====== Mise en place d'un portail captif PfSense ====== ==== I- Installation des paquets==== Pour faire du filtrage web ainsi qu'un portail captif, il faudra installer les paquets suivant : squid squidguard freeradius Pour cela il faut se rendre dans "Systeme", "Packages" : {{ :images:squidpfsense:capture_du_2017-01-05_09-54-47.png?nolink |}} ==== II- Configuration du filtrage avec Squid & Squidguard ==== Une fois les paquets installer, il faut se rendre dans : "Service" "Squidguard Proxy" Commencer par renseigner l'URL de notre blacklist, l'université de Toulouse a mis en ligne une blacklist ([[https://dsi.ut-capitole.fr/blacklists/|Blacklist Université de Toulouse]]) {{ :images:squidpfsense:capture_du_2017-01-05_09-55-49.png?nolink |}} Ensuite se rendre dans l'onglet "Blacklist" pour telecharger la blacklist : {{ :images:squidpfsense:capture_du_2017-01-05_09-56-07.png?nolink |}} {{ :images:squidpfsense:capture_du_2017-01-05_09-56-32.png?nolink |}} Enfin se rendre dans "Comon ACL" pour selection ce que l'on souhaite bloquer dans "Target rules List" : {{ :images:squidpfsense:capture_du_2017-01-05_09-57-00.png?nolink |}} Ne jamais oublier de cliquer sur "Save" et "Apply" a chaque modification : {{ :images:squidpfsense:capture_du_2017-01-05_09-56-07.png?nolink |}} ==== III- Configuration du Portail Captif lié à un LDAP ==== Pour configurer le portail captif, il faut se rendre dans "Service" et "Captive Portal" :\\ Sélectionner l'interface : {{ :images:squidpfsense:capture_du_2017-01-05_09-58-59.png?nolink |}} Des liens e redirection si besoin :\\ Astuce : pour que la pages d'authentification apparaisse tout le temps, renseignez une "Pre-authentication redirect URL" {{ :images:squidpfsense:capture_du_2017-01-05_09-59-19.png?nolink |}} Configuration du radius : {{ :images:squidpfsense:capture_du_2017-01-05_09-59-33.png?nolink |}} (il est possible de configurer sa page d'authentification)\\ Pour la liaison a son "ActiveDirectory", on se rend sur "Service", et "FreeRadius" puis dans l'onglet NAS/Clients" : {{ :images:squidpfsense:capture_du_2017-01-05_10-00-16.png?nolink |}} Important: mettre le meme "shared secret" que l'on a mit précédemment dans la configuration du portail captif: {{ :images:squidpfsense:capture_du_2017-01-05_10-00-39.png?nolink |}} Se rendre ensuite dans l'onglet Interface : {{ :images:squidpfsense:capture_du_2017-01-05_10-01-00.png?nolink |}} Se rendre dans l'onglet LDAP, bien cocher les deux case {{ :images:squidpfsense:capture_du_2017-01-05_10-01-52.png?nolink |}} Configurer la liaison LDAP avec le Serveur AD : {{ :images:squidpfsense:capture_du_2017-01-05_10-02-07.png?nolink |}} Astuce : En cas de redémarrage du Pfsense, il faudra revenir sur "Free Radius" et ré enseigner le mot de passe administrateur du LDAP, ainsi que re-télécharger la "blacklist" dans "Squidguard". ==== IV- Test ==== Pour tester on va se rendre sur un machine client et lancer internet, je suis automatiquement rediriger vers ma page d’authentification : {{ :images:squidpfsense:capture_du_2017-01-05_11-21-21.png?nolink |}} Après authentification je suis bien rediriger vers le site de redirection : {{ :images:squidpfsense:capture_du_2017-01-05_11-22-17.png?nolink |}} Ensuite je vais essayer d'acceder a un site de vente d'arme : {{ :images:squidpfsense:capture_du_2017-01-05_11-22-47.png?nolink |}} Je suis bien bloquer par "Squidguard" {{ :images:squidpfsense:capture_du_2017-01-05_11-23-00.png?nolink |}}