<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="fr">
	<id>https://doc.ycharbi.fr/index.php?action=history&amp;feed=atom&amp;title=Proxy_web_-_pfsense</id>
	<title>Proxy web - pfsense - Historique des versions</title>
	<link rel="self" type="application/atom+xml" href="https://doc.ycharbi.fr/index.php?action=history&amp;feed=atom&amp;title=Proxy_web_-_pfsense"/>
	<link rel="alternate" type="text/html" href="https://doc.ycharbi.fr/index.php?title=Proxy_web_-_pfsense&amp;action=history"/>
	<updated>2026-07-03T22:26:59Z</updated>
	<subtitle>Historique des versions pour cette page sur le wiki</subtitle>
	<generator>MediaWiki 1.45.3</generator>
	<entry>
		<id>https://doc.ycharbi.fr/index.php?title=Proxy_web_-_pfsense&amp;diff=1027&amp;oldid=prev</id>
		<title>Ycharbi : Page créée avec « Category:pfsense  Cette documentation a pour but de décrire la mise en place d&#039;un service proxy sur le pare-feu pfSense via Squid. Des règles de blocage de flux pour... »</title>
		<link rel="alternate" type="text/html" href="https://doc.ycharbi.fr/index.php?title=Proxy_web_-_pfsense&amp;diff=1027&amp;oldid=prev"/>
		<updated>2019-06-19T20:26:26Z</updated>

		<summary type="html">&lt;p&gt;Page créée avec « &lt;a href=&quot;/index.php/Cat%C3%A9gorie:Pfsense&quot; title=&quot;Catégorie:Pfsense&quot;&gt;Category:pfsense&lt;/a&gt;  Cette documentation a pour but de décrire la mise en place d&amp;#039;un service proxy sur le pare-feu pfSense via Squid. Des règles de blocage de flux pour... »&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Nouvelle page&lt;/b&gt;&lt;/p&gt;&lt;div&gt;[[Category:pfsense]]&lt;br /&gt;
&lt;br /&gt;
Cette documentation a pour but de décrire la mise en place d&amp;#039;un service proxy sur le pare-feu pfSense via Squid. Des règles de blocage de flux pour les clients du proxy seront mise en œuvre via SquidGuard. La journalisation des accès sera conservée un an, conformément à l&amp;#039;article 3 du [https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&amp;amp;categorieLien=id décret n° 2011-219] du 25 février 2011 relatif à la [https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164 loi n° 2004-575] du 21 juin 2004 - LCEN (article 6).&lt;br /&gt;
&lt;br /&gt;
=Téléchargement des paquets=&lt;br /&gt;
De base, pfSense ne comporte pas de proxy. Il faut passer par le menu &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;System &amp;gt; Package Manager &amp;gt; Available Packages &amp;gt; Search term &amp;gt; taper &amp;quot;squid&amp;quot;&amp;lt;/source&amp;gt; et installer les paquets &amp;#039;&amp;#039;Squid&amp;#039;&amp;#039; ainsi que &amp;#039;&amp;#039;SquidGuard&amp;#039;&amp;#039;.&lt;br /&gt;
&lt;br /&gt;
Par défaut, aucune connexion via Squid n&amp;#039;est possible. Nous allons y remédier.&lt;br /&gt;
&lt;br /&gt;
=Configuration de Squid=&lt;br /&gt;
Pour configurer Squid, il faut aller dans le menu &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;Services &amp;gt; Squid Proxy Server&amp;lt;/source&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
Dans cette page, il faut:&lt;br /&gt;
* Cocher la case &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Enable Squid Proxy&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;&lt;br /&gt;
* Faire écouter le proxy sur le &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;LAN&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; dans &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Proxy Interface&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;&lt;br /&gt;
* Activer la journalisation via &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Enable Access Logging&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; et donner 365 jours pour la durée de conservation (&amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;/var/squid/logs&amp;lt;/source&amp;gt;)&lt;br /&gt;
&lt;br /&gt;
Ne pas oublier de sauvegarder.&lt;br /&gt;
&lt;br /&gt;
Désormais, il convient de tester le fonctionnement du réseau en configurant le proxy sur le navigateur WEB du client. Le flux doit passer sans problème.&lt;br /&gt;
&lt;br /&gt;
=Configuration de SquidGuard=&lt;br /&gt;
==Activation du service==&lt;br /&gt;
Par défaut, SquidGuard ne laisse passer aucun trafic, il va falloir changer ça.&lt;br /&gt;
&lt;br /&gt;
Deux solutions:&lt;br /&gt;
* laisser tout le flux et interdire les accès à des listes d&amp;#039;adresses (listes noires)&lt;br /&gt;
ou&lt;br /&gt;
* bloquer tout le flux et n&amp;#039;autoriser les accès qu&amp;#039;à des listes d&amp;#039;adresses (listes blanches).&lt;br /&gt;
&lt;br /&gt;
Nous choisirons ici de faire des listes noires.&lt;br /&gt;
&lt;br /&gt;
Dans &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;General settings&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;, cocher la case &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Enable&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; pour activer SquidGuard.&lt;br /&gt;
&lt;br /&gt;
{{info|Notez la présence du bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Apply&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; juste en dessous, il faudra cliquer dessus à chaque changement de configuration pour qu&amp;#039;elle soit prise en compte.}}&lt;br /&gt;
&lt;br /&gt;
Enregistrer la modification via le bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;save&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. À ce stade, plus aucune communication n&amp;#039;est autorisé (politique par défaut). Il va falloir changer ça.&lt;br /&gt;
&lt;br /&gt;
Aller dans l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Common ACL&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; et dans &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Target Rules List&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;, déplier le menu via le bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;+&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. Passer la règle &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Default access [all]&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; à &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;allow&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. Enregistrer la modification via le bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;save&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. Revenir sur sur l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;General settings&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; et cliquer sur le bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Apply&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;.&lt;br /&gt;
&lt;br /&gt;
La communication est de nouveau fonctionnelle. Il va falloir appliquer nos listes noires pour rendre tout ceci utile.&lt;br /&gt;
&lt;br /&gt;
==Ajout de listes noires==&lt;br /&gt;
Les listes noires doivent respecter une arborescence pré-définie comme suit:&lt;br /&gt;
&lt;br /&gt;
&amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;blacklists/{toto/{domains,urls},titi/{domains},tata/{domains,urls}}&amp;lt;/source&amp;gt; où &amp;#039;&amp;#039;&amp;quot;domains&amp;quot;&amp;#039;&amp;#039; et &amp;#039;&amp;#039;&amp;quot;urls&amp;quot;&amp;#039;&amp;#039; sont des fichiers textes comportant une adresse par ligne. Le tout doit être compressé en &amp;#039;&amp;#039;tar.gz&amp;#039;&amp;#039; (le nom de cette archive compressée n&amp;#039;est pas important).&lt;br /&gt;
&lt;br /&gt;
Il est donc possible de créer des listes noires à partir de rien par vos propres moyens. Pour l&amp;#039;exemple, nous téléchargerons une archive compressée de listes déjà faites et entretenue par Fabrice Prigent de l&amp;#039;[https://dsi.ut-capitole.fr/documentations/cache/squidguard.html université Toulouse 1 Capitole].&lt;br /&gt;
&lt;br /&gt;
{{Astuce|Rien ne vous empêches de télécharger une archive compressée de règles près-faites et de modifier son contenu à votre guise (ajout, suppression ou modification). Un &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;tar czvf blacklists.tar.gz ./blacklists&amp;lt;/source&amp;gt; la recréera. Il vous suffira de la téléversée dans pfSense.}}&lt;br /&gt;
&lt;br /&gt;
Je vous propose 2 façons de faire pour donner des listes noires à SquidGuard:&lt;br /&gt;
* Soit télécharger le fichier directement depuis la source via l&amp;#039;interface WEB: dans l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;blacklist&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; donner le chemin HTTP ou FTP du tgz (ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz pour l&amp;#039;exemple - mis en cache [https://{{SERVERNAME}}/fichiers/bsd/pfsense/proxy_web/blacklists.tar.gz ici] le 19/06/2019) et faire &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Download&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. La zone de texte du journal montre l&amp;#039;avancée de la tâche. Notez la ligne &amp;#039;&amp;#039;&amp;quot;&amp;#039;&amp;#039;&amp;#039;Copy DB to workdir.&amp;#039;&amp;#039;&amp;#039;&amp;quot;&amp;#039;&amp;#039;. À titre d&amp;#039;information, le &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Workdir&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; fait référence à &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;/var/db/squidGuard&amp;lt;/source&amp;gt;. Son arborescence est faite du contenu du fichier &amp;#039;&amp;#039;tar.gz&amp;#039;&amp;#039;, soit des répertoires contenant des listes de règles, préfixés du terme &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;blk_blacklists_&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; (chaque dossier représente une catégorie).&lt;br /&gt;
* Soit héberger vous même le fichier sur votre machine et mettre à disposition l&amp;#039;archive compressée via le serveur WEB embarqué à [[Busybox#Serveur_WEB|Busybox]]:&lt;br /&gt;
** Sur votre PC: &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;busybox -fvv -h &amp;lt;chemin_du_répertoire_du_tgz&amp;gt;&amp;lt;/source&amp;gt; et utiliser la méthode de l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;blacklist&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; décrite au premier point. Ou bien...&lt;br /&gt;
** Ou bien, depuis le SHELL de pfSense: &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;curl --output /tmp/blacklists.tar.gz http://&amp;lt;IP_PC&amp;gt;/blacklists.tar.gz&amp;lt;/source&amp;gt;:&lt;br /&gt;
*** Le fichier est alors présent sur le disque dur du pfSense, il faudra passer par le menu &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;General Settings &amp;gt; Blacklist URL&amp;lt;/source&amp;gt;, renseigner le chemin du fichier (&amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;/tmp/blacklists.tar.gz&amp;lt;/source&amp;gt;), sauvegarder pour pré-remplir le champ de &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Blacklist Update&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; de l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;blacklist&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; et procéder au &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Download&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;.&lt;br /&gt;
&lt;br /&gt;
Bon ça fait beaucoup d&amp;#039;explications pour pas grand chose au final. Actuellement, notre Proxy laisse tout passer, nous allons donc définir des catégories à interdire. Pour ce faire, revenir dans &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Common ACL&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;, le menu &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Target Rules List&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; s&amp;#039;est rempli d&amp;#039;autant de lignes que de dossiers dans le &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;workdir&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;. Il est alors possible de définir le traitement de chaque règles (autoriser ou refuser). Terminer la configuration par un &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;save&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; en bas de page et appliquer les modifications via le bouton &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;Apply&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039; de l&amp;#039;onglet &amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;General settings&amp;#039;&amp;#039;&amp;#039;&amp;#039;&amp;#039;.&lt;/div&gt;</summary>
		<author><name>Ycharbi</name></author>
	</entry>
</feed>