Smoothwall 2.0-Advproxy-V1.0.1

Advproxy - Proxy Web Avanc
Serveur Proxy Web avanc pour SmoothWall Express 2.0 Guide dadministration
Release 1.0.1 Fev 2005 http://www.advproxy.net Page 1

A AA A
A AA A
d dd d
d dd d
v vv v
v vv v
p pp p
p pp p
r rr r
r rr r
o oo o
o oo o
x xx x
x xx x
y yy y
y yy y
- -- -
- -- -
P PP P
P PP P
r rr r
r rr r
o oo o
o oo o
x xx x
x xx x
y yy y
y yy y
W WW W
W WW W
e ee e
e ee e
b bb b
b bb b
a aa a
a aa a
v vv v
v vv v
a aa a
a aa a
n nn n
n nn n
c cc c
c cc c

G GG G G GG Gu uu u u uu u d dd d d dd de ee e e ee e d dd d d dd d A AA A A AA Ad dd d d dd dm mm m m mm m n nn n n nn n s ss s s ss st tt t t tt tr rr r r rr ra aa a a aa at tt t t tt t o oo o o oo on nn n n nn n
Copyright 2004
Author: Marco Sondermann
Traduit en franais par Pulsergene
marco.sondermann@myrealbox.com
http://www.advproxy.net

Table of contents

1 PREFACE.....................................................................................................................................................4
1.1 RIGHTS AND DISCLAIMERS......................................................................................................................4
1.2 TRADEMARKS.........................................................................................................................................4
2 INTRODUCTION ..........................................................................................................................................5
2.1 APERU.................................................................................................................................................5
2.2 LISTE DETAILLEE SUR LADVANCED PROXY ..............................................................................................5
2.3 BASE LEGALE .........................................................................................................................................5
2.4 MOTES DE SECURITE ..............................................................................................................................6
2.4.1 Installation et remplacement des fichiers binaires...........................................................................6
2.4.2 Rgles du firewall ............................................................................................................................6
2.4.3 Mots de passe..................................................................................................................................6
3 INSTALLATION............................................................................................................................................7
3.1 PRE REQUIS POUR LINSTALLATION..........................................................................................................7
3.2 INSTALLATION DE LADD-ON ADVANCED PROXY........................................................................................7
3.3 DESINSTALLATION DE LADD-ON ADVANCED PROXY..................................................................................7
3.4 PROBLEMES LIES AUX MISES A JOUR OFFICIELLES DE SMOOTHWALL .........................................................8
3.5 DEFINITION DES DIRECTIVES DE CONFIGURATION PAR LUTILISATEUR.........................................................8
4 CONFIGURATION DU PROXY WEB..........................................................................................................9
4.1 PARAMETRAGES COMMUNS.....................................................................................................................9
4.1.1 Activ sur <Interface>......................................................................................................................9
4.1.2 Transparent sur <Interface> ............................................................................................................9
4.1.3 Le serveur proxy (host:port).............................................................................................................9
4.1.4 Nom dutilisateur ..............................................................................................................................9
4.1.5 Mot de passe ...................................................................................................................................9
4.1.6 Port du Proxy .................................................................................................................................10
4.1.7 Langage du message derreur.......................................................................................................10
4.1.8 Email de lAdministrateur du cache ...............................................................................................10
4.2 PARAMETRAGES DES LOGS...................................................................................................................11
4.2.1 Activation des logs.........................................................................................................................11
4.2.2 Log query terms.............................................................................................................................11
4.2.3 Log useragents ..............................................................................................................................11
4.3 GESTION DU CACHE..............................................................................................................................12
4.3.1 Taille du cache disque...................................................................................................................12
4.3.2 Taille de la mmoire cache............................................................................................................12
4.3.3 Taille minimum des objets .............................................................................................................12
4.3.4 Taille maximum des objets ............................................................................................................12
4.3.5 Nombre de sous repertoires au niveau -1 .....................................................................................12
4.3.6 Stratgie de suppression de la mmoire.......................................................................................13
4.3.7 Stratgie de suppression du cache ...............................................................................................13
4.3.8 Ne pas cacher ces domaines ........................................................................................................13
4.4 RESEAU BASE SUR LE CONTROLE DACCES.............................................................................................14
4.4.1 Sous rseaux.................................................................................................................................14
4.4.2 Adresses IP ou sous rseaux bannis ............................................................................................14
4.4.3 Adresses IP non restreintes...........................................................................................................14
4.4.4 Adresses MAC non retreintes........................................................................................................15
4.5 RESTRICTIONS DE TEMPS......................................................................................................................16
4.6 LIMITATION DES TRANSFERTS................................................................................................................16
4.7 TYPE DE FILTERS MIME........................................................................................................................17
4.8 NAVIGATEUR INTERNET.........................................................................................................................18
4.8.1 Vrification du navigateur ..............................................................................................................18

4.8.2 Dfinition des clients......................................................................................................................18
4.8.3 Fake useragent ..............................................................................................................................19
4.8.4 Fake referrer (fausse rfrence)....................................................................................................19
4.9 URL FILTER .........................................................................................................................................20
5 CONFIGURATION DE LAUTHENTIFICATION........................................................................................21
5.1 APERU DES METHODES DAUTHENTIFICATION .......................................................................................21
5.1.1 Aucune...........................................................................................................................................21
5.1.2 Authentification locale....................................................................................................................21
5.1.3 Authentification via LDAP..............................................................................................................21
5.1.4 Authentification Windows...............................................................................................................22
5.2 PARAMETRAGES GLOBAUX DAUTHENTIFICATION ....................................................................................23
5.2.1 Nombre de process dauthentification ...........................................................................................23
5.2.2 Authentification via le cache TTL...................................................................................................23
5.2.3 Limitations dadresses IP par utilisateur ........................................................................................23
5.2.4 Cache TTL Utilisateur/IP................................................................................................................23
5.2.5 Authentification requise pour les addresses sources non restreintes ...........................................23
5.2.6 Prompt du royaume (domaine) pour lauthentification...................................................................23
5.3 AUTHENTIFICATION DES UTILISATEURS LOCAUX......................................................................................24
5.3.1 Gestion des utilisateurs .................................................................................................................24
5.3.2 Gestion des utilisateurs locaux......................................................................................................25
5.3.3 Crer des comptes utilisateurs ......................................................................................................26
5.3.4 Editer un compte utilisateur ...........................................................................................................26
5.3.5 Supprimer un compte utilisateur ....................................................................................................26
5.3.6 Gestion des mots de pass ct client ..........................................................................................27
5.4 AUTHENTIFICATION LDAP.....................................................................................................................28
5.4.1 Paramtrages LDAP communs .....................................................................................................29
5.4.2 Paramtrages Bind DN..................................................................................................................30
5.4.3 Contrle daccs base par les groupes .........................................................................................30
5.5 AUTHENTIFICATION WINDOWS...............................................................................................................31
5.5.1 Paramtrages communs de domaine............................................................................................32
5.5.2 Mode dauthentification..................................................................................................................32
5.5.3 Restrictions daccs par les noms dutilisateur..............................................................................33
6 FORCER LUTILISATION DU PROXY......................................................................................................35
6.1 MODES DE FONCTIONNEMENT DUN PROXY WEB STANDARD...................................................................35
6.1.1 Service Proxy dsactiv ................................................................................................................35
6.1.2 Service Proxy activ, fonctionnant en mode non-transparent.......................................................36
6.1.3 Service Proxy activ, fonctionnant en mode transparent ..............................................................37
6.2 CONFIGURATION DU PROXY WEB COTE CLIENT ......................................................................................38
6.2.1 Configuration cliente manuelle ......................................................................................................38
6.2.2 Client pr configur........................................................................................................................38
6.2.3 Configuration cliente via DNS / DHCP ..........................................................................................38
6.2.4 Configuration cliente en utilisant des strategies de groupes.........................................................38
6.3 MODIFIER LES REGLES DU FIREWALL......................................................................................................39
6.3.1 Ajouter des rgles personnalises sur IPTables ...........................................................................39
6.4 CONDITIONS POUR LUTILISATION OBLIGATOIRE DU PROXY......................................................................40


1 Prface
1.1 Rights and Disclaimers
The information contained within this document may change from one version to the next.

All programs and details contained within this document have been created to the best of the authors
knowledge and tested carefully. However, errors cannot be completely ruled out. Therefore the author does
not express or imply any guarantees for errors within this document or consequent damage arising from the
availability, performance or use of this or related material.

1.2 Trademarks
The use of names in general use, names of firms, trade names, etc. in this document, even without special
notation, does not imply that such names can be considered as free in terms of trademark legislation and that
they can be used by anyone. All trade names are used without a guarantee of free usage and might be
registered trademarks. As a general rule, the author adheres to the notation of the manufacturer. Other
products mentioned here could be trademarks of the respective manufacturer.

Microsoft, Windows, FrontPage, Internet Explorer and Active Directory are either registered trademarks or
trademarks of Microsoft Corporation in the United States and/or other countries/regions.

Novell, NetWare and eDirectory are either registered trademarks or trademarks of Novell, Inc. in the United
States and other countries.


2 Introduction
2.1 Aperu
Ladd-on Advanced Proxy Server tend le service Proxy de SmoothWall avec beaucoup de dispositifs
additionnels souples, flexibles et utiles.

Tous les paramtrages prcdents du Proxy seront imports vers l'Advanced Proxy, et demeurent intacts pour
tout autre changement de configuration.

2.2 Liste dtaille sur lAdvanced Proxy
En plus du service Proxy par dfaut, l'Advanced Proxy offre de nouveaux dispositifs :

Intgration complte dans linterface dadministration

Intgration sans couture dans linterface dadministration pour la configuration du Advanced Web
Proxy

Toutes les options tendues sont accessibles et configurables dans l'interface d'administration

Authentification des utilisateurs

Authentification des utilisateurs locaux, incluant des groupes bass sur la gestion utilisateurs

Authentification LDAP, incluant MS Active Directory, Novell eDirectory and OpenLDAP

Authentification Windows, incluant Windows NT4.0 ou domaines 2000/2003 et Samba

Contrle daccs avanc

Rseau bas sur le contrle daccs via les adresses IP et MAC

Restriction daccs base en fonction du temps

Filtrage des types de MIME

Blocage des navigateurs Internet ou de clients logiciels non autoriss

2.3 Base lgale

Note: Beaucoup doptions de lAdvanced Proxy peuvent violer la vie prive de vos clients ou d'autres normes
juridiques.

Attention: Avant dutiliser ce logiciel, soyez sr que ce sera en accord avec les lois nationales ou d'autres
rglements lgaux

Avertissement explicite: Dans la plupart des pays, les utilisateurs doivent tre inform que les donnes
personnelles seront enregistres, comme la date, le temps, la source et la destination dans la conjonction
avec le nom d'utilisateur. N'utilisez pas ce logiciel dans un environnement d'affaires sans l'accord crit
du service du personnel

2.4 Motes de scurit
2.4.1 Installation et remplacement des fichiers binaires
Note: Cette ad-on installe des excutables additionnels, des bibliothques et remplace le serveur proxy Squid
avec une personnalisation spciale (actuellement 2.5 STABLE 7). Squid et les modules d'authentification ont
t compils du code source original sans aucune modification. Les options de configuration sont
montres avec la commande "squid -v". Dans des circonstances normales ceci ne devrait pas affecter la
scurit.

2.4.2 Rgles du firewall
Note: Cette add-on ne modifie pas les rgles du firewall. Si cela est ncessaire, par exemple pour forcer une
authentification, ceci doit tre fait par vous-mme. Allez voir le chapitre 6.3 pour plus dinformations.

2.4.3 Mots de passe
Note: Si vous utilisez lauthentification, prenez garde au fait que les mots de passe seront transmis en tant que
simple texte entre votre client et le serveur Proxy. De plus, lors de lutilisation dune authentification LDAP ou
NT, les mots de passe seront transmis en tant que simple texte entre le serveur Proxy et linstance
dauthentification (par exemple sur le serveur LDAP ou le contrleur de domaine). Ce comportement est selon
la conception et ne devrait pas tre un dfaut srieux dans un environnement de rseau local commut.

3 Installation
3.1 Pr requis pour linstallation
Il ny a pas de pr requis spciaux connatre avant linstallation de cette add-on.

Note: Dautres add-ons qui ont modifis les paramtres de Proxy (spcialement certains modules filtres)
peuvent ne plus fonctionner aprs linstallation de cette add-on.

3.2 Installation de ladd-on Advanced Proxy
tape 1: Tlcharger le paquet dinstallation depuis le site http://www.advproxy.net

tape 2: Copier le paquetage dinstallation sur le serveur SmoothWall. Pour les clients WIndows, ceci peut
tre fait en utilisant le logiciel WinSCP.

Note: Vrifier que vous utilisez le port 222 au lieu du port 22 pour SCP

tape 3: Connecter vous en root sur la console ou via SSH. Pour les clients WIndows, ceci peut tre fait en
utilisant le logiciel PuTTY.

Note: Vrifier que vous utilisez le port 222 au lieu du port 22 pour SSH

tape 4: Extraire le paquetage dinstallation en utilisant la commande
tar xzf smoothWall-advproxy-version.tar.gz

Note: Remplacez la version par la version du paquet d'installation

tape 5: Commencer linstallation en entrant smoothwall-advproxy/install

tape 6: Ouvrez linterface dadministration de SmoothWall. Maintenant, dans le menu service, vous trouverez
lentre Proxy tendue Advanced Proxy. Slectionnez cette entre pour accder) la page
dadministration du proxy avanc.

tape 7: Modifiez les paramtrages de configuration en fonction de vos besoins et redmarrer le serveur
Proxy pour faire appliquer mes changements de paramtres.

3.3 Dsinstallation de ladd-on Advanced Proxy
tape 1: Connecter vous en root sur la console ou via. Pour les clients WIndows, ceci peut tre fait en utilisant
le logiciel PuTTY.

Note: Vrifier que vous utilisez le port 222 au lieu du port 22 pour SSH

tape 2: Commencer le processus de dsinstallation en entrant de smoothwall-advproxy/uninstall

tape 3: Ouvrez linterface dadministration de SmoothWall. Dans le menu service, slectionnez lentre
Proxy.

tape 4: Les prcdentes configurations sont maintenant mises par dfaut. Redmarrer le serveur Proxy pour
activer la prcdente configuration.


3.4 Problmes lies aux mises jour officielles de SmoothWall
Les mises jour officielles sont conues pour les installations non modifies et ne s'inquitent pas des add-
ons installes prcdemment et des dossiers modifis par elles.

Aprs lapplication de mises jour officielles, vous rencontrerez quelques problmes:

Le sous-menu Advanced Proxy a disparu aprs lapplication dune mise jour

Beaucoup de mises jour officielles remplace le fichier /var/smoothwall/header.pl et rinitialisent toutes
les entres par dfaut.

Ce problme peut tre rsolu en rinstallant ladd-on. Il nest pas ncessaire de dsinstaller celle-ci en
premier, parce qu'il rgnre toutes les modifications ncessaires du menu et conserve les paramtres actuels
de l'add-on.

Advanced Proxy ne fonctionnera pas proprement aprs linstallation dune mise jour

Il est possible que certains fichiers binaires ncssaires de lAdvanced Proxy ont t remplacs.

Ce problme peut tre rsolu en rinstallant ladd-on. Cela ne ncssite pas une dsinstallation de ladd-on en
premiser, parce qu'il installe tous les dossiers requis une fois de plus et conserve les paramtres actuels de
ladd-on.

3.5 Dfinition des directives de configuration par lutilisateur

La configuration personnalise du Proxy Web (par exemple pour lintgration Ad-Zap ou en outrepassant le
Proxy parent) peut tre maintenant ajoute dans le fichier /var/ smoothwall /proxy/advanced/acls/include.acl

Note: Le fichier ACL /var/smoothwall/proxy/acl ne sera pas trait par lAdvproxy.

4 Configuration du Proxy Web
4.1 Paramtrages communs
Les paramtrages communs sont des paramtres essentiels lis au service proxy.

4.1.1 Activ sur <Interface>
Ceci activera lcoute aux requtes sur le serveur Proxy pour les interfaces slectionnes (GREEN ou BLUE).

Note: Si le service Proxy est dsactiv, toutes les requtes de clients seront transfres directement vers
ladresse de destination sans passer par le service Proxy et de plus, les requtes outrepasseront toutes les
ACL (Liste de contrle daccs) configures

4.1.2 Transparent sur <Interface>
Si le mode transparent est activ, toutes les reqtes pour le port de destinattion 80 seront transfres vers le
serveur Proxy sans besoin de faire une configuration spciale sur les postes clients.

Note: Le mode transparent fonctionne seulement avec le port de destination 80. Toutes les autres requtes
(par exemple, le port 443 pour SSL) outrepasseront le serveur Proxy.

Note: Lorsque vous utilisez plusieurs typres dauthentification, le Proxy ne pourra pas fonctionner en mode
transparent.

Note: Pour forcer lutilisation dun serveur Proxy en mode non transparent, vous devrez bloquer en sortie tous
les ports habituellement utiliss pour le trafic http (80, 443, 8000, 8080, etc.).

4.1.3 Le serveur proxy (host:port)
Si vous utilisez un cache parent, alors entrer ladresse IP et le port du Serveur Proxy. Sil ny a aucune valeur
port de renseigne, par dfaut le port 80 sera utilis.

4.1.4 Nom dutilisateur
Entrer le nom dutilisateur pour le serveur Proxy (seulement si requis).

4.1.5 Mot de passe
Entrer le mot de passe pour le serveur Proxy (seulement si requis).

4.1.6 Port du Proxy
Ceci est le port dcoute du serveur Proxy pour les requtes des postes clients. Par dfaut, cest le port 800.

Note: En mode transparent, Toutes les requtes clientes pour le port 80 seront rediriges automatiquement
vers ce port.

Note: En mode non transparent, vrifiez que vos postes clients sont configurs poiur utiliser ce port.
Autrement, ils outrepasseront le serveur Proxy et les ACL seront ignors.

4.1.7 Langage du message derreur
Choisissez la langue dans laquelle les messages derreur du serveur Proxy seront affichs sur les postes
clients

4.1.8 Email de lAdministrateur du cache
Cette adresse Email sera indique dans le message derreur du serveur Proxy.

4.2 Paramtrages des Logs
Ces options ont pour but dactiver les logs sur Advanced Proxy.

4.2.1 Activation des logs
Ceci activera les logs du Proxy Web. Toutes les requtes de postes clients seront ecrites dans les fichiers log
et pourront tre vues via linterface dadministration dans journaux/journaux du Proxy.

4.2.2 Log query terms
La partie de lURL contenant les demandes dynamiques sera dpouille par dfaut avant la connexion. En
activant loption Log query terms arrtra ceci et lURL complete sera connecte.

Note: En activant Log query terms peut casser l'intimit de vos postes clients !

4.2.3 Log useragents
En activant Log useragent crira dans le fichier /var/log/squid/useragent.log

Cette option de fichier log devra tre seulement active pour le dbuggage et le rsultat non montr dans
linterface Web.


4.3 Gestion du cache
Le gestionnaire de cache contrle le cache de lAdvanced Proxy.

4.3.1 Taille du cache disque
Ceci reprsente la quantit despace disque (MB) utilise pour cacher les objets. Par dfaut, cest 50 MB.
Modifiez cette valeur en fonction de votre configuration. Nindiquez pas la taille de votre disque ici. Au lieu de
cela, si vous souhaitez que Squid utilise le disque entier, soustray 20% et utilis cette valeur.

4.3.2 Taille de la mmoire cache
Cest la quantit de RAM physique utilise pour les caches ngatifs et les objets en transit. Cette valeur ne
devra pas dpasse plus de 50% de la RAM installe La valeur minimale est de 1MB, par dfaut, cest 2 MB.

Note: Ce paramtre ne specifie pas la taille maximum du process. Cela place seulement une limite sur
combien de RAM additionnelle, le Proxy Web lutilisera comme un cache dobjets.

4.3.3 Taille minimum des objets
Les objets plus petit que cette taille ne seront pas sauvegards sur le disque. La valeur est spcifie en Kb
(kilobytes), et la valeur par dfaut est 0 KB, ce qui signifie quil ny a aucun minimum.

4.3.4 Taille maximum des objets
Les objets plus grand que cette taille ne seront pas sauvegards sur le disque. La valeur est spcifies en Kb
(kilobytes), et par dfaut cest 4MB. Si vous souhaitez augmenter davantage la vitesse pour sauver la bande
passante, vous devriez laisser ceci avec une valeur faible

4.3.5 Nombre de sous repertoires au niveau -1
La valeur par dfaut pour les sous rpertoires du cache disque de niveau -1 est 16.

Chaque rpertoire de niveau -1 contient 256 sous rpertoires, alors pour un nombre de 256 rpertoires de
niveau -1 utilisera un nombre total de 65536 sous rpertoires pour le disque cache. Ceci ralentira le
dmarrage du service Proxy but pourra acclrer la vitesse du cache sous certaines conditions.

Note: La valeur recommande de rpertoires pour le niveau -1 est de 16. Vous devrez augmenter cette valeur
si seulement cest ncessaire.


4.3.6 Stratgie de suppression de la mmoire
Le paramtrage de suppression de la mmoire dtermine quels sont les objets qui sont purgs sur la
mmoire, lorsque cela devient ncessaire. La stratgie par dfaut de suppression de la mmoire est
SmoothWall est LRU.
Les diffrentes stratgies de suppression possibles sont:

LRU : Squid's original list based Last Recently Used policy
Les stratgies du LRU conservent les objets rcemment rfrencs. C'est--dire, il supprime les objets qui
nont pas t utiliss depuis longtemps.

heap GDSF : Greedy-Dual Size Frequency
La stratgie du heap GDSF optimise le taux de coup d'objet en conservant les plus petits objets populaires
dans le cache. Donc il a une meilleure chance d'obtenir un coup. Il ralise un taux de coup d'octet infrieur
celui du LFUDA quoique, puisqu'il expulse les plus grands (probablement les plus populaire) objets.

heap LFUDA : Least Frequently Used with Dynamic Aging
La stratgie du heap LFUDA (Le moins Frquemment Utilis avec le Vieillissement Dynamique) conserve les
objets populaires dans le cache indpendamment de leur taille et optimise ainsi le taux de coup d'octet la
charge du taux de coup puisqu'un objet grand, populaire empchera plusieurs petits, des objets lgrement
moins populaires d'tre cachs.

heap LRU :La stratgie Last Recently Used implmente utilisant le heap fonctionne comme LRU, mais utilise
le heap au lieu de cela.

Note: Si en utilisant la stratgie de suppression LFUDA, la valeur de taille d'objet de Max devrait tre
augmente au-dessus de sa valeur par dfaut de 4096 Ko pour amliorer le taux du coup potentiel de l'octet
du LFUDA.

4.3.7 Stratgie de suppression du cache
Le paramtrage de la suppression du cache dcidera quels objets resteront dans le cache etceux qui seront
supprims ou crera un espace pour de nouveaux objets. La stratgie du cache par dfaut sur SmoothWall
est le LRU.
Regardez le chapitre 4.3.6 pour plus de dtails.

Pour plus dinformations sur les stratgies de suppression du cache GDSF et LFUDA, regardez :
http://www.hpl.hp.com/techreports/1999/HPL-1999-69.html et
http://fog.hpl.external.hp.com/techreports/98/HPL-98-173.html .

4.3.8 Ne pas cacher ces domaines
Employez ceci pour forcer des objets pour ne jamais tre cach.


4.4 Rseau base sur le contrle daccs
Ceci dfinit les contrles daccs pour accder au serveur Proxy depuis une adresse rseau cliente.

4.4.1 Sous rseaux
Tous les sous-rseaux sont accepts pour accder au Serveur Proxy. Par dfaut, les sous-rseaux GREEN et
BLUE (si disponible) sont lists ici.

Vous pouvez ajouter dautres sous-rseaux comme les sous-rseaux derrire linterface GREEN dans de
grands environnements pour cette liste. Tous les sous-rseaux non lists naccderont pas Internet.

4.4.2 Adresses IP ou sous rseaux bannis
Toutes requtes provenant de ces clients (adresses IP ou sous-rseaux) seront bloques.

4.4.3 Adresses IP non restreintes
Toutes les adresses IP clientes de cette liste dpassera les restrictions suivantes:

Restriction de temps
Limitation de la taille pour des requtes de tlchargement
Vrification du navigateur
Type de filtres MIME
Authentification (sera exige par dfaut pour ces adresses, mais peut tre arrte)
Ouvertures concourantes par utilisateur (seulement disponible si lauthentification est active)


4.4.4 Adresses MAC non retreintes
Toutes les adresses MAC clients de cette liste outrepasseront les restrictions suivantes:

Restriction de temps
Limitation de la taille pour des requtes de tlchargement
Vrification du navigateur
Type de filtres MIME
Authentification (sera exige par dfaut pour ces adresses, mais peut tre arrte)
Ouvertures concourantes par utilisateur (seulement disponible si lauthentification est active)

Lutilisation des adresses MAC au lieu des addresses IP peut tre utile si le service DHCP est activ sans
avoir des plages IP dfinies.

Les adresses MAC peuvent tre entres dans lune de ces manires:

00-00-00-00-00-00 ou 00:00:00:00:00:00

Note: Le Serveur Proxy peut seulement dterminer les adresses MAC des clients configurs pour les sous-
rseaux des interfaces GREEN, BLUE ou ORANGE.


4.5 Restrictions de temps
Ceci definit la priode de temps o le Proxy Web est oprationnel.

Loption permis permet laccs Internet et loption refus bloque laccs Internet durant la priode
choisie. Le choix de permis ou refus dpendra des rgles de temps que vous souhaitez appliquer.

Par dfaut, laccs est permis tous les jours et toute heure.

Note: Les restrictions de temps ne seront pas ffectives pour ces clients:

Adresses IP sources non restreintes
Adresses MAC sources non restreintes
Membres du groupe Etendu si le serveur Proxy utilise lauthentification locale

4.6 Limitation des transferts
Ceci vous permet dentrer des limitations de tailles pour chaque requtes de tlchargement et/ou de
chargement.

Les valeurs sont indiques en KB. Une des raisons de la limitation de transfert pourrait tre que vous
souhaitez prvenir des tlchargements des fichiers de grandes tailles, tel quune image de CD.

La valeur par dfaut est 0 KB pour le chargement et le tlchargement, cette valeur ne dfinit aucune
limitation.

Note: Ces limites se rapportent chaque demande, ce nest pas la totalit de toutes les demandes.

Note: Les limitations de tlchargements ne seront pas ffectives pour ces clients:


Note: les limitations de chargements seront ffectives pour tous les clients.


4.7 Type de filters MIME
Le filtrage de type de MIME peut tre configur pour bloquer un contenu dependant de ces types de MIME.

Si loption est active, le filtre vrifie toutes les enttes entrantres pour ces types de MIME. Si la demande de
type de MIME est liste pour tre bloque, laccs ce contenu sera refus. Par ce chemin vous pouvez
bloquez des contenus, en aucune manire de donner une extension de nom de fichier.

Exemples:

Ajouter ce type de MIME si vous souhaitez bloquer le tlchargement des fichiers pdf:

application/pdf

Ajouter ce type de MIME si vous souhaitez bloquer le tlchargement des fichiers vidos MPEG et QuickTime:

video/mpeg
video/quicktime

Note: Les types de MIME sont traits comme des expressions rgulires. Cela signifie que le type de MIME

javascript

bloquera les types de contenu avec les types de MIME

application/x-javascript
text/javascript

Note: Le blocage de type de MIME ne sera pas ffectif pour ces clients:



4.8 Navigateur Internet
Ceci vous permet de contrler quel navigateur aura le droit daccder aux sites Internet.

4.8.1 Vrification du navigateur
Si cette option est active, seuls les clients choisis pourront passer le serveur Proxy, toutes les autres
requtes seront bloques.

Note: Le contrle daccs via le navigateur ne sera pas ffectif pour ces clients:


4.8.2 Dfinition des clients
Les navigateurs Internet les plus importants y sont dj lists. Vous pouvez crer vos propres dfinitions en
ditant le fichier /var/smoothwall/proxy/advanced/useragents et en ajoutant les informations spcifiques
sur la navigateur ici.

Lajout dun client personnalis peut savrer ncessaire si vous souhaitez mettre jour des dfinitions de
votre antivirus. Si vous ne connaissez pas le useragent de ce logiciel, vous pouvez activer le logging du
useragent dans la section Log settings et regarder le fichier /var/log/squid/useragent.log

La synthaxe pour les clients est:

name,display,(regexp)

name est ncessaire pour le processus interne de lAdvanced Proxy et devra tre un nom court en lettre
capiltale alphanumrique sans espacement.

display est la ligne qui apparait dans la liste de linterface et devrait contenir le nom commun pour ce client.

(regexp) est une expression rgulires qui devra correspondre la ligne du navigateu useragent et doit
toujours tre enferm avec des parenthses.

Ces valeurs sont spares par des colonnes.


4.8.3 Fake useragent
Par dfaut, le useragent du navigateur Internet sera soumis aux serveurs Web externes. Beaucoup de sites
dynamique gnere des contenus dpendant de la ligne du useragent soumise. Cette ligne sera aussi note
dans les logs du serveur Internet.

Avec loption Fake useragent, vous avez la possibilit de recrire cette ligne pour tous les clients. Pour les
demandes sortantes, le champ de lentte du useragent sera modifi par le Serveur Proxy et soumis aux sites
extermes au lieu de la ligne dorigine du useragent. Ceci peut tre fait Ceci peut tre fait pour protger votre
vie prive ou forcer le niveau de compatibilit dsir.

Exemples:

La ligne suivante fera croire aux serveurs externes que tous vos clients sont en train dutiliser le navigateur
Firefox :

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.3) Gecko/20041002 Firefox/0.10

Quoiquil est possible dentrer une ligne librement dfinie, un useragent comme

Mozilla/1.0 (compatible; web enabled game console)

amnera probablement quelques difficults pour afficher des sites Internet dune manire correcte.

4.8.4 Fake referrer (fausse rfrence)
En cliquant sur un lien hypertexte, la source URL sera soumise au site Web de destination. Cela peut tre
arrt en entrant un utilisateur dfini. Cette corde sera soumise au lieu de la rfrence relle de l'URL. Ceci
peut tre utile pour vous protger.

Exemples:

Cela remplace la source URL avec la rfrence de lAdvanced Proxy:

Rfrence bloque par Advanced Proxy (http://www.advproxy.net)

Pour rendre anonyme vos rfrences, vous pouvez entrer cette ligne comme ceci:

http://xxxxxxxxxxxxxxxxxxxxxxxxxxx

Note: Cela viole la norme HTTP et peut parfois mener quelques difficults. Quelques sites Web bloquent les
demandes avec des rfrences incorrectes pour se protger contre des liaisons prtendues ou l'abus en
"volant" le graphisme de leur site Web.


4.9 URL filter
Ceci active ladd-on URL filter.

Cette add-on est optionnelle et est seulement disponible si ladd-on URL filter est installe.

Ladd-on URL filter sintgre dans Advanced Proxy mais ne fait pas partie du paquetage dAdvanced Proxy et
doit tre install sparment

Vous pouvez tlcharger URL filter sur http://www.urlfilter.net


5 Configuration de lauthentification
Note: Lorsque vous utilisez lauthentication et avez activ le log de fichiers sur le Proxy Web, la demande du
nom dutilisateur sera logge en outre pour la demande dURL. Avant dactiver le log de fichiers avec
lutilisation lauthentification, soyez sr de ne pas violer les lois existantes.

5.1 Aperu des methodes dauthentification
Il offre diffrentes mthodes dauthentification pour les utilisateurs.

5.1.1 Aucune
Lauthentification est dsactive. Les utilisateurs nont plus besoin de sauthentifier pour accder Internet.

5.1.2 Authentification locale
Cette mthode dauthentification est la solution adapte pour les environements SOHO. Les utilisateurs ont
besoin de sauthentifier pour accder Internet en entrant un nom dutilisateur et un mot de passse corrects.
The user management resides sur le serveur Proxy de SmoothWall. Les utilisateurs sont catgoriss en trois
groupes: Etendu, Standard et Dsactiv.

5.1.3 Authentification via LDAP
Cette mthode dauthentification est la solution adapte pour les environnements rseaux moyens et grands.
Les utilisateurs auront sauthentifier pour accder Internet en entrant un nom dutilisateur et un mot de
passse corrects. Les qualifications sont vrifies contre les serveurs externes utilisant le Lightweight Directory
Access Protocol (LDAP).

L authentification LDAP sera utile si vous avez dj directory service sur votre rseau et ne souhaitez pas
grer de compte utilisteur et mot de passe supplmentaires pour accder Internet.

Advanced Proxy fonctionne avec ces types de serveurs LDAP:

Active Directory (Windows 2000 et 2003 Server)

Novell eDirectory (NetWare 5.x et NetWare 6)

LDAP Version 2 and 3 (OpenLDAP)

Comme cest une option, lappartenance certains groupes peut tre ncessaire.

Note: Le protocole LDAPS (LDAP scuris) nest pas support par Advanced Proxy.


5.1.4 Authentification Windows
Cette methode dauthentification est une solution recommande pour les petits et moyens rseaux. Les
utilisateurs devront sauthentifier lorsquils voudront accder au Web. Les lettres de crance sont vrifies
contre un serveur externe fonctionnant comme un contrleur de domaine. Celui-ci peut tre un

Windows NT 4.0 Server or Windows 2000/2003 Server (meme avec Active Directory activ)

Samba 2.x / 3.x Server (fonctionnant comme un contrleur de domaine)

Advanced Proxy fonctionne avec lauthentification intgre de Windows (transparente) ou avec une
authentification standard (avec nom dutilisateur et mot de passe).

Vous pouvez maintenir des listes avec des noms dutilisateurs autoriss (liste blanche) ou des noms
dutilisateurs non autoriss (liste noire).

Note: Lauthentification via le groupe de travail (workgroup) peut probablement fonctionne, mais ce nest ni
recommand ni support.


5.2 Paramtrages globaux dauthentification
Les paramtres gnraux dauthentification sont disponibles pour toutes les mthodes dauthentification.

5.2.1 Nombre de process dauthentification
Ceci reprsente le nombre de process en attente de requtes. La valeur par dfaut est de 5 et devra tre
augment si lauthentification prend trop de temps ou que lauthentification intgre Windows tombe pour une
authentication explicite.

5.2.2 Authentification via le cache TTL
Temps en minutes, il indique le temps durant lequel les informations seront caches pour chaque session. Si
le dlai est dpass, lutilisateur devra se rentrer les informations de sa session. Par dfaut, le temps est de
60 minutes. Le TTL sera rintialis lorsque lutilisateur enverra une nouvelle requte vers le serveur Proxy
dans la session.

Note: Si lutilisateur ouvre une nouvelle session, the credentials devra toujours tre entrs, mme si le TTL na
pas expir pour une autre session.

5.2.3 Limitations dadresses IP par utilisateur
Nombre dadresses IP source dun utilisateur loggu pendant un temps. Les adresses IP seront releases
aprs un temps dfini dans User/IP cache TTL.

Note: Ceci ne prend pas effet si vous utilisez une authentification locale et lutilisateur est membre du groupe
tendu.

5.2.4 Cache TTL Utilisateur/IP
Temps en minutes, temps o la relation entre chaque nom dutilisateur et les addresses IP utilises seront
caches. Par dfaut la valeur est 0 (dsactiv).

Une valeur suprieure 0 est seulement ncessaire lors de lutilisation de la limitation du nombre dadresses
IP par utilisateur.

5.2.5 Authentification requise pour les addresses sources non restreintes
Par dfaut, lauthentification est requise meme pour les adresse IP non restreintes. Si vous ne souhaitez pas
obliger lauthentification pour ces adresses, dcochez cette case

5.2.6 Prompt du royaume (domaine) pour lauthentification
Ce champs sera renseign dans la boite de dialogue dauthentification. Par dfaut cest SmootWall Advanced
Proxy Server.


5.3 Authentification des utilisateurs locaux
L authentication dutilisateurs locaux vous permet de grer les comptes utilisateur localement sans la
ncessit dune authentification sur un serveur externe.

5.3.1 Gestion des utilisateurs
La gestion des utilisateurs peut tre excute depuis la page des paramtres principaux.

Longueur minimum du mot de passe
Entrer la longueur minimum des mots de passe. Par dfaut, cest paramtr 6 caractres alphanumriques.

Gestion des utilisateurs
Ce bouton ouvre le gestionnaire des utilisateurs locaux.


5.3.2 Gestion des utilisateurs locaux
Le gestionnaire des utilisateurs est linterface pour crer, diter et supprimer des comptes utilisateur.

Dans la page du gestionnaire des utilisateurs, tous les comptes disponibles y sont affichs par ordre
alphabtique.

Dfinition des groupes

Vous pouvez choisir entre ces trois diffrents groupes:

Standard Le paramtre par dfaut pour tous les utilisateurs. Tous auront les restrictions appliques ce
groupe.

Etendu Utiliser ce groupe pour les utilisateurs non restreints. Les membres de ce groupe outrepasseront
les restrictions de temps et de filtre.

Dsactiv Les membres de ce groupe sont bloqus. Ceci peut tre utile si vous souhaitez dsactiver un
compte temporairement sans perte du mot de passe.

Ce qui ncessite le redmarrage ou non du service Proxy

Les modifications de compte utilisateurs qui ncssiteront le redmarrage du service Proxy:

Un nouvel utilisateur a t cre et celui-ci nest pas membre du groupe Standard
La modification dappatenance de certatins utilisateurs un groupe

Les modifications de compte utilisateurs qui ne ncssiteront pas le redmarrage du service Proxy:

Un compte utilisateur a t cre et est membre du groupe Standard
Le mot de pass de certains utilisateurs a t chang
Un compte utilisateur a t supprim


5.3.3 Crer des comptes utilisateurs
Nom dutilisateur
Entrer le nom dutilisateur de cet utilisateur. Si possible, le nom devra contenir seulement des caractres alpha
numrique.

Groupe
Selectionner le groupe dappartenance pour cet utilisateur.

Mot de passe
Entrer le mot de passe pour le nouveau compte.

Mot de passe (confirmation)
Confirmez le mot de pass prcdemment renseign en le tapant une seconde fois.

Crer un utilisateur
Ce bouton permettra de crer un nouveau compte. Si le nom dutilisateur existe dj, le compte de ce nom
dutilisateur sera mis jour avec le nouveau groupe et le nouveau mot de passe.

Retour la page principale
Ce bouton ferme le gestionnaire des utilisateurs et retourne sur la page principale dAdvanced Proxy.

5.3.4 Editer un compte utilisateur
Un compte utilisateur peut tre dit en cliquant sur licne du stylo. Lorsque vous ditez un compte utilisateur,
seuls, lappartenance un groupe et le mot de pass peuvent tre changs.

Lors de ldition dun compte, lentre choisie sera surligne en jaune.

Pour sauvegarder le changement de paramtres, cliquer sur le bouton [Mettre Jour].

Note: Le nom dun utilisateur ne peut tre modifi. Le champs est en lecture seule. Si vous avez besoin de
renommer un utilisateur, vous devez le supprimer et en crer un nouveau compte.

5.3.5 Supprimer un compte utilisateur
Un compte utilisateur peut tre supprim en cliquant sur licne de la poubelle. Le compte sera immdiatement
supprim.


5.3.6 Gestion des mots de pass ct client
Les utilisateurs peuvent changer leur mot de passe si ncessaire. L'interface est accessible en entrant cette
URL:

http://smoothwall-green-ip:81/cgi-bin/chpasswd.cgi

Note: Remplacer SmoothWall-green-ip par l'adresse IP green de SmoothWall.
Cette page de dialogue Web ncessite le nom d'utilisateur, le mot de passe actuel et le nouveau mot de passe
(une deuxieme fois pour la confirmation):


5.4 Authentification LDAP
Cette mthode dauthentification utilise linfrastructure des rpertoires existants pour lauthentification des
utilisateurs.

Si vous tes incertain sur larborescence des rpertoires, vous pouvez examiner sur votre serveur LDAP en
utilisant la ligne de commande base sur loutil ldapsearch.

Les clients Windows peuvent utiliser (gratuit et simple dutilisation) le navigateur Softerra LDAP pour ceci:
http://www.softerra.com/products/ldapbrowser.php


5.4.1 Paramtrages LDAP communs

Base DN
Cest la base o commencer par rechercher le serveur LDAP. Toutes les Units Organisationnelles (OUs)
seront incluses.

Rfrez vous la documentation de votre LDAP pour le format ncessaire de la base DN.

Exemple de Base DN pour Active Directory:

cn=users,dc=ads,dc=local

Ceci cherchera les utilisateurs dans le groupe utilisateurs du domaine domain ads.local

Exemple de Base DN pour eDirectory:

ou=users,o=acme

Ceci cherchera les utilisateurs dans lunit organisationnelle des utilisateurs dans lorganisation acme

Type de LDAP
Vous pouvez choisir entre les diffrentes implmentations de LDAP:

Active Directory (ADS)

Novell eDirectory (NDS)

LDAP v2 et v 3

Serveur LDAP
Entrer ladresse IP de votre serveur LDAP.

Port
Entrer le port de votre serveur LDAP en coute pour les requtes LDAP. Par dfaut, cest le 389.

Note: Le protocole LDAPS (LDAP scuris, port 636) nest support par Advanced Proxy.


5.4.2 Paramtrages Bind DN

Nom dutilisateur Bind DN
Entrer le nom complet de lutilisateur Bind DN.

Note: Lutilisateur Bind DN est requis Active Directory et eDirectory.

Note: Lutilisateur Bind DN doit avoir le droit de naviguer dans le rpertoire et lire lattribut de tous les
utilisateurs.

Mot de passe Bind DN
Entrer le mot de passe de lutilisateur Bind DN.

5.4.3 Contrle daccs base par les groupes

Groupe requis (optionnel)
Entrer le nom complet du groupe pour les utilisateurs autoriss pour Internet.

En plus dune authentfiication correcte, lutilisateur devra appartenir ce groupe sil souhaite accder
Internet.


5.5 Authentification Windows
Cette mthode dauthentification utilise lenvironnement du domaine existant pour authentification des
utilisateurs.

En plus de lauthentification, vous pouvez dfinir des accs positifs ou ngatifs Internet via la liste de
contrle daccs.

5.5.1 Paramtrages communs de domaine

Domaine
Entrer le nom du domaine que vous utiliserez pour lauthentification. Si vous tes sous Windows 2000 ou
Windows 2003 Active Directory, vous naurez pas entrer le nom NetBios du domaine.

Nom dHte du PDC
Entrer le nom dhte Netbios du contrleur de domaine principal ici. Si vous tes sous Windows 2000 ou
Windows 2003 Active Directory, vous pouvez entrer le nom de nimporte quel contrleur de domaine.

Note: Sous Windows 2000 et suprieur, le premier contrleur de domaine nest pas assign un serveur
ddi. Lmulateur PDC dActive Directory est un rle logique et peut tre assign nimporte quel contrleur
de domaine.

Important: Le nom dhte du PDC doit tre rsolu par le serveur SmoothWall. Ceci peut tre fait en ajoutant le
nom dhte dans Services / Edit Hosts (recommand) or ou en ditant directement le fichier /etc/hosts.

Nom dHte du BDC (optionnel)
Entrez le nom dhte Netbios du contrleur de domaine de sauvegarde (BDC) ici. Si vous tes sous Windows
2000 ou Windows 2003 Active Directory, vous pouvez entrer le nom de nimporte quel contrleur de domaine.

Si le PDC ne rpond pas aux requtes, le processus dauthentification se fera sur le BDC.

Important: Le nom dhte du BDC doit tre rsolu par le serveur SmoothWall. Ceci peut tre fait en ajoutant
le nom dhte dans Services / Edit Hosts (recommand) ou en ditant directement le fichier /etc/hosts.

5.5.2 Mode dauthentification

Activer lauthentification intgre pour Windows
Si cette option est active, il ne sera pas demand lutilisateur de sauthentifier par son nom dutilisateur et
son mot de passe. Les informations sur lutilisateur actuellement connect, seront automatiquement diffuses
pour authentification. Cette option est active par dfaut.

Si lauthentification intgre est dsactive, il sera demand lutilisateur de sauthentifier par son nom
dutilisateur et son mot de passe.


5.5.3 Restrictions daccs par les noms dutilisateur

Activ
Ceci active la liste de contrle daccs pour les utilisateurs autoriss ou non autoriss.

Utiliser le contrle d'accs positif / Utilisateurs du domaine autoriss
Ces utilisateurs lists seront autoriss accder Internet. Pour tous les autres utilisateurs, laccs sera non
autoris.

Utiliser le contrle d'accs ngatif / Utilisateurs du domaine non autoriss
Ces utilisateurs lists ne seront pas autoriss accder Internet. Pour tous les autres utilisateurs, laccs
sera autoris.

Note: Si lauthentification intgre de Windows est active, le nom dutilisateur doit tre rentr avec le nom de
domaine comme prfixe au nom de lutilisateur, spar par un backslash.

Exemple pour les utilisateurs bass sur la liste de contrle daccs utilisant une authentification intgre:

Note: Lors de lutilisation dune authentification intgre, lutilisateur doit tre connect sur le domaine,
autrement le nom de la machine locale sera ajout au nom dutilisateur au lieu du nom de domaine


Exemple pour les utilisateurs bass sur la liste de contrle daccs utilisant une authentification explicite:

Note: L'authentification explicite garantit l'accs l'utilisateur, bien que l'utilisateur ne soit pas connect au
domaine, aussi longtemps que le nom d'utilisateur sera le mme et que le mot de passe local du poste de
travail et le mot de passe de domaine soient assortis.

6 Forcer lutilisation du proxy
Pour diffrentes raisons, il peut tre requis que tous les postes clients doivent utiliser le Proxy. La raison
pourrait tre une obligation de connexion, de filtrage ou dauthentification.

6.1 Modes de fonctionnement dun Proxy Web standard
6.1.1 Service Proxy dsactiv
Paramtrage du Proxy de SmoothWall:

Accs Client: Le fait de dsactiver le Proxy permet un accs direct Internet pour tous les postes clients.

Rsultat: Le Proxy ne sera jamais utilis. Connexion, filtrage et authentification ne seront pas disponibles.

6.1.2 Service Proxy activ, fonctionnant en mode non-transparent
Paramtrages du proxy de SmoothWall:

Accs Client: Tous les postes clients sans configuration explicite du Proxy loutrepasseront.

Accs Client: Tous les postes clients configurs pour lutilisation dun Proxy, utiliseront le Proxy pour tous les
ports de destination (80, 443, 8080, etc.) et mme pour les clients FTP via un navigateur Web.

Rsultat: Cela dpend de la configuration des postes clients si le Proxy sera utilis ou non. Les postes clients
non configurs outrepasseront la connexion, le filtrage et lauthentification.

6.1.3 Service Proxy activ, fonctionnant en mode transparent
Paramtrages du proxy de SmoothWall:

Accs Client: Toutes les requtes avec pour destination le port 80 seront en interne rediriges vers le Proxy.
Les reqtes sur dautres ports de destination (par exemple 443 pour https) outrepasseront le Proxy.

Rsultat: Pas toutes mais la plupart des reqtes passeront par le proxy. Par consquent les filtrages,
connexions et authentification ne seront pas fiables.


6.2 Configuration du Proxy Web ct client
Il y a diffrentes faons de configurer des postes clients pour lutilisation dun service Proxy Web. Ici quelques
exemples:

6.2.1 Configuration cliente manuelle
Configuration des postes clients en appliquant tous les paramtres Proxy manuellement:

Perte de temps et peu fiable
Configuration requise pour chaque utilisateur

6.2.2 Client pr configur
Distributions de navigateurs pr configurs:

Raisonnable pour des environnements moyens et grands
Fonctionne seulement pour les logiciels clients configurs

IEAK pour IE 6: http://www.microsoft.com/windows/ieak/
CCK pour Mozilla: http://www.mozilla.org/projects/cck/

6.2.3 Configuration cliente via DNS / DHCP
Configuration des postes clients centralise en utilisant les services DNS et/ou DHCP:

Implmentation complexe
Requiert la personnalisation des fichiers proxy.pac ou wpad.dat
Configuration flexible
La plupart des navigateurs supporte cette mthode de configuration

Pour plus dinformations: http://www.web-cache.com/Writings/Internet-Drafts/draft-ietf-wrec-wpad-01.txt

6.2.4 Configuration cliente en utilisant des strategies de groupes
Configuration des postes clients centralise en utilisant des stratgies de groupes:

Implmentation complexe
Raisonnable seulement pour des environnements moyens et grands
Requiert un systme de gestion de rseaux centraliss (Active Directory, ZENworks, etc.)
Configuration flexible et obligatoire
Fonctionne seulement pour des clients Win32et certains types de navigateurs


6.3 Modifier les rgles du firewall
Tous les modes d'opration possibles par le Proxy permettent un accs direct Internet pour des clients non
configurs. De plus, le firewall ne pourra transfrer plusieurs demandes par ces ports habituellement utiliss
pour laccs Internet:

Note: Ceci sera le seul passage pour prvenir loutrepassement du service Proxy pour les accs non
autoriss.

6.3.1 Ajouter des rgles personnalises sur IPTables
Les rgles personnelles peuvent tre appliques en les ajoutant dans le fichier
/etc/rc.d/rc.firewall.local

Lexemple suivant bloque tous les accs directs depuis lintrieur et destination des ports 80 et 443
lexterieur .

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)
## add your 'start' rules here
/sbin/iptables -A CUSTOMFORWARD -i eth0 -p tcp -m mport --dports 80,443 -j DROP
;;
stop)
## add your 'stop' rules here
;;
*)
echo "Usage: $0 {start|stop}"
esac

Note: Remplacez eth0 par le nom de votre interface GREEN si eth0 nest pas votre interface GREEN.

Note: Vous pouvez ajouter plus de lignes pour les interfaces supplmentaires
(par exmple eth1 pour le rseau wireless)

Note: Le firewall a besoin dtre redmarr aprs ces modifications: /etc/rc.d/rc.firewall restart

Note: Les ports bloquer pour laccs Internet sont: 80,81,443,3128,6588,8000,8080,8181


Note: L'ajout du port 21 (FTP) force le client FTP du navigateur Internet passer par le proxy mais empche
la plupart des clients FTP natif d'tablir une connexion avec les noms d'htes FTP externes.

6.4 Conditions pour lutilisation obligatoire du Proxy
Pour forcer lutilisation du proxy, ces conditions doivent tre remplies:

Configuration poste client propre

Le poste client doit tre configur pour utiliser le service Proxy. Cf. le chapitre 6.2.

Correct proxy operation mode

Le proxy doit fonctionner en mode non transparent. Cf. le chapitre 6.1.2

Bloquer laccs direct Internet

Tous les accs direct Internet doivent tre bloqus. Cf. le chapitre 6.3.

Smoothwall 2.0-Advproxy-V1.0.1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Smoothwall 2.0-Advproxy-V1.0.1

Uploaded by

Copyright:

Available Formats

Advproxy - Proxy Web Avanc

You might also like