Bonjour,
Afin de filtrer le trafic Internet d’une école, j’ai installé sur un serveur (Windows SERVER 2012) le proxy open-source Squid. Pour m’assurer qu’aucune machine ne puisse
contourner le filtrage du proxy (en s’adressant directement à la passerelle, que seul mon FAI peut gérer), j’ai placé physiquement le serveur entre le LAN interne et cette passerelle. Pour cela, j’ai paramétré les deux cartes réseau du serveur comme suit :
une communique avec le LAN (IP 192.168.100.30), et l’autre communique avec la passerelle (IP 192.168.1.30). J’ai installé RRAS sur le serveur pour assurer le routage entre les deux cartes, et ça fonctionne parfaitement.
Je paramètre ensuite Squid pour qu’il écoute sur l’interface réseau interne, sur le port 3128, et lorsque je définis les paramètres proxy du navigateur des ordinateurs
de l’école sur cette adresse (IP 192.168.100.30:3128), le filtrage s’opère correctement.
Le souci est que je ne peux pas gérer les paramètres locaux du navigateur de tous les clients (par exemple le wifi des étudiants, qui surfent sur leur propre ordinateur).
Ceux-ci « traversent » en effet mon serveur sans souci, puisque RRAS fait (trop) bien son travail et les dirige automatiquement sur la passerelle, sans leur imposer de passer par la solution de filtrage (sur le port 3128).
J’ai donc cherché à bloquer les paquets qui ne s’adressent pas à l’interface réseau interne sur le port 3128. J’ai d’abord tenté de le faire depuis le firewall, mais
tout se passe comme si mes règles étaient purement et simplement ignorées (pas d’effet notable). En allant dans la gestion RRAS, j’ai défini un filtre d’entrée sur l’interface réseau interne : tous les paquets non « TCP - port 3128 » sont bloqués
et cela fonctionne impeccablement.
Mon dernier souci à finaliser (et là, je cale) : permettre également le passage des paquets relatifs à la messagerie électronique. J’ai donc rajouté des règles complémentaires
au filtre d’entrée, en précisant que les paquets TCP adressés sur les ports 110 et 995 (POP), 143 et 993 (IMAP) et 25, 465 et 587 (SMTP) ne soient également pas bloqués. Impossible d’utiliser le mail pour autant (Outlook Office, Thunderbird, …) : les
logiciels de messagerie restent dans l’incapacité d’envoyer ou recevoir leurs messages. Y a-t-il quelque chose que j’aurais mal paramétré ?
Merci encore pour votre aide !