[Résolu] pourquoi tant de haine

[otherside]

Bonjour à tous,

je tiens à préciser avant de vous exposer mon problème, que mes compétences en informatiques ne sont pas bien grandes.
Alors je vous demande, de me pardonner si mes questions sont idiotes....

Donc voilà, j'ai installé la version 3.0 (gateway + dns + dhcp) sur une vieille machine à partir d'un cd. Jusqu'à là tout va bien.

Ma config : INTERNET --> modem/router (Xycel - 192.168.1.254) -->Zentyal (etho - 192.168.1.200 - static - wan coché) (eth1 - 192.168.5.254 - static)

Gateway sur Zentyal (eth0 - 192.168.1.254)

Client en dhcp. Reçois bien une adresse et se connecte sur le web.

Là ou cela se complique, c'est que le proxy ne filtre pas un domaine (facebook.com) que j'ai rajouté dans le profil de filtre "default" "Domaines et url". Sur la doc de la précédente version, il y avait une case "filtrer" mais pas sur la v3.0 !
Le log du proxy voit bien les connexions du client, mais donne "autorisé" pour ce site.

Pareil pour une blacklist, téléchargé sur urlblacklist.com, elle figure bien dans ma "liste catégorisées" mais impossible de l'ajouter dans le profil de filtre "default" : il répond qu'il faut ajouter une liste !!!!

suis un peu paumé.....

[aureladmin]

Salut,

En voyant ta question je me suis incri sur le forum, donc bonjour a tous et a toutes.

Concernant ta question au sujet du blocage de l'url de facebook, je doit dire que j'ai batailler un moment avant de comprendre, de plus c'est identique pour plusieurs site. Tu ne peut le bloquer via une black list tout simplement parceque tu te trouve sur un site en https, donc pas de filtrage par nom de domaine , la seule solution est de de blocker les ip des sous réseau redirigeant ver Facebook. Personnellement je ne suis pas sur zentyal pour mon pare-feu proxy , je suis sur pfsense donc je ne pourrais pas t'aider , par contre je te donne les ip a blocker pour Facebook  .

69.63.176.0/20
66.220.144.0/20
204.15.20.0/22
69.171.224.0/20

Pense a blocker seulement le https (443) pour ses sous réseau .

Cordialement

[otherside]

Merci aureladmin pour ta réponse. En fait, j'ai en partie résolu mon problème, en installant la version précédente la 2.2. Du coup je me retrouve avec des docs en phase avec le logiciel.
Pour ce qui est des blacklists, je vais installer celle de l'université de Toulouse.
Je vous tiens au courant de la suite.
Bonne soirée

[christian]

J'ai une connexion assez erratique pour le moment mais je répondrai à ton point ce soir car il est tout à fait possible de contrôler l’accès aux site HTTPS sans passer par le filtrage par IP 

[otherside]

Merci Christian. A ce soir.

[christian]

Me voila de retour 
Ce n'est pas exactement "à ce soir" comme espéré par otherside 
J'étais au Zentyal summit et donc assez occupé.

Pour revenir au proxy HTTP:

Il faut absolument distinguer le mode "transparent proxy" du mode "explicit proxy".
En mode transparent, le client (ici le browser) ne sait pas qu'il y a un proxy et s'attend donc a communiquer directement avec le serveur. De ce fait, le contrôle de HTTPS ne se fait pas par le proxy et, de plus, nécessite des règles supplémentaires dans le FW pour faire un bypass.

En mode "explicit proxy", il est tout à fait possible d'ajouter facebook comme domaine à autoriser ou à interdire et ceci va fonctionner à la fois en HTTP et HTTPS. C'est beaucoup mieux que de gérer des adresses IP, lesquelles peuvent changer 

[otherside]

ok, je vois mieux en effet la différence. Je vais donc partir sur cette solution. Maintenant je suis un peu plus à l'aise avec zentyal grâce à ce forum et à la doc.
Un grand merci pour vos réponses.

[christian]

Bon, il faut qu'il soit clairement dit que sur ce forum, il y a des adeptes du transparent proxy qui ne voient pas pourquoi faire autrement et d'autres, dont je fait partie, qui ne veulent pas utiliser les transparent proxy.

Ma réponse est donc un peu biaisée, même si techniquement tout à fait correct (je pense  )

A toi de te faire ton opinion, peut-être en lisant les posts relatifs à ce sujet dans la section internationale.

[baroufabrice]

Bonjour à tous,
Cette Méthode concerne le proxy en mode transparent
Je sais que le problème est résolu mais je tiens à rajouter une autre manière de résoudre le problème des sites blacklistés qui continuent de s'afficher en https.
Cela m'a pris environ beaucoup de temps et c'est hier que j'ai résolu mon problème.
Il faut préciser que mon proxy est en mode transparent
Cela se fait en 2 étape:
1- Faire un boucle avec le nom de domaine facebook.com (par exemple)
Éditer le fichier interfaces en rajoutant la ligne ci-dessous
127.0.0.1       facebook.com
*Mais avec ça le site site s'affiche toujours, donc le problème persiste

2- Configurer le serveur DNS de zentyal
Ajouter le domaine facebook.com --> ensuite effacer toutes les adresses dans Domain IP Addresses --> faites pareil dans Adresse IP et Alias

Enregistrez les modification et testez! Vous devez normalement avoir le message d'erreur suivant:
Adresse introuvable
Firefox ne peut trouver le serveur à l'adresse www.facebook.com.

Zentyal s'érige en serveur facebook donc n'affiche rien en HTTP ou HTTPS

Merci

[christian]

Attention, ceci ne fonctionne que si tes clients DHCP utilisent Zentyal comme serveur DNS.
En mode transparent, la résolution de l'URL est à la charge du client et si celui-ci défini un autre DNS que Zentyal (ou que le mode cache DNS n'est pas activé), ta méthode ne marche pas 

En revanche, elle fonctionne en mode proxy explicite: c'est que je fais pour ne pas alimenter doubleclick et autres truc inutiles comme ça.

[baroufabrice]

Bonjour,

Merci Christian pour ton apport
Je précise que Zentyal est serveur DHCP et DNS dans mon cas et cela marche très bien
Mais comme Christian l'a précisé, si l'utilisateur renseigne un autre serveur DNS dans ses paramètres il aura accès aux sites bloqués.

Cordialement,