Cas d’usage
KB N°2806

Mise en place du portail public depuis une appliance virtuelle en mode routeur

Version: V6.x
Publié le jeudi 21 avril 2022
Modifié le lundi 25 avril 2022

Contexte

Depuis la fin d'année 2021, Olfeo ne commercialise plus d'appliance physique. Afin de mettre en place un portail publique il est désormais nécessaire de l’implémenter en mode dit « routeur » ou bien en couplage ICAP, cet article se concentre sur le mode routeur.

 

Paramétrer l'Olfeo

Redirection NAT et ROUTAGE

 

Nous avons mis à disposition un script shell qui effectue les actions suivantes :

  • Efface les règles existantes iptables de l’olfeo

  • Active le routage

  • Effectue les redirections HTTP sur le port 3131 (ce port est à adapter en fonction de votre environnement)

 

#!/bin/sh
#clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support 
modprobe ip_conntrack
modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables --append FORWARD --in-interface eth1 -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport  80 -j REDIRECT --to-port 3131

 

Il vous faut copier ce script dans un fichier portant le nom que vous souhaitez dans le chroot olfeo puis le rendre éxécutable à l'aide de la commande :

chmod +x le/chemin/de/votre/fichier

Vous pouvez ensuite l'éxécuter comme un programme

le/chemin/de/votre/fichier

 

Attribution des ports

 

Rendez-vous dans Proxy avancé > Configuration afin d’y ajouter le port suivant en interception.

 

Création du portail public

 

Créez un portail dans Portail public > Ajouter un portail.

Vous pouvez ensuite créer les types de tickets qui seront attribués aux invités dans Portail public > type de ticket.

Vous pouvez aussi leur attribuer une politique que vous aurez créé auparavant dans Filtrage web > Politiques.

 

Dans Administration > Accès il faut ajouter une règle autorisant l’accès au portail que vous venez de créer.

Il faut autoriser la liste de domaine Portails captifs et mettre la règle au dessus des autres, elles permettent d’autoriser l’accès aux CNA (detectportal.firefox.com et autres) qui jouent le rôle de mire dans la détection du portail.

Dans la règle concernant le "Portail des accès Publics" il est possible de spécifier la source, on peut alors proposer le portail public à une plage IP ou un utilisateur précis (réseau invité par exemple).

Il ne faut pas oublier de valider les modifications.

 

Configuration du filtrage DNS

 

Pour permettre aux invités d’être filtrés même en HTTPS il faut les faire passer par le filtrage DNS.

Si vous souhaitez les soumettre à la même politique que celle à laquelle ils sont soumise en HTTP il vous faudra vous rendre dans Administration > Annuaires où vous cliquerez sur Configuration par défaut, une popup apparaît alors dans laquelle vous pouvez Créer une UO.

 

Une fois cette UO créée, répétez l’opération en cliquant sur elle puis en cliquant sur Créer un groupe.

 

La dernière étape nécessite de créer un utilisateur correspondant à vos invités au sein de ce groupe afin de lui attribuer la politique de filtrage appropriée.

 

Paramétrer le DHCP

Il vous faudra maintenant renseigner les champs suivant à votre DHCP afin qu’ils les transmettent aux équipements des invités qui souhaitent rejoindre votre réseau :

 

  • Passerelle (Gateway) : l’ip de l’olfeo

  • Serveur DNS : l’ip de l’olfeo

 

Avez-vous trouvé cet article utile ?
Revenir à la liste des articles
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok