20 - Le Service Squid

آمين، أجمعين
عيشك :-)
بارك الله فيك على هذا التشجيع :-)
الله يرحم والدينا و والديك :-)

عيشك :-)
بارك الله فيك
شكرا جزيلا على التشجيع :-)
أهلا بخويا من الجزائر ;-)

Merci Beaucoup à vous, c'est très sympa :-)

Salam
Merci pour les encouragements :-)
En fait, Viber (ainsi que d'autres applications) n'est pas supporté par squid. Cependant, Il existe un certain nombre d'approches permettant de le faire fonctionner dans un environnement utilisant squid pour l'optimisation de l'utilisation de la connexion.
Je crois que la meilleure approche est de lui ouvrir les ports dont il a besoin (conjointement avec les adresses IP sources des postes auxquels vous voulez donner l'accès Viber. Si vous voulez permettre l'accès à ce service pour tout le monde, alors il suffit de simplement ouvrir les ports Viber). Les ports en question sont les suivants, il faut les ouvrir en UDP et en TCP:
5242, 4244, 5243, 9785
Viber utilise également les ports 80 et 443, mais c'est très probablement pour les mises à jours, ces deux ports sont supportés par squid... (d'autant plus que les ouvrir va permettre de court-circuiter squid).

Oui, ceci est possible sur tout le trafic traversant le firewall, puisque le paramétrage du trafic shaper est fait à part (un peut comme les règles de filtrage, elles s'appliquent à tout le trafic du firewall). Le trafic sera limité par le shaper avant même d'arriver au service squid (par le mécanisme des files d'attentes ou "queues"). Autrement dit, si vous appliquez une limite de 20Mb/s sur la règle permettant l'accès au service squid par un vlan donné, ce dernier ne pourra bénéficier que de ces 20Mb/s. On ajoute une autre règle d'accès au port squid depuis un autre vlan avec un autre traffic shaper et la division du débit disponible est ainsi effectuée. :-)

wa 3alykom al salam
Par résolution de nom, vous voulez dire les nom des utilisateurs (logins) qui ont fait l'accès ? ou le nom des postes clients ? ou les noms des sites auxquels ils ont accédé ?
Dans tout les cas, ceci est possible. Il faut choisir une option correspondante au choix voulu parmi ceux que j'ai mentionné. Mais ça n'affecte que les captures faites après la modification (les anciennes activités resteront avec l'ancien paramètre, donc avec l'adresse IP, seules les nouvelles captures seront par résolution de nom). Personnellement, je préfère nettoyer les anciennes captures pour avoir un classement cohérent.

surtout les sites web !! barak allah fik akhi

sinon akhi je serai demandeur , comment faire pour tout avoir ^^ (après tout vaut mieux tt savoir)

Salam 3alaykom :-)
Il suffit de spécifier le proxy dans les paramètre wifi d'Android, par exemple dans Android 4, il suffit de presser plusieurs secondes sur le nom du réseau wifi (essid) jusqu'à ce qu'une petite fenêtre s'affiche avec deux nouvelles options : "Déconnecter le réseau" et "Modifier config. réseau". Vous choisirez la deuxième option, une nouvelle fenêtre va s'afficher; cochez la case "Afficher les options avancées". Dans Paramètres du proxy" choisissez "manuel" au lieu de "Aucun(e)" et saisissez l'adresse IP et le numéro de port de votre proxy.
Très bonne journée :-)

oui c est ça ce que j ai fait, mais apart les navigateurs internet hedja ma temchi, tnajam tconecti l facebook f navigateur ama l messenger wela instagrame non

Effectivement, par défaut Android ne permet qu'à un nombre limité d'applications d'utiliser le proxy système, ceci afin de "limiter les dégâts" en cas de "mauvais proxy" :-/
Il est possible de forcer l'utilisation du proxy pour toutes les applications si vous avez un téléphone rooté, en installant l'application "proxydroid"
play.google.com/store/apps/details?id=org.proxydroid&hl=en
Sinon, il y a une autre application qui ne nécessite pas de root, cependant je ne l'ai pas testé
play.google.com/store/apps/details?id=org.sandroproxy.drony
L'application proxydroid semble être la plus utilisée pour ce problème, mais le terminal doit être rooté :-/

Tout les firewalls récents se déploient en utilisant plus ou moins les mêmes architectures et scénarios et offrent les mêmes "sous-outils" (filtrage, portail captif, filtrage web, filtrage de contenu, antivirus, IPS, VPN, ...Les firewalls Fortigate (assez populaires en ce moment en Tunisie) ne dérangent pas à la règle. Je dirait même que les firewalls propriétaires sont un peu plus simples à administrer (pas de configuration des sources des mises à jours antivirales et signatures des attaques, objets prédéfinis, ...) Cet avantage a un prix significativement plus élevé (le firewall devient inutile à la fin de l'abonnement à ces services à moins de le renouveler) :-(

wa 3alaykom assalaam :-)
Effectivement, le service squid a quelques problèmes avec les ports du service mail (pop3, imap, smtp et leurs versions sécurisés : 110, 995, 143, 993, 25, 2525 et 465). Un certain nombre de solutions est possible.
En ce qui me concerne, j'ajoute une règle au firewall permettant de laisser passer les requêtes vers ces ports destinations (ajout d'un alias "ports_mail" contenant les numéros de ports ci-dessus, puis ajout d'une règle permettant l'accès si le port destination est dans cet alias). Ceci permet l'accès direct à outlook, sans passer par squid.
On peut également installer un proxy supplémentaire uniquement pour ces ports, mais je préfère la première solution (d'autant plus qu'il n'y a pas de grand apport à faire le cache de requêtes mail, à moins de vouloir espionner...)
Un autre protocole à problèmes : l'upload FTP (par exemple upload de script web vers un hébergeur de sites web personnels). La même solution peut être envisagée.

moi j'utilise office 365, du coup un ajout d'une règle résoudra le soucis inchallah (comme tu as dit)
pour l'upload ftp il y avait une eprsonne qui s'était plaint par rapport à ftp vers azure, du coup je pense que ça viens de ça aussi.
pour l'ftp me conseilleras tu d'ouvre l'upload ftp ou juste vers le site précis ?

j'ai fait cela mais ça n'a pas marché, as tu une idée mon frère ??

salam alikom, akhi j'ai pu configurer squid correctement (je voulais savoir si c'est possible de faire du nat interne ce qui veut dire rediriger tout traffic a destination http https vers le proxy) comme ça ça nous évitera de passer chez tout les clients et de configurer le proxy, cela permettra aussi aux client d'utiliser leur pc portable chez eux sans avoir à modifier les paramètres du proxy à chaque fois ( j'ai essayé de mettre une règle de nat mais je n'y suis pas arrivé)

En fait, la redirection, ou la fonction "proxy transparent", diminue grandement l'efficacité du proxy, puisque le trafic en https ne pourra pas être analysé par ce dernier (à moins de faire des manipulations assez complexes et non vraiment nécessaires). La majorité des sites internet populaires sont en https (youtube, facebook, google, ...), ce qui rend le contrôle de la connexion Internet difficile si en utilise squid en mode transparent.
Cependant, il y a une fonctionnalité très utile et qui correspond exactement à ce que vous cherchez (l'assignation automatique du proxy aux postes clients). Il faut que le client coche une case dans son navigateur permettant la détection automatique des paramètres proxy, ceci aura pour effet de chercher un poste, sur le domaine de ce PC client, dont le nom d'hôte est wpad, puis d'en télécharger et exécuter un script "proxy.pac" suite auquel le poste client saura quelle adresse et numéros de port il doit utiliser. Cette fonctionnalité est par défaut active dans les postes windows. il faut juste faire les quelques manip coté pfsense pour la rendre fonctionnelle.
Ces manipulations sont expliquées dans la doc officielle de pfsense
doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
Beaucoup d'autres options sont possibles grâce au filtrage de contenu assuré par le proxy, dont certaines sont très utiles. La longueur de la vidéo a fait qu'il ne m'était pas possible de montrer d'avantage de ces fonctions :-(

لست متأكد من فهم السؤال
لا تستطيع إستعمال "البوابة الأسيرة" مع "سكيد" . "سكيد" يستطيع إداء المهام التي تقوم بها "البوابة الأسيرة" مع بعض المهام الأخرى و لذا لا فائدة من إستعمال "البوابة الأسيرة" إن كان "سكيد" مفعل
"البوابة الأسيرة" لا يمكن تفعيله دون "شهادة الإلكترونية"
أتمنى أن تكون الإجابة تحل المشكل :-)

نعم سيدي بارك الله فيك وفي أهلك
ولكن انا اريد من مستعملي الشيكة تسجيل الدخول باسم و الرقم السري و لا أملك سرفر اظافي لذا اريد استعمال البوابة الاسيرة في سكيد و هذا لمراقبة ما بقوم به العملاء و المواقع التي يتثفحونها

تستطيع إضافة أسماء و كلمات عبور للمستعملين عن طريق
System->User Manager->Add
إستعمل سكيد بدون البوابة الأسيرة ثم قل ل سكيد أن يستعمل قاعدة البيانات الداخلية للمستعملين
Services->Squid Proxy Server->Authentification->Authentification Method->Local->Save
ليس هناك بد من إستعمال شهادة إليكترونية مع سكيد
يجب أيضا حذف البوابة الأسيرة لكي يعمل سكيد على نفس الكارت لان

بارك الله فيك لقد جربت الطريقة و لم تصلح وأعتقد ان Services->Squid Proxy Server->Authentification->Authentification Method->Local- يجب عليا اطافة المستخدمينServices->Squid Proxy Server-Users

سيدي الكريم تركت البوابة الاسيرة مفعلة و تركت السكوبد مفعل عادي و Services->Squid Proxy Server->Authentification->Authentification Method->none>Save الغريب في الأمر سيدي أن هناك بعض المتصلين يطلب منهم اسم المستخدم و كلمة المرور و لا يطلب من البعض الآخر تحياتي و شكرا لك اتمنى و جزاك الله خيرا

La zone dimilitarisée (DMZ) ou zone banalisée, est une zone du firewall où, au lieu d'interdire tout accès depuis le WAN, on y met des serveurs accessibles depuis l'extérieur (la sécurité est y donc "moindre"). Il suffit d'ajouter une deuxième carte réseau à PFSense et la renommer à DMZ (renommage optionnel mais plus ergonomique, par défaut il va la nommer OPT1). Puis il ne reste qu'à ajouter les règles de filtrage adéquates. Vous pouvez ajouter autant que vous voulez d'interfaces réseaux supplémentaires, le firewall PFSense peut même être utilisé en tant que "Switch fédérateur" (bien que le routage ne sera pas, dans ce cas, effectué en "wire speed", mais plutôt d'une manière logicielle; les performances vont dépendre donc de celles du processeur de l'hôte...

C'est moi qui vous remercie :-)
C'est le service DHCP qui donne les informations de départ
En effet, lorsque les clients démarrent ils n'ont aucune information, c'est le service DHCP qui leur fourni leurs adresses, l'adresse de leur passerelles et aussi l'adresse du serveur DNS qu'ils vont utiliser.
Ce service DHCP peut être activé sur le firewall, mais aussi sous le contrôleur de domaine, on peut arriver au même résultats (certains préfèrent que le suivi des réservations des adresses se fasse sur le DC d'autres préfèrent que ça soit sur le firewall, moi je préfère que ça soit fait sur le firewall :-) )
Il est aussi possible de lancer le service DHCP sur le switch fédérateur, puisque ce dernier peut voir tout les VLANs (dans le cas d'un réseau à accès routé, ce sont les switchs d'accès qui font office de serveurs DHCP, ...)
Si on a un contrôleur de domaine dans le réseau, il est préférable et plus pratique de mettre le serveur DNS dessus (pas sur le firewall) (les postes appartenant au domaine en ont besoin pour s'y joindre)
Les choix de déploiement dépendent du matériel dont on dispose :-/
Je devrais discuter ces choix de conception dans une vidéo à part ;-)

3aychek, c'est moi qui vous remercie :-)
Bon visionnage

Effectivement, certaines applications ne supportent pas l'utilisation de proxy. La principale étant les clients mail (Outlook, Thunderbird, exchange, ...). Mais aussi d'autres protocoles particulier comme le ftp et skype (bien que ce dernier ne nécessite qu'une petite configuration pour supporter le proxy).
Vous devrez permettre l'accès direct à ces protocoles en particulier, c'est à dire ajouter une règle au firewall qui permet de faire passer le trafic si le port destination est dans la liste de ces ports. Le mieux c'est d'en faire un alias et de le mettre à jours au fur et à mesure.
les ports inclus dans cet alias sont principalement les suivants (25 ou 587 ou 465 (smtp ou startls ou smtp ssl), pop ou pop ssl (110 ou 995), 143 ou 993 (imap ou imap ssl), ainsi que l'upload ftp (20 et 21).
Je n'ai pas ajouté ceci (ainsi que d'autres petits détails), vu que la vidéo était déjà plutôt longue :-(

merci, j'ai une autre question moi j'utilise lightsquid, par contre c'est limité a 1go ce qu veut dire que 3 go et 1go sont sur le même seuil fles graphes !!
je sais qu'il y a une solution pour agrandir les graphes mais si tu as une idée .... barak allah fik

En effet, le service de génération de rapports lightsquid spécifie une limite maximale pour les graphes par utilisateur, ainsi qu'une limite générale.
Heureusement que cette limite est paramétrable dans le fichier de configuration de lightsquid dans pfsense dont le chemin est le suivant : /usr/local/etc/lightsquid/lightsquid.cfg
Les deux paramètres que vous voulez changer sont les deux suivants :
$graphmaxuser et $graphmaxall Vous pouvez calculer leurs valeurs en fonction de vos préférences selon le guide suivant : lightsquid.sourceforge.net/graph%20report.html
Par exemple, Pour une limite pour les graphes utilisateurs de 1Gb et totale de 10g je propose les valeurs suivantes (vous pouvez modifier en concordance en modifiant le premier nombre ):
$graphmaxuser=1.00*(1024*1024*1024);
$graphmaxall =10.00*(1024*1024*1024);
Pour modifier la configuration, il faut aller dans le menu Diagnostic, puis Edit file. Collez le chemin : : /usr/local/etc/lightsquid/lightsquid.cfg puis cliquez sur Load. Faites les modification nécessaires puis cliquez sur Save.
Ceci fait, il faut regénérer les rapport: Allez dans le menu Status puis Squid proxy reports. Ensuite cliquez sur le bouton Refresh All, et voila
pour ma part, j'ai fixé ces valeurs sur 40gb et 150gb :
$graphmaxuser=40.00*(1024*1024*1024);
$graphmaxall =150.00*(1024*1024*1024);
Il y a en fait, d'autres paramètres tels que :
$perusertrafficlimit et $bigfilelimit qui influent également sur l'allure des graphes :-)

barak allah fik akhi !!! je te remercie infiniment :)

Une fois l'adresse IP et le numéro de port du serveur Squid configurés chez le client, ce dernier n'a plus besoin ni de passerelle par défaut ni de DNS. Le client fait passer sa requête à squid et c'est ce dernier qui s'occupe de tout. Le problème vient du fait qu'on a besoin de configurer automatiquement chez le client les paramètres que j'ai mentionné ci-dessus. D'où la nécessité d'un serveur dns pour résoudre l'url sur laquelle est hébergé le script de configuration automatique (wpad.nomhôte.nomdomaine).
Si on veut ne pas utiliser de dns chez le client, alors on devra lui configurer manuellement les paramètre du proxy.

Zied Hamdi
ادا لا داعي خدمة dns يمكن للبروكسي عمل هده العملية بدون dns
ام يجب ان يكون dns و proxy
مشتركين ام proxy يقوم بالعملية طلب للمستخدمين بدون dns

شكرا شكرا شكرا شكرا شكرا شكرا شكرا شكرا شكرا شكرا :-)

3aychek, yar7am waaldiina w waaldiik :-)