Configurer un proxy transparent

DMS-SDWAN offre un serveur proxy puissant qui peut être utilisé en conjonction avec une catégorie basée sur le filtrage Web et tout moteur antivirus / malware compatible ICAP. Le proxy peut être configuré pour fonctionner en mode transparent, ce qui signifie que le navigateur client n'a pas besoin d'être configuré pour le serveur proxy Web, mais tout le trafic est automatiquement transféré vers le proxy à l'aide de la traduction d'adresses réseau.

Dans ce guide pratique, nous expliquerons les méthodes transparentes de médiation HTTP et HTTPS (SSL bump) de base.

Étape 1 - Configuration de base du proxy

Pour configurer un fonctionnement transparent, un paramètre de base de serveur proxy fonctionnel est requis. Pour la configuration de base, voir Configurer la configuration du serveur de mise en cache .

Étape 2 - HTTP transparent

Allez dans Services ‣ Proxy Web ‣ Gestion

Sélectionnez ensuite Paramètres de transfert généraux dans l'onglet Proxy de transfert .

Sélectionnez Activer le proxy HTTP transparent Et cliquez sur Appliquer .

Étape 3 - Règle NAT / Firewall

Un moyen simple d'ajouter la règle NAT / pare-feu consiste à cliquer sur l'icône (i) à gauche de l' option Activer le proxy HTTP transparent et à cliquer sur ajouter une nouvelle règle de pare-feu .

../../_images/screenshot_enable_transparent_http.png

Pour référence, voici les paramètres par défaut:

Interface

LAN

Version TCP / IP

IPv4

Protocole

TCP

La source

Réseau LAN

Plage de ports source

tout - tout

Destination

Quelconque

Largeur du port de destination

HTTP - HTTP

Redirection IP de destination

127.0.0.1

Redirection du port de destination

autre / 3128

Description

rediriger le trafic vers un serveur proxy

Réflexion NAT

Autoriser

Filtre de corrélation de règles

Ajouter une règle de filtrage pertinente

Les valeurs par défaut doivent être OK, cliquez simplement sur Enregistrer et appliquer les modifications .

Étape 4 - CA pour SSL transparent

Avant de pouvoir configurer un proxy SSL / HTTPS transparent, nous devons créer un certificat Power. Accédez à Système ‣ Autorités de Confiance .

Cliquez sur ajouter ou insérer une CA dans le coin supérieur droit de l'écran pour créer une nouvelle autorité de certification.

Par exemple, nous utilisons les données suivantes:

Nom descriptif

DMS-SDWAN-SSL

Méthode

Mettre en place une autorité de certification interne

Longueur de la clé (bits)

2048

Algorithme de digestion

SHA256

Durée de vie (jours)

356

Code postal

NL (Pays-Bas)

État ou province

Hollande méridionale

Ville

Middelcharnis

Organisation

DMS-SDWAN

Adresse email

spam @ dmssdwan . org

Nom commun

dmssdwan-ssl-ca

Étape 5 - SSL transparent

Allez dans Services ‣ Proxy Web ‣ Gestion Sélectionnez ensuite Paramètres de transfert généraux dans l'onglet Proxy de transfert .

Sélectionnez Activer le mode SSL et définissez l' autorité de certification à utiliser dans l'autorité de certification que vous venez de créer. Cliquez ensuite sur le bouton Appliquer .

Étape 6 - Configurer Aucun rebond SSL

Cette étape est très importante et nécessite une réflexion approfondie! Pour s'assurer que les sites connus ne sont pas piratés et garder leur niveau de sécurité d'origine intact, il faut ajouter ceux qui incluent tous les sous-domaines au site SSL no bump domaine.

Pour saisir un nouveau type d'objet dans le champ et appuyez sur Entrée pour accepter. commencez par un. (point) pour ajouter également tous les sous-domaines. Exemple: pour ajouter tout paypal.com, tapez .paypal.com et appuyez sur Entrée.

Étape 7 - Règle SSL NAT / Firewall νας

Un moyen simple d'ajouter la règle NAT / pare-feu consiste à cliquer sur l' (i) icône à gauche de Activer le mode SSL et à cliquer pour ajouter une nouvelle règle de pare-feu .

../../_images/screenshot_enable_transparent_http.png

Pour référence, voici les paramètres par défaut:

Interface

LAN

Version TCP / IP

IPv4

Protocole

TCP

Source

Réseau LAN

Plage de ports source

tout - tout

Destination

Quelconque

Largeur du port de destination

HTTPS - HTTPS

Redirection IP de destination

127.0.0.1

Redirection du port de destination

autre / 3129

Description

rediriger le trafic vers un serveur proxy

Redirection NAT

Autoriser

Filtre de corrélation de règles

Ajouter une règle de filtrage pertinente

Les valeurs par défaut doivent être OK, cliquez simplement sur Enregistrer et appliquer les modifications .

Étape 8 - Configurer le système d'exploitation / navigateur προγράμματος

Étant donné que le point d'accès n'est pas approuvé par votre navigateur, vous recevrez un message à ce sujet pour chaque page que vous visitez. Pour résoudre ce problème, vous pouvez entrer la clé dans votre système d'exploitation et la définir comme approuvée. Pour extraire la clé, allez dans Système σ Systemνη Trust ‣ Principles et cliquez sur l'icône d'exportation de certificat CA. Bien sûr, on peut choisir d'accepter le certificat pour chaque page manuellement, mais pour certaines pages, cela peut ne pas fonctionner correctement à moins de cliquer.

../../_images/export_CA_cert.png

Entrez et modifiez les paramètres de confiance dans votre système d'exploitation préféré.