Vous êtes sur la page 1sur 40

Advproxy - Proxy Web Avancé

Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

© Copyright 2004
Author: Marco Sondermann
Traduit en français par Pulsergene
marco.sondermann@myrealbox.com
http://www.advproxy.net

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 1


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

Table of contents

1 PREFACE.....................................................................................................................................................4
1.1 RIGHTS AND DISCLAIMERS ......................................................................................................................4
1.2 TRADEMARKS .........................................................................................................................................4
2 INTRODUCTION ..........................................................................................................................................5
2.1 APERÇU .................................................................................................................................................5
2.2 LISTE DETAILLEE SUR L’ADVANCED PROXY ..............................................................................................5
2.3 BASE LEGALE .........................................................................................................................................5
2.4 MOTES DE SECURITE ..............................................................................................................................6
2.4.1 Installation et remplacement des fichiers binaires...........................................................................6
2.4.2 Règles du firewall ............................................................................................................................6
2.4.3 Mots de passe..................................................................................................................................6
3 INSTALLATION............................................................................................................................................7
3.1 PRE REQUIS POUR L’INSTALLATION ..........................................................................................................7
3.2 INSTALLATION DE L’ADD-ON ADVANCED PROXY ........................................................................................7
3.3 DESINSTALLATION DE L’ADD-ON ADVANCED PROXY ..................................................................................7
3.4 PROBLEMES LIES AUX MISES A JOUR OFFICIELLES DE SMOOTHWALL .........................................................8
3.5 DEFINITION DES DIRECTIVES DE CONFIGURATION PAR L’UTILISATEUR .........................................................8
4 CONFIGURATION DU PROXY WEB ..........................................................................................................9
4.1 PARAMETRAGES COMMUNS .....................................................................................................................9
4.1.1 Activé sur <Interface>......................................................................................................................9
4.1.2 Transparent sur <Interface> ............................................................................................................9
4.1.3 Le serveur proxy (host:port).............................................................................................................9
4.1.4 Nom d’utilisateur ..............................................................................................................................9
4.1.5 Mot de passe ...................................................................................................................................9
4.1.6 Port du Proxy .................................................................................................................................10
4.1.7 Langage du message d’erreur.......................................................................................................10
4.1.8 Email de l’Administrateur du cache ...............................................................................................10
4.2 PARAMETRAGES DES LOGS ...................................................................................................................11
4.2.1 Activation des logs.........................................................................................................................11
4.2.2 Log query terms .............................................................................................................................11
4.2.3 Log useragents ..............................................................................................................................11
4.3 GESTION DU CACHE ..............................................................................................................................12
4.3.1 Taille du cache disque ...................................................................................................................12
4.3.2 Taille de la mémoire cache............................................................................................................12
4.3.3 Taille minimum des objets .............................................................................................................12
4.3.4 Taille maximum des objets ............................................................................................................12
4.3.5 Nombre de sous repertoires au niveau -1 .....................................................................................12
4.3.6 Stratégie de suppression de la mémoire .......................................................................................13
4.3.7 Stratégie de suppression du cache ...............................................................................................13
4.3.8 Ne pas cacher ces domaines ........................................................................................................13
4.4 RESEAU BASE SUR LE CONTROLE D’ACCES.............................................................................................14
4.4.1 Sous réseaux .................................................................................................................................14
4.4.2 Adresses IP ou sous réseaux bannis ............................................................................................14
4.4.3 Adresses IP non restreintes...........................................................................................................14
4.4.4 Adresses MAC non retreintes........................................................................................................15
4.5 RESTRICTIONS DE TEMPS ......................................................................................................................16
4.6 LIMITATION DES TRANSFERTS ................................................................................................................16
4.7 TYPE DE FILTERS MIME........................................................................................................................17
4.8 NAVIGATEUR INTERNET.........................................................................................................................18
4.8.1 Vérification du navigateur ..............................................................................................................18
Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 2
Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.8.2 Définition des clients......................................................................................................................18


4.8.3 Fake useragent ..............................................................................................................................19
4.8.4 Fake referrer (fausse référence)....................................................................................................19
4.9 URL FILTER .........................................................................................................................................20
5 CONFIGURATION DE L’AUTHENTIFICATION........................................................................................21
5.1 APERÇU DES METHODES D’AUTHENTIFICATION .......................................................................................21
5.1.1 Aucune...........................................................................................................................................21
5.1.2 Authentification locale....................................................................................................................21
5.1.3 Authentification via LDAP ..............................................................................................................21
5.1.4 Authentification Windows...............................................................................................................22
5.2 PARAMETRAGES GLOBAUX D’AUTHENTIFICATION ....................................................................................23
5.2.1 Nombre de process d’authentification ...........................................................................................23
5.2.2 Authentification via le cache TTL...................................................................................................23
5.2.3 Limitations d’adresses IP par utilisateur ........................................................................................23
5.2.4 Cache TTL Utilisateur/IP................................................................................................................23
5.2.5 Authentification requise pour les addresses sources non restreintes ...........................................23
5.2.6 Prompt du royaume (domaine) pour l’authentification...................................................................23
5.3 AUTHENTIFICATION DES UTILISATEURS LOCAUX ......................................................................................24
5.3.1 Gestion des utilisateurs .................................................................................................................24
5.3.2 Gestion des utilisateurs locaux ......................................................................................................25
5.3.3 Créer des comptes utilisateurs ......................................................................................................26
5.3.4 Editer un compte utilisateur ...........................................................................................................26
5.3.5 Supprimer un compte utilisateur ....................................................................................................26
5.3.6 Gestion des mots de passé côté client..........................................................................................27
5.4 AUTHENTIFICATION LDAP.....................................................................................................................28
5.4.1 Paramétrages LDAP communs .....................................................................................................29
5.4.2 Paramétrages Bind DN..................................................................................................................30
5.4.3 Contrôle d’accès base par les groupes .........................................................................................30
5.5 AUTHENTIFICATION WINDOWS ...............................................................................................................31
5.5.1 Paramétrages communs de domaine............................................................................................32
5.5.2 Mode d’authentification..................................................................................................................32
5.5.3 Restrictions d’accès par les noms d’utilisateur..............................................................................33
6 FORCER L’UTILISATION DU PROXY ......................................................................................................35
6.1 MODES DE FONCTIONNEMENT D’UN PROXY WEB STANDARD ...................................................................35
6.1.1 Service Proxy désactivé ................................................................................................................35
6.1.2 Service Proxy activé, fonctionnant en mode non-transparent.......................................................36
6.1.3 Service Proxy activé, fonctionnant en mode transparent ..............................................................37
6.2 CONFIGURATION DU PROXY WEB COTE CLIENT ......................................................................................38
6.2.1 Configuration cliente manuelle ......................................................................................................38
6.2.2 Client pré configuré........................................................................................................................38
6.2.3 Configuration cliente via DNS / DHCP ..........................................................................................38
6.2.4 Configuration cliente en utilisant des strategies de groupes .........................................................38
6.3 MODIFIER LES REGLES DU FIREWALL......................................................................................................39
6.3.1 Ajouter des règles personnalisées sur IPTables ...........................................................................39
6.4 CONDITIONS POUR L’UTILISATION OBLIGATOIRE DU PROXY......................................................................40

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 3


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

1 Préface
1.1 Rights and Disclaimers
The information contained within this document may change from one version to the next.

All programs and details contained within this document have been created to the best of the authors
knowledge and tested carefully. However, errors cannot be completely ruled out. Therefore the author does
not express or imply any guarantees for errors within this document or consequent damage arising from the
availability, performance or use of this or related material.

1.2 Trademarks
The use of names in general use, names of firms, trade names, etc. in this document, even without special
notation, does not imply that such names can be considered as “free” in terms of trademark legislation and that
they can be used by anyone. All trade names are used without a guarantee of free usage and might be
registered trademarks. As a general rule, the author adheres to the notation of the manufacturer. Other
products mentioned here could be trademarks of the respective manufacturer.

Microsoft, Windows, FrontPage, Internet Explorer and Active Directory are either registered trademarks or
trademarks of Microsoft Corporation in the United States and/or other countries/regions.

Novell, NetWare and eDirectory are either registered trademarks or trademarks of Novell, Inc. in the United
States and other countries.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 4


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

2 Introduction
2.1 Aperçu
L’add-on Advanced Proxy Server étend le service Proxy de SmoothWall avec beaucoup de dispositifs
additionnels souples, flexibles et utiles.

Tous les paramétrages précédents du Proxy seront importés vers l'


Advanced Proxy, et demeurent intacts pour
tout autre changement de configuration.

2.2 Liste détaillée sur l’Advanced Proxy


En plus du service Proxy par défaut, l'
Advanced Proxy offre de nouveaux dispositifs :

Intégration complète dans l’interface d’administration

Intégration sans couture dans l’interface d’administration pour la configuration du Advanced Web
Proxy

Toutes les options étendues sont accessibles et configurables dans l'


interface d'
administration

Authentification des utilisateurs

Authentification des utilisateurs locaux, incluant des groupes basés sur la gestion utilisateurs

Authentification LDAP, incluant MS Active Directory, Novell eDirectory and OpenLDAP

Authentification Windows, incluant Windows NT4.0 ou domaines 2000/2003 et Samba

Contrôle d’accès avancé

Réseau basé sur le contrôle d’accès via les adresses IP et MAC

Restriction d’accès basée en fonction du temps

Filtrage des types de MIME

Blocage des navigateurs Internet ou de clients logiciels non autorisés

2.3 Base légale


Note: Beaucoup d’options de l’Advanced Proxy peuvent violer la vie privée de vos clients ou d'
autres normes
juridiques.

Attention: Avant d’utiliser ce logiciel, soyez sûr que ce sera en accord avec les lois nationales ou d'
autres
règlements légaux

Avertissement explicite: Dans la plupart des pays, les utilisateurs doivent être informé que les données
personnelles seront enregistrées, comme la date, le temps, la source et la destination dans la conjonction
avec le nom d'utilisateur. N'
utilisez pas ce logiciel dans un environnement d'
affaires sans l'
accord écrit
du service du personnel

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 5


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

2.4 Motes de sécurité


2.4.1 Installation et remplacement des fichiers binaires
Note: Cette ad-on installe des exécutables additionnels, des bibliothèques et remplace le serveur proxy Squid
avec une personnalisation spéciale (actuellement 2.5 STABLE 7). Squid et les modules d' authentification ont
été compilés du code source original sans aucune modification. Les options de configuration sont
montrées avec la commande "squid -v". Dans des circonstances normales ceci ne devrait pas affecter la
sécurité.

2.4.2 Règles du firewall


Note: Cette add-on ne modifie pas les règles du firewall. Si cela est nécessaire, par exemple pour forcer une
authentification, ceci doit être fait par vous-même. Allez voir le chapitre 6.3 pour plus d’informations.

2.4.3 Mots de passe


Note: Si vous utilisez l’authentification, prenez garde au fait que les mots de passe seront transmis en tant que
simple texte entre votre client et le serveur Proxy. De plus, lors de l’utilisation d’une authentification LDAP ou
NT, les mots de passe seront transmis en tant que simple texte entre le serveur Proxy et l’instance
d’authentification (par exemple sur le serveur LDAP ou le contrôleur de domaine). Ce comportement est selon
la conception et ne devrait pas être un défaut sérieux dans un environnement de réseau local commuté.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 6


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

3 Installation
3.1 Pré requis pour l’installation
Il n’y a pas de pré requis spéciaux à connaître avant l’installation de cette add-on.

Note: D’autres add-ons qui ont modifiés les paramètres de Proxy (spécialement certains modules filtres)
peuvent ne plus fonctionner après l’installation de cette add-on.

3.2 Installation de l’add-on Advanced Proxy


Étape 1: Télécharger le paquet d’installation depuis le site http://www.advproxy.net

Étape 2: Copier le paquetage d’installation sur le serveur SmoothWall. Pour les clients WIndows, ceci peut
être fait en utilisant le logiciel WinSCP.

Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SCP

Étape 3: Connecter vous en root sur la console ou via SSH. Pour les clients WIndows, ceci peut être fait en
utilisant le logiciel PuTTY.

Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SSH

Étape 4: Extraire le paquetage d’installation en utilisant la commande


tar –xzf smoothWall-advproxy-version.tar.gz

Note: Remplacez la version par la version du paquet d'


installation

Étape 5: Commencer l’installation en entrant smoothwall-advproxy/install

Étape 6: Ouvrez l’interface d’administration de SmoothWall. Maintenant, dans le menu service, vous trouverez
l’entrée “Proxy” étendue à “Advanced Proxy”. Sélectionnez cette entrée pour accéder) la page
d’administration du proxy avancé.

Étape 7: Modifiez les paramétrages de configuration en fonction de vos besoins et redémarrer le serveur
Proxy pour faire appliquer mes changements de paramètres.

3.3 Désinstallation de l’add-on Advanced Proxy


Étape 1: Connecter vous en root sur la console ou via. Pour les clients WIndows, ceci peut être fait en utilisant
le logiciel PuTTY.

Note: Vérifier que vous utilisez le port 222 au lieu du port 22 pour SSH

Étape 2: Commencer le processus de désinstallation en entrant de smoothwall-advproxy/uninstall

Étape 3: Ouvrez l’interface d’administration de SmoothWall. Dans le menu service, sélectionnez l’entrée
“Proxy”.

Étape 4: Les précédentes configurations sont maintenant mises par défaut. Redémarrer le serveur Proxy pour
activer la précédente configuration.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 7


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

3.4 Problèmes lies aux mises à jour officielles de SmoothWall


Les mises à jour officielles sont conçues pour les installations non modifiées et ne s'
inquiètent pas des add-
ons installées précédemment et des dossiers modifiés par elles.

Après l’application de mises à jour officielles, vous rencontrerez quelques problèmes:

Le sous-menu Advanced Proxy a disparu après l’application d’une mise à jour

Beaucoup de mises à jour officielles remplace le fichier /var/smoothwall/header.pl et réinitialisent toutes


les entrées par défaut.

Ce problème peut être résolu en réinstallant l’add-on. Il n’est pas nécessaire de désinstaller celle-ci en
premier, parce qu'
il régénère toutes les modifications nécessaires du menu et conserve les paramètres actuels
de l'
add-on.

Advanced Proxy ne fonctionnera pas proprement après l’installation d’une mise à jour

Il est possible que certains fichiers binaires nécéssaires de l’Advanced Proxy ont été remplacés.

Ce problème peut être résolu en réinstallant l’add-on. Cela ne nécéssite pas une désinstallation de l’add-on en
premiser, parce qu'
il installe tous les dossiers requis une fois de plus et conserve les paramètres actuels de
l’add-on.

3.5 Définition des directives de configuration par l’utilisateur


La configuration personnalisée du Proxy Web (par exemple pour l’intégration Ad-Zap ou en outrepassant le
Proxy parent) peut être maintenant ajoutée dans le fichier /var/ smoothwall /proxy/advanced/acls/include.acl

Note: Le fichier ACL /var/smoothwall/proxy/acl ne sera pas traité par l’Advproxy.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 8


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4 Configuration du Proxy Web


4.1 Paramétrages communs
Les paramétrages communs sont des paramètres essentiels liés au service proxy.

4.1.1 Activé sur <Interface>


Ceci activera l’écoute aux requêtes sur le serveur Proxy pour les interfaces sélectionnées (GREEN ou BLUE).

Note: Si le service Proxy est désactivé, toutes les requêtes de clients seront transférées directement vers
l’adresse de destination sans passer par le service Proxy et de plus, les requêtes outrepasseront toutes les
ACL (Liste de contrôle d’accès) configurées

4.1.2 Transparent sur <Interface>


Si le mode transparent est activé, toutes les reqêtes pour le port de destinattion 80 seront transférées vers le
serveur Proxy sans besoin de faire une configuration spéciale sur les postes clients.

Note: Le mode transparent fonctionne seulement avec le port de destination 80. Toutes les autres requêtes
(par exemple, le port 443 pour SSL) outrepasseront le serveur Proxy.

Note: Lorsque vous utilisez plusieurs typres d’authentification, le Proxy ne pourra pas fonctionner en mode
transparent.

Note: Pour forcer l’utilisation d’un serveur Proxy en mode non transparent, vous devrez bloquer en sortie tous
les ports habituellement utilisés pour le trafic http (80, 443, 8000, 8080, etc.).

4.1.3 Le serveur proxy (host:port)


Si vous utilisez un cache parent, alors entrer l’adresse IP et le port du Serveur Proxy. S’il n’y a aucune valeur
“port” de renseignée, par défaut le port 80 sera utilisé.

4.1.4 Nom d’utilisateur


Entrer le nom d’utilisateur pour le serveur Proxy (seulement si requis).

4.1.5 Mot de passe


Entrer le mot de passe pour le serveur Proxy (seulement si requis).

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 9


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.1.6 Port du Proxy


Ceci est le port d’écoute du serveur Proxy pour les requêtes des postes clients. Par défaut, c’est le port 800.

Note: En mode transparent, Toutes les requêtes clientes pour le port 80 seront redirigées automatiquement
vers ce port.

Note: En mode non transparent, vérifiez que vos postes clients sont configurés poiur utiliser ce port.
Autrement, ils outrepasseront le serveur Proxy et les ACL seront ignorés.

4.1.7 Langage du message d’erreur


Choisissez la langue dans laquelle les messages d’erreur du serveur Proxy seront affichés sur les postes
clients

4.1.8 Email de l’Administrateur du cache


Cette adresse Email sera indiquée dans le message d’erreur du serveur Proxy.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 10


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.2 Paramétrages des Logs


Ces options ont pour but d’activer les logs sur Advanced Proxy.

4.2.1 Activation des logs


Ceci activera les logs du Proxy Web. Toutes les requêtes de postes clients seront ecrites dans les fichiers log
et pourront être vues via l’interface d’administration dans “journaux/journaux du Proxy”.

4.2.2 Log query terms


La partie de l’URL contenant les demandes dynamiques sera dépouillée par défaut avant la connexion. En
activant l’option “Log query terms” arrêtra ceci et l’URL complete sera connectée.

Note: En activant “Log query terms” peut casser l'


intimité de vos postes clients !

4.2.3 Log useragents


En activant “Log useragent” écrira dans le fichier /var/log/squid/useragent.log

Cette option de fichier log devra être seulement active pour le débuggage et le résultat non montré dans
l’interface Web.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 11


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.3 Gestion du cache


Le gestionnaire de cache contrôle le cache de l’Advanced Proxy.

4.3.1 Taille du cache disque


Ceci représente la quantité d’espace disque (MB) utilisée pour cacher les objets. Par défaut, c’est 50 MB.
Modifiez cette valeur en fonction de votre configuration. N’indiquez pas la taille de votre disque ici. Au lieu de
cela, si vous souhaitez que Squid utilise le disque entier, soustrayé 20% et utilisé cette valeur.

4.3.2 Taille de la mémoire cache


C’est la quantité de RAM physique utilisée pour les caches négatifs et les objets en transit. Cette valeur ne
devra pas dépassée plus de 50% de la RAM installée La valeur minimale est de 1MB, par défaut, c’est 2 MB.

Note: Ce paramètre ne specifie pas la taille maximum du process. Cela place seulement une limite sur
combien de RAM additionnelle, le Proxy Web l’utilisera comme un cache d’objets.

4.3.3 Taille minimum des objets


Les objets plus petit que cette taille ne seront pas sauvegardés sur le disque. La valeur est spécifiée en Kb
(kilobytes), et la valeur par défaut est 0 KB, ce qui signifie qu’il n’y a aucun minimum.

4.3.4 Taille maximum des objets


Les objets plus grand que cette taille ne seront pas sauvegardés sur le disque. La valeur est spécifiées en Kb
(kilobytes), et par défaut c’est 4MB. Si vous souhaitez augmenter davantage la vitesse pour sauver la bande
passante, vous devriez laisser ceci avec une valeur faible

4.3.5 Nombre de sous repertoires au niveau -1


La valeur par défaut pour les sous répertoires du cache disque de niveau -1 est 16.

Chaque répertoire de niveau -1 contient 256 sous répertoires, alors pour un nombre de 256 répertoires de
niveau -1 utilisera un nombre total de 65536 sous répertoires pour le disque cache. Ceci ralentira le
démarrage du service Proxy but pourra accélérer la vitesse du cache sous certaines conditions.

Note: La valeur recommandée de répertoires pour le niveau -1 est de 16. Vous devrez augmenter cette valeur
si seulement c’est nécessaire.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 12


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.3.6 Stratégie de suppression de la mémoire


Le paramétrage de suppression de la mémoire détermine quels sont les objets qui sont purgés sur la
mémoire, lorsque cela devient nécessaire. La stratégie par défaut de suppression de la mémoire est
SmoothWall est LRU.
Les différentes stratégies de suppression possibles sont:

LRU : Squid' s original list based Last Recently Used policy


Les stratégies du LRU conservent les objets récemment référencés. C'
est-à-dire, il supprime les objets qui
n’ont pas été utilisés depuis longtemps.

heap GDSF : Greedy-Dual Size Frequency


La stratégie du heap GDSF optimise le taux de coup d' objet en conservant les plus petits objets populaires
dans le cache. Donc il a une meilleure chance d' obtenir un coup. Il réalise un taux de coup d'
octet inférieur à
celui du LFUDA quoique, puisqu' il expulse les plus grands (probablement les plus populaire) objets.

heap LFUDA : Least Frequently Used with Dynamic Aging


La stratégie du heap LFUDA (Le moins Fréquemment Utilisé avec le Vieillissement Dynamique) conserve les
objets populaires dans le cache indépendamment de leur taille et optimise ainsi le taux de coup d'octet à la
charge du taux de coup puisqu' un objet grand, populaire empêchera plusieurs petits, des objets légèrement
moins populaires d'être cachés.

heap LRU :La stratégie Last Recently Used implémentée utilisant le heap fonctionne comme LRU, mais utilise
le heap au lieu de cela.

Note: Si en utilisant la stratégie de suppression LFUDA, la valeur de taille d'


objet de Max devrait être
augmentée au-dessus de sa valeur par défaut de 4096 Ko pour améliorer le taux du coup potentiel de l' octet
du LFUDA.

4.3.7 Stratégie de suppression du cache


Le paramétrage de la suppression du cache décidera quels objets resteront dans le cache etceux qui seront
supprimés ou créera un espace pour de nouveaux objets. La stratégie du cache par défaut sur SmoothWall
est le LRU.
Regardez le chapitre 4.3.6 pour plus de détails.

Pour plus d’informations sur les stratégies de suppression du cache GDSF et LFUDA, regardez :
http://www.hpl.hp.com/techreports/1999/HPL-1999-69.html et
http://fog.hpl.external.hp.com/techreports/98/HPL-98-173.html .

4.3.8 Ne pas cacher ces domaines


Employez ceci pour forcer des objets pour ne jamais être caché.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 13


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.4 Réseau base sur le contrôle d’accès


Ceci définit les contrôles d’accès pour accéder au serveur Proxy depuis une adresse réseau cliente.

4.4.1 Sous réseaux


Tous les sous-réseaux sont acceptés pour accéder au Serveur Proxy. Par défaut, les sous-réseaux GREEN et
BLUE (si disponible) sont listés ici.

Vous pouvez ajouter d’autres sous-réseaux comme les sous-réseaux derrière l’interface GREEN dans de
grands environnements pour cette liste. Tous les sous-réseaux non listés n’accéderont pas à Internet.

4.4.2 Adresses IP ou sous réseaux bannis


Toutes requêtes provenant de ces clients (adresses IP ou sous-réseaux) seront bloquées.

4.4.3 Adresses IP non restreintes


Toutes les adresses IP clientes de cette liste dépassera les restrictions suivantes:

• Restriction de temps
• Limitation de la taille pour des requêtes de téléchargement
• Vérification du navigateur
• Type de filtres MIME
• Authentification (sera exigée par défaut pour ces adresses, mais peut être arrêtée)
• Ouvertures concourantes par utilisateur (seulement disponible si l’authentification est activée)

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 14


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.4.4 Adresses MAC non retreintes


Toutes les adresses MAC clients de cette liste outrepasseront les restrictions suivantes:

• Restriction de temps
• Limitation de la taille pour des requêtes de téléchargement
• Vérification du navigateur
• Type de filtres MIME
• Authentification (sera exigée par défaut pour ces adresses, mais peut être arrêtée)
• Ouvertures concourantes par utilisateur (seulement disponible si l’authentification est activée)

L’utilisation des adresses MAC au lieu des addresses IP peut être utile si le service DHCP est activé sans
avoir des plages IP définies.

Les adresses MAC peuvent être entrées dans l’une de ces manières:

00-00-00-00-00-00 ou 00:00:00:00:00:00

Note: Le Serveur Proxy peut seulement déterminer les adresses MAC des clients configurés pour les sous-
réseaux des interfaces GREEN, BLUE ou ORANGE.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 15


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.5 Restrictions de temps


Ceci definit la période de temps où le Proxy Web est opérationnel.

L’option “permis” permet l’accès à Internet et l’option “refusé” bloque l’accès à Internet durant la période
choisie. Le choix de “permis” ou “refusé” dépendra des règles de temps que vous souhaitez appliquer.

Par défaut, l’accès est permis tous les jours et à toute heure.

Note: Les restrictions de temps ne seront pas éffectives pour ces clients:

• Adresses IP sources non restreintes


• Adresses MAC sources non restreintes
• Membres du groupe “Etendu” si le serveur Proxy utilise “l’authentification locale”

4.6 Limitation des transferts


Ceci vous permet d’entrer des limitations de tailles pour chaque requêtes de téléchargement et/ou de
chargement.

Les valeurs sont indiquées en KB. Une des raisons de la limitation de transfert pourrait être que vous
souhaitez prévenir des téléchargements des fichiers de grandes tailles, tel qu’une image de CD.

La valeur par défaut est 0 KB pour le chargement et le téléchargement, cette valeur ne définit aucune
limitation.

Note: Ces limites se rapportent à chaque demande, ce n’est pas la totalité de toutes les demandes.

Note: Les limitations de téléchargements ne seront pas éffectives pour ces clients:

• Adresses IP sources non restreintes


• Adresses MAC sources non restreintes
• Membres du groupe “Etendu” si le serveur Proxy utilise “l’authentification locale”

Note: les limitations de chargements seront éffectives pour tous les clients.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 16


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.7 Type de filters MIME


Le filtrage de type de MIME peut être configuré pour bloquer un contenu dependant de ces types de MIME.

Si l’option est activée, le filtre vérifie toutes les entêtes entrantres pour ces types de MIME. Si la demande de
type de MIME est listée pour être bloquée, l’accès à ce contenu sera refusé. Par ce chemin vous pouvez
bloquez des contenus, en aucune manière de donner une extension de nom de fichier.

Exemples:

Ajouter ce type de MIME si vous souhaitez bloquer le téléchargement des fichiers pdf:

application/pdf

Ajouter ce type de MIME si vous souhaitez bloquer le téléchargement des fichiers vidéos MPEG et QuickTime:

video/mpeg
video/quicktime

Note: Les types de MIME sont traités comme des expressions régulières. Cela signifie que le type de MIME

javascript

bloquera les types de contenu avec les types de MIME

application/x-javascript
text/javascript

Note: Le blocage de type de MIME ne sera pas éffectif pour ces clients:

• Adresses IP sources non restreintes


• Adresses MAC sources non restreintes
• Membres du groupe “Etendu” si le serveur Proxy utilise “l’authentification locale”

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 17


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.8 Navigateur Internet


Ceci vous permet de contrôler quel navigateur aura le droit d’accéder aux sites Internet.

4.8.1 Vérification du navigateur


Si cette option est activée, seuls les clients choisis pourront passer le serveur Proxy, toutes les autres
requêtes seront bloquées.

Note: Le contrôle d’accès via le navigateur ne sera pas éffectif pour ces clients:

• Adresses IP sources non restreintes


• Adresses MAC sources non restreintes
• Membres du groupe “Etendu” si le serveur Proxy utilise “l’authentification locale”

4.8.2 Définition des clients


Les navigateurs Internet les plus importants y sont déjà listés. Vous pouvez créer vos propres définitions en
éditant le fichier /var/smoothwall/proxy/advanced/useragents et en ajoutant les informations spécifiques
sur la navigateur ici.

L’ajout d’un client personnalisé peut s’avérer nécessaire si vous souhaitez mettre à jour des définitions de
votre antivirus. Si vous ne connaissez pas le useragent de ce logiciel, vous pouvez activer le logging du
useragent dans la section “Log settings” et regarder le fichier /var/log/squid/useragent.log

La synthaxe pour les clients est:

name,display,(regexp)

name est nécessaire pour le processus interne de l’Advanced Proxy et devra être un nom court en lettre
capiltale alphanumérique sans espacement.

display est la ligne qui apparait dans la liste de l’interface et devrait contenir le nom commun pour ce client.

(regexp) est une expression régulières qui devra correspondre à la ligne du navigateu useragent et doit
toujours être enfermé avec des parenthèses.

Ces valeurs sont séparées par des colonnes.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 18


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.8.3 Fake useragent


Par défaut, le useragent du navigateur Internet sera soumis aux serveurs Web externes. Beaucoup de sites
dynamique génere des contenus dépendant de la ligne du useragent soumise. Cette ligne sera aussi notée
dans les logs du serveur Internet.

Avec l’option “Fake useragent”, vous avez la possibilité de réecrire cette ligne pour tous les clients. Pour les
demandes sortantes, le champ de l’entête du useragent sera modifié par le Serveur Proxy et soumis aux sites
extermes au lieu de la ligne d’origine du useragent. Ceci peut être fait Ceci peut être fait pour protéger votre
vie privée ou forcer le niveau de compatibilité désiré.

Exemples:

La ligne suivante fera croire aux serveurs externes que tous vos clients sont en train d’utiliser le navigateur
Firefox :

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.3) Gecko/20041002 Firefox/0.10

Quoiqu’il est possible d’entrer une ligne librement définie, un useragent comme

Mozilla/1.0 (compatible; web enabled game console)

amènera probablement quelques difficultés pour afficher des sites Internet d’une manière correcte.

4.8.4 Fake referrer (fausse référence)


En cliquant sur un lien hypertexte, la source URL sera soumise au site Web de destination. Cela peut être
arrêté en entrant un utilisateur défini. Cette corde sera soumise au lieu de la référence réelle de l'
URL. Ceci
peut être utile pour vous protéger.

Exemples:

Cela remplace la source URL avec la référence de l’Advanced Proxy:

Référence bloquée par Advanced Proxy (http://www.advproxy.net)

Pour rendre anonyme vos références, vous pouvez entrer cette ligne comme ceci:

http://xxxxxxxxxxxxxxxxxxxxxxxxxxx

Note: Cela viole la norme HTTP et peut parfois mener à quelques difficultés. Quelques sites Web bloquent les
demandes avec des références incorrectes pour se protéger contre des liaisons prétendues ou l'abus en
"volant" le graphisme de leur site Web.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 19


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

4.9 URL filter


Ceci active l’add-on URL filter.

Cette add-on est optionnelle et est seulement disponible si l’add-on URL filter est installée.

L’add-on URL filter s’intègre dans Advanced Proxy mais ne fait pas partie du paquetage d’Advanced Proxy et
doit être installé séparément

Vous pouvez télécharger URL filter sur http://www.urlfilter.net

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 20


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5 Configuration de l’authentification
Note: Lorsque vous utilisez l’authentication et avez activé le log de fichiers sur le Proxy Web, la demande du
nom d’utilisateur sera loggée en outre pour la demande d’URL. Avant d’activer le log de fichiers avec
l’utilisation l’authentification, soyez sûr de ne pas violer les lois existantes.

5.1 Aperçu des methodes d’authentification


Il offre différentes méthodes d’authentification pour les utilisateurs.

5.1.1 Aucune
L’authentification est désactivée. Les utilisateurs n’ont plus besoin de s’authentifier pour accéder à Internet.

5.1.2 Authentification locale


Cette méthode d’authentification est la solution adaptée pour les environements SOHO. Les utilisateurs ont
besoin de s’authentifier pour accéder à Internet en entrant un nom d’utilisateur et un mot de passse corrects.
The user management resides sur le serveur Proxy de SmoothWall. Les utilisateurs sont catégorisés en trois
groupes: Etendu, Standard et Désactivé.

5.1.3 Authentification via LDAP


Cette méthode d’authentification est la solution adaptée pour les environnements réseaux moyens et grands.
Les utilisateurs auront à s’authentifier pour accéder à Internet en entrant un nom d’utilisateur et un mot de
passse corrects. Les qualifications sont vérifiées contre les serveurs externes utilisant le Lightweight Directory
Access Protocol (LDAP).

L’ authentification LDAP sera utile si vous avez déjà directory service sur votre réseau et ne souhaitez pas
gérer de compte utilisteur et mot de passe supplémentaires pour accéder à Internet.

Advanced Proxy fonctionne avec ces types de serveurs LDAP:

Active Directory (Windows 2000 et 2003 Server)

Novell eDirectory (NetWare 5.x et NetWare 6)

LDAP Version 2 and 3 (OpenLDAP)

Comme c’est une option, l’appartenance à certains groupes peut être nécessaire.

Note: Le protocole LDAPS (LDAP sécurisé) n’est pas supporté par Advanced Proxy.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 21


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.1.4 Authentification Windows


Cette methode d’authentification est une solution recommandée pour les petits et moyens réseaux. Les
utilisateurs devront s’authentifier lorsqu’ils voudront accéder au Web. Les “lettres de créance” sont vérifiées
contre un serveur externe fonctionnant comme un contrôleur de domaine. Celui-ci peut être un

Windows NT 4.0 Server or Windows 2000/2003 Server (meme avec Active Directory activé)

Samba 2.x / 3.x Server (fonctionnant comme un contrôleur de domaine)

Advanced Proxy fonctionne avec l’authentification intégrée de Windows (transparente) ou avec une
authentification standard (avec nom d’utilisateur et mot de passe).

Vous pouvez maintenir des listes avec des noms d’utilisateurs autorisés (liste blanche) ou des noms
d’utilisateurs non autorisés (liste noire).

Note: L’authentification via le groupe de travail (workgroup) peut probablement fonctionnée, mais ce n’est ni
recommandé ni supporté.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 22


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.2 Paramétrages globaux d’authentification


Les paramètres généraux d’authentification sont disponibles pour toutes les méthodes d’authentification.

5.2.1 Nombre de process d’authentification


Ceci représente le nombre de process en attente de requêtes. La valeur par défaut est de 5 et devra être
augmenté si l’authentification prend trop de temps ou que l’authentification intégrée Windows tombe pour une
authentication explicite.

5.2.2 Authentification via le cache TTL


Temps en minutes, il indique le temps durant lequel les informations seront cachées pour chaque session. Si
le délai est dépassé, l’utilisateur devra se réentrer les informations de sa session. Par défaut, le temps est de
60 minutes. Le TTL sera réintialisé lorsque l’utilisateur enverra une nouvelle requête vers le serveur Proxy
dans la session.

Note: Si l’utilisateur ouvre une nouvelle session, the credentials devra toujours être entrés, même si le TTL n’a
pas expiré pour une autre session.

5.2.3 Limitations d’adresses IP par utilisateur


Nombre d’adresses IP source d’un utilisateur loggué pendant un temps. Les adresses IP seront releasées
après un temps défini dans User/IP cache TTL.

Note: Ceci ne prend pas effet si vous utilisez une authentification locale et l’utilisateur est membre du groupe
étendu.

5.2.4 Cache TTL Utilisateur/IP


Temps en minutes, temps où la relation entre chaque nom d’utilisateur et les addresses IP utilisées seront
cachées. Par défaut la valeur est à 0 (désactivé).

Une valeur supérieure à 0 est seulement nécessaire lors de l’utilisation de la limitation du nombre d’adresses
IP par utilisateur.

5.2.5 Authentification requise pour les addresses sources non restreintes


Par défaut, l’authentification est requise meme pour les adresse IP non restreintes. Si vous ne souhaitez pas
obliger l’authentification pour ces adresses, décochez cette case

5.2.6 Prompt du royaume (domaine) pour l’authentification


Ce champs sera renseigné dans la boite de dialogue d’authentification. Par défaut c’est “SmootWall Advanced
Proxy Server”.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 23


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.3 Authentification des utilisateurs locaux


L’ authentication d’utilisateurs locaux vous permet de gérer les comptes utilisateur localement sans la
nécessité d’une authentification sur un serveur externe.

5.3.1 Gestion des utilisateurs


La gestion des utilisateurs peut être exécutée depuis la page des paramètres principaux.

Longueur minimum du mot de passe


Entrer la longueur minimum des mots de passe. Par défaut, c’est paramétré à 6 caractères alphanumériques.

Gestion des utilisateurs


Ce bouton ouvre le gestionnaire des utilisateurs locaux.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 24


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.3.2 Gestion des utilisateurs locaux


Le gestionnaire des utilisateurs est l’interface pour créer, éditer et supprimer des comptes utilisateur.

Dans la page du gestionnaire des utilisateurs, tous les comptes disponibles y sont affichés par ordre
alphabétique.

Définition des groupes

Vous pouvez choisir entre ces trois différents groupes:

Standard Le paramètre par défaut pour tous les utilisateurs. Tous auront les restrictions appliquées à ce
groupe.

Etendu Utiliser ce groupe pour les utilisateurs non restreints. Les membres de ce groupe outrepasseront
les restrictions de temps et de filtre.

Désactivé Les membres de ce groupe sont bloqués. Ceci peut être utile si vous souhaitez désactiver un
compte temporairement sans perte du mot de passe.

Ce qui nécessite le redémarrage ou non du service Proxy

Les modifications de compte utilisateurs qui nécéssiteront le redémarrage du service Proxy:

Un nouvel utilisateur a été crée et celui-ci n’est pas membre du groupe Standard
La modification d’appatenance de certatins utilisateurs à un groupe

Les modifications de compte utilisateurs qui ne nécéssiteront pas le redémarrage du service Proxy:

Un compte utilisateur a été crée et est membre du groupe Standard


Le mot de passé de certains utilisateurs a été changé
Un compte utilisateur a été supprimé

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 25


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.3.3 Créer des comptes utilisateurs


Nom d’utilisateur
Entrer le nom d’utilisateur de cet utilisateur. Si possible, le nom devra contenir seulement des caractères alpha
numérique.

Groupe
Selectionner le groupe d’appartenance pour cet utilisateur.

Mot de passe
Entrer le mot de passe pour le nouveau compte.

Mot de passe (confirmation)


Confirmez le mot de passé précédemment renseigné en le tapant une seconde fois.

Créer un utilisateur
Ce bouton permettra de créer un nouveau compte. Si le nom d’utilisateur existe déjà, le compte de ce nom
d’utilisateur sera mis à jour avec le nouveau groupe et le nouveau mot de passe.

Retour à la page principale


Ce bouton ferme le gestionnaire des utilisateurs et retourne sur la page principale d’Advanced Proxy.

5.3.4 Editer un compte utilisateur


Un compte utilisateur peut être édité en cliquant sur l’icône du stylo. Lorsque vous éditez un compte utilisateur,
seuls, l’appartenance à un groupe et le mot de passé peuvent être changés.

Lors de l’édition d’un compte, l’entrée choisie sera surlignée en jaune.

Pour sauvegarder le changement de paramètres, cliquer sur le bouton [Mettre à Jour].

Note: Le nom d’un utilisateur ne peut être modifié. Le champs est en lecture seule. Si vous avez besoin de
renommer un utilisateur, vous devez le supprimer et en créer un nouveau compte.

5.3.5 Supprimer un compte utilisateur


Un compte utilisateur peut être supprimé en cliquant sur l’icône de la poubelle. Le compte sera immédiatement
supprimé.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 26


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.3.6 Gestion des mots de passé côté client


Les utilisateurs peuvent changer leur mot de passe si nécessaire. L'
interface est accessible en entrant cette
URL:

http://smoothwall-green-ip:81/cgi-bin/chpasswd.cgi

Note: Remplacer SmoothWall-green-ip par l'adresse IP green de SmoothWall.


Cette page de dialogue Web nécessite le nom d'
utilisateur, le mot de passe actuel et le nouveau mot de passe
(une deuxieme fois pour la confirmation):

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 27


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.4 Authentification LDAP


Cette méthode d’authentification utilise l’infrastructure des répertoires existants pour l’authentification des
utilisateurs.

Si vous êtes incertain sur l’arborescence des répertoires, vous pouvez examiner sur votre serveur LDAP en
utilisant la ligne de commande basée sur l’outil ldapsearch.

Les clients Windows peuvent utiliser (gratuit et simple d’utilisation) le navigateur Softerra LDAP pour ceci:
http://www.softerra.com/products/ldapbrowser.php

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 28


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.4.1 Paramétrages LDAP communs

Base DN
C’est la base où commencer par rechercher le serveur LDAP. Toutes les Unités Organisationnelles (OUs)
seront incluses.

Référez vous à la documentation de votre LDAP pour le format nécessaire de la base DN.

Exemple de Base DN pour Active Directory:

cn=users,dc=ads,dc=local

Ceci cherchera les utilisateurs dans le groupe utilisateurs du domaine domain ads.local

Exemple de Base DN pour eDirectory:

ou=users,o=acme

Ceci cherchera les utilisateurs dans l’unité organisationnelle des utilisateurs dans l’organisation acme

Type de LDAP
Vous pouvez choisir entre les différentes implémentations de LDAP:

Active Directory (ADS)

Novell eDirectory (NDS)

LDAP v2 et v 3

Serveur LDAP
Entrer l’adresse IP de votre serveur LDAP.

Port
Entrer le port de votre serveur LDAP en écoute pour les requêtes LDAP. Par défaut, c’est le 389.

Note: Le protocole LDAPS (LDAP sécurisé, port 636) n’est supporté par Advanced Proxy.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 29


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.4.2 Paramétrages Bind DN

Nom d’utilisateur Bind DN


Entrer le nom complet de l’utilisateur Bind DN.

Note: L’utilisateur Bind DN est requis Active Directory et eDirectory.

Note: L’utilisateur Bind DN doit avoir le droit de naviguer dans le répertoire et lire l’attribut de tous les
utilisateurs.

Mot de passe Bind DN


Entrer le mot de passe de l’utilisateur Bind DN.

5.4.3 Contrôle d’accès base par les groupes

Groupe requis (optionnel)


Entrer le nom complet du groupe pour les utilisateurs autorisés pour Internet.

En plus d’une authentfiication correcte, l’utilisateur devra appartenir à ce groupe s’il souhaite accéder à
Internet.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 30


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.5 Authentification Windows


Cette méthode d’authentification utilise l’environnement du domaine existant pour authentification des
utilisateurs.

En plus de l’authentification, vous pouvez définir des accès positifs ou négatifs à Internet via la liste de
contrôle d’accès.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 31


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.5.1 Paramétrages communs de domaine

Domaine
Entrer le nom du domaine que vous utiliserez pour l’authentification. Si vous êtes sous Windows 2000 ou
Windows 2003 Active Directory, vous n’aurez pas à entrer le nom NetBios du domaine.

Nom d’Hôte du PDC


Entrer le nom d’hôte Netbios du contrôleur de domaine principal ici. Si vous êtes sous Windows 2000 ou
Windows 2003 Active Directory, vous pouvez entrer le nom de n’importe quel contrôleur de domaine.

Note: Sous Windows 2000 et supérieur, le premier contrôleur de domaine n’est pas assigné à un serveur
dédié. L’émulateur PDC d’Active Directory est un rôle logique et peut être assigné à n’importe quel contrôleur
de domaine.

Important: Le nom d’hôte du PDC doit être résolu par le serveur SmoothWall. Ceci peut être fait en ajoutant le
nom d’hôte dans “Services / Edit Hosts” (recommandé) or ou en éditant directement le fichier /etc/hosts.

Nom d’Hôte du BDC (optionnel)


Entrez le nom d’hôte Netbios du contrôleur de domaine de sauvegarde (BDC) ici. Si vous êtes sous Windows
2000 ou Windows 2003 Active Directory, vous pouvez entrer le nom de n’importe quel contrôleur de domaine.

Si le PDC ne répond pas aux requêtes, le processus d’authentification se fera sur le BDC.

Important: Le nom d’hôte du BDC doit être résolu par le serveur SmoothWall. Ceci peut être fait en ajoutant
le nom d’hôte dans “Services / Edit Hosts” (recommandé) ou en éditant directement le fichier /etc/hosts.

5.5.2 Mode d’authentification

Activer l’authentification intégrée pour Windows


Si cette option est activée, il ne sera pas demandé à l’utilisateur de s’authentifier par son nom d’utilisateur et
son mot de passe. Les informations sur l’utilisateur actuellement connecté, seront automatiquement diffusées
pour authentification. Cette option est activée par défaut.

Si l’authentification intégrée est désactivée, il sera demandé à l’utilisateur de s’authentifier par son nom
d’utilisateur et son mot de passe.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 32


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

5.5.3 Restrictions d’accès par les noms d’utilisateur

Activé
Ceci active la liste de contrôle d’accès pour les utilisateurs autorisés ou non autorisés.

Utiliser le contrôle d' accès positif / Utilisateurs du domaine autorisés


Ces utilisateurs listés seront autorisés à accéder à Internet. Pour tous les autres utilisateurs, l’accès sera non
autorisé.

Utiliser le contrôle d' accès négatif / Utilisateurs du domaine non autorisés


Ces utilisateurs listés ne seront pas autorisés à accéder à Internet. Pour tous les autres utilisateurs, l’accès
sera autorisé.

Note: Si l’authentification intégrée de Windows est active, le nom d’utilisateur doit être rentré avec le nom de
domaine comme préfixe au nom de l’utilisateur, séparé par un backslash.

Exemple pour les utilisateurs basés sur la liste de contrôle d’accès utilisant une authentification intégrée:

Note: Lors de l’utilisation d’une authentification intégrée, l’utilisateur doit être connecté sur le domaine,
autrement le nom de la machine locale sera ajouté au nom d’utilisateur au lieu du nom de domaine

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 33


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

Exemple pour les utilisateurs basés sur la liste de contrôle d’accès utilisant une authentification explicite:

Note: L' authentification explicite garantit l'


accès à l'utilisateur, bien que l'
utilisateur ne soit pas connecté au
domaine, aussi longtemps que le nom d' utilisateur sera le même et que le mot de passe local du poste de
travail et le mot de passe de domaine soient assortis.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 34


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

6 Forcer l’utilisation du proxy


Pour différentes raisons, il peut être requis que tous les postes clients doivent utiliser le Proxy. La raison
pourrait être une obligation de connexion, de filtrage ou d’authentification.

6.1 Modes de fonctionnement d’un Proxy Web standard


6.1.1 Service Proxy désactivé
Paramétrage du Proxy de SmoothWall:

Accès Client: Le fait de désactiver le Proxy permet un accès direct à Internet pour tous les postes clients.

Résultat: Le Proxy ne sera jamais utilisé. Connexion, filtrage et authentification ne seront pas disponibles.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 35


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

6.1.2 Service Proxy activé, fonctionnant en mode non-transparent


Paramétrages du proxy de SmoothWall:

Accès Client: Tous les postes clients sans configuration explicite du Proxy l’outrepasseront.

Accès Client: Tous les postes clients configurés pour l’utilisation d’un Proxy, utiliseront le Proxy pour tous les
ports de destination (80, 443, 8080, etc.) et même pour les clients FTP via un navigateur Web.

Résultat: Cela dépend de la configuration des postes clients si le Proxy sera utilisé ou non. Les postes clients
non configurés outrepasseront la connexion, le filtrage et l’authentification.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 36


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

6.1.3 Service Proxy activé, fonctionnant en mode transparent


Paramétrages du proxy de SmoothWall:

Accès Client: Toutes les requêtes avec pour destination le port 80 seront en interne redirigées vers le Proxy.
Les reqêtes sur d’autres ports de destination (par exemple 443 pour https) outrepasseront le Proxy.

Résultat: Pas toutes mais la plupart des reqêtes passeront par le proxy. Par conséquent les filtrages,
connexions et authentification ne seront pas fiables.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 37


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

6.2 Configuration du Proxy Web côté client


Il y a différentes façons de configurer des postes clients pour l’utilisation d’un service Proxy Web. Ici quelques
exemples:

6.2.1 Configuration cliente manuelle


Configuration des postes clients en appliquant tous les paramètres Proxy manuellement:

Perte de temps et peu fiable


Configuration requise pour chaque utilisateur

6.2.2 Client pré configuré


Distributions de navigateurs pré configurés:

Raisonnable pour des environnements moyens et grands


Fonctionne seulement pour les logiciels clients configurés

IEAK pour IE 6: http://www.microsoft.com/windows/ieak/


CCK pour Mozilla: http://www.mozilla.org/projects/cck/

6.2.3 Configuration cliente via DNS / DHCP


Configuration des postes clients centralisée en utilisant les services DNS et/ou DHCP:

Implémentation complexe
Requiert la personnalisation des fichiers proxy.pac ou wpad.dat
Configuration flexible
La plupart des navigateurs supporte cette méthode de configuration

Pour plus d’informations: http://www.web-cache.com/Writings/Internet-Drafts/draft-ietf-wrec-wpad-01.txt

6.2.4 Configuration cliente en utilisant des strategies de groupes


Configuration des postes clients centralisée en utilisant des stratégies de groupes:

Implémentation complexe
Raisonnable seulement pour des environnements moyens et grands
Requiert un système de gestion de réseaux centralisés (Active Directory, ZENworks, etc.)
Configuration flexible et obligatoire
Fonctionne seulement pour des clients Win32et certains types de navigateurs

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 38


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

6.3 Modifier les règles du firewall


Tous les modes d' opération possibles par le Proxy permettent un accès direct à Internet pour des clients non
configurés. De plus, le firewall ne pourra transférer plusieurs demandes par ces ports habituellement utilisés
pour l’accès à Internet:

Note: Ceci sera le seul passage pour prévenir l’outrepassement du service Proxy pour les accès non
autorisés.

6.3.1 Ajouter des règles personnalisées sur IPTables


Les règles personnelles peuvent être appliquées en les ajoutant dans le fichier
/etc/rc.d/rc.firewall.local

L’exemple suivant bloque tous les accés directs depuis l’intérieur et à destination des ports 80 et 443 à
l’exterieur .

#!/bin/sh
# Used for private firewall rules

# See how we were called.


case "$1" in
start)
## add your 'start' rules here
/sbin/iptables -A CUSTOMFORWARD -i eth0 -p tcp -m mport --dports 80,443 -j DROP
;;
stop)
## add your 'stop' rules here
;;
*)
echo "Usage: $0 {start|stop}"
esac

Note: Remplacez eth0 par le nom de votre interface GREEN si eth0 n’est pas votre interface GREEN.

Note: Vous pouvez ajouter plus de lignes pour les interfaces supplémentaires
(par exmple eth1 pour le réseau wireless)

Note: Le firewall a besoin d’être redémarré après ces modifications: /etc/rc.d/rc.firewall restart

Note: Les ports à bloquer pour l’accès à Internet sont: 80,81,443,3128,6588,8000,8080,8181

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 39


Advproxy - Proxy Web Avancé
Serveur Proxy Web avancé pour SmoothWall Express 2.0 Guide d’administration

Note: L' ajout du port 21 (FTP) force le client FTP du navigateur Internet à passer par le proxy mais empêche
la plupart des clients FTP natif d'
établir une connexion avec les noms d' hôtes FTP externes.

6.4 Conditions pour l’utilisation obligatoire du Proxy


Pour forcer l’utilisation du proxy, ces conditions doivent être remplies:

Configuration poste client propre

Le poste client doit être configuré pour utiliser le service Proxy. Cf. le chapitre 6.2.

Correct proxy operation mode

Le proxy doit fonctionner en mode non transparent. Cf. le chapitre 6.1.2

Bloquer l’accès direct à Internet

Tous les accès direct à Internet doivent être bloqués. Cf. le chapitre 6.3.

Release 1.0.1 – Fev 2005 http://www.advproxy.net Page 40