autre session.
Note: Ceci ne prend pas effet si vous utilisez une authentification locale et l’utilisateur est membre du groupe
étendu.
Une valeur supérieure à 0 est seulement nécessaire lors de l’utilisation de la limitation du nombre d’adresses
IP par utilisateur.
Dans la page du gestionnaire des utilisateurs, tous les comptes disponibles y sont affichés par ordre
alphabétique.
Standard Le paramètre par défaut pour tous les utilisateurs. Tous auront les restrictions appliquées à ce
groupe.
Etendu Utiliser ce groupe pour les utilisateurs non restreints. Les membres de ce groupe outrepasseront
les restrictions de temps et de filtre.
Désactivé Les membres de ce groupe sont bloqués. Ceci peut être utile si vous souhaitez désactiver un
compte temporairement sans perte du mot de passe.
Un nouvel utilisateur a été crée et celui-ci n’est pas membre du groupe Standard
La modification d’appatenance de certatins utilisateurs à un groupe
Les modifications de compte utilisateurs qui ne nécéssiteront pas le redémarrage du service Proxy:
Groupe
Selectionner le groupe d’appartenance pour cet utilisateur.
Mot de passe
Entrer le mot de passe pour le nouveau compte.
Créer un utilisateur
Ce bouton permettra de créer un nouveau compte. Si le nom d’utilisateur existe déjà, le compte de ce nom
d’utilisateur sera mis à jour avec le nouveau groupe et le nouveau mot de passe.
Note: Le nom d’un utilisateur ne peut être modifié. Le champs est en lecture seule. Si vous avez besoin de
renommer un utilisateur, vous devez le supprimer et en créer un nouveau compte.
http://smoothwall-green-ip:81/cgi-bin/chpasswd.cgi
Si vous êtes incertain sur l’arborescence des répertoires, vous pouvez examiner sur votre serveur LDAP en
utilisant la ligne de commande basée sur l’outil ldapsearch.
Les clients Windows peuvent utiliser (gratuit et simple d’utilisation) le navigateur Softerra LDAP pour ceci:
http://www.softerra.com/products/ldapbrowser.php
Base DN
C’est la base où commencer par rechercher le serveur LDAP. Toutes les Unités Organisationnelles (OUs)
seront incluses.
Référez vous à la documentation de votre LDAP pour le format nécessaire de la base DN.
cn=users,dc=ads,dc=local
Ceci cherchera les utilisateurs dans le groupe utilisateurs du domaine domain ads.local
ou=users,o=acme
Ceci cherchera les utilisateurs dans l’unité organisationnelle des utilisateurs dans l’organisation acme
Type de LDAP
Vous pouvez choisir entre les différentes implémentations de LDAP:
LDAP v2 et v 3
Serveur LDAP
Entrer l’adresse IP de votre serveur LDAP.
Port
Entrer le port de votre serveur LDAP en écoute pour les requêtes LDAP. Par défaut, c’est le 389.
Note: Le protocole LDAPS (LDAP sécurisé, port 636) n’est supporté par Advanced Proxy.
Note: L’utilisateur Bind DN doit avoir le droit de naviguer dans le répertoire et lire l’attribut de tous les
utilisateurs.
En plus d’une authentfiication correcte, l’utilisateur devra appartenir à ce groupe s’il souhaite accéder à
Internet.
En plus de l’authentification, vous pouvez définir des accès positifs ou négatifs à Internet via la liste de
contrôle d’accès.
Domaine
Entrer le nom du domaine que vous utiliserez pour l’authentification. Si vous êtes sous Windows 2000 ou
Windows 2003 Active Directory, vous n’aurez pas à entrer le nom NetBios du domaine.
Note: Sous Windows 2000 et supérieur, le premier contrôleur de domaine n’est pas assigné à un serveur
dédié. L’émulateur PDC d’Active Directory est un rôle logique et peut être assigné à n’importe quel contrôleur
de domaine.
Important: Le nom d’hôte du PDC doit être résolu par le serveur SmoothWall. Ceci peut être fait en ajoutant le
nom d’hôte dans “Services / Edit Hosts” (recommandé) or ou en éditant directement le fichier /etc/hosts.
Si le PDC ne répond pas aux requêtes, le processus d’authentification se fera sur le BDC.
Important: Le nom d’hôte du BDC doit être résolu par le serveur SmoothWall. Ceci peut être fait en ajoutant
le nom d’hôte dans “Services / Edit Hosts” (recommandé) ou en éditant directement le fichier /etc/hosts.
Si l’authentification intégrée est désactivée, il sera demandé à l’utilisateur de s’authentifier par son nom
d’utilisateur et son mot de passe.
Activé
Ceci active la liste de contrôle d’accès pour les utilisateurs autorisés ou non autorisés.
Note: Si l’authentification intégrée de Windows est active, le nom d’utilisateur doit être rentré avec le nom de
domaine comme préfixe au nom de l’utilisateur, séparé par un backslash.
Exemple pour les utilisateurs basés sur la liste de contrôle d’accès utilisant une authentification intégrée:
Note: Lors de l’utilisation d’une authentification intégrée, l’utilisateur doit être connecté sur le domaine,
autrement le nom de la machine locale sera ajouté au nom d’utilisateur au lieu du nom de domaine
Exemple pour les utilisateurs basés sur la liste de contrôle d’accès utilisant une authentification explicite:
Accès Client: Le fait de désactiver le Proxy permet un accès direct à Internet pour tous les postes clients.
Résultat: Le Proxy ne sera jamais utilisé. Connexion, filtrage et authentification ne seront pas disponibles.
Accès Client: Tous les postes clients sans configuration explicite du Proxy l’outrepasseront.
Accès Client: Tous les postes clients configurés pour l’utilisation d’un Proxy, utiliseront le Proxy pour tous les
ports de destination (80, 443, 8080, etc.) et même pour les clients FTP via un navigateur Web.
Résultat: Cela dépend de la configuration des postes clients si le Proxy sera utilisé ou non. Les postes clients
non configurés outrepasseront la connexion, le filtrage et l’authentification.
Accès Client: Toutes les requêtes avec pour destination le port 80 seront en interne redirigées vers le Proxy.
Les reqêtes sur d’autres ports de destination (par exemple 443 pour https) outrepasseront le Proxy.
Résultat: Pas toutes mais la plupart des reqêtes passeront par le proxy. Par conséquent les filtrages,
connexions et authentification ne seront pas fiables.
Implémentation complexe
Requiert la personnalisation des fichiers proxy.pac ou wpad.dat
Configuration flexible
La plupart des navigateurs supporte cette méthode de configuration
Implémentation complexe
Raisonnable seulement pour des environnements moyens et grands
Requiert un système de gestion de réseaux centralisés (Active Directory, ZENworks, etc.)
Configuration flexible et obligatoire
Fonctionne seulement pour des clients Win32et certains types de navigateurs
Note: Ceci sera le seul passage pour prévenir l’outrepassement du service Proxy pour les accès non
autorisés.
L’exemple suivant bloque tous les accés directs depuis l’intérieur et à destination des ports 80 et 443 à
l’exterieur .
#!/bin/sh
# Used for private firewall rules
Note: Remplacez eth0 par le nom de votre interface GREEN si eth0 n’est pas votre interface GREEN.
Note: Vous pouvez ajouter plus de lignes pour les interfaces supplémentaires
(par exmple eth1 pour le réseau wireless)
Note: Le firewall a besoin d’être redémarré après ces modifications: /etc/rc.d/rc.firewall restart
Note: L' ajout du port 21 (FTP) force le client FTP du navigateur Internet à passer par le proxy mais empêche
la plupart des clients FTP natif d'
établir une connexion avec les noms d' hôtes FTP externes.
Le poste client doit être configuré pour utiliser le service Proxy. Cf. le chapitre 6.2.
Tous les accès direct à Internet doivent être bloqués. Cf. le chapitre 6.3.