Merci tout d'abord à tchao57 pour l'impressionnant tutoriel !
Comme je suis nouveau sur ce forum, je fais une courte présentation (elle permettra aussi de mieux vous faire part de mon projet) : je suis gestionnaire d'un réseau en Haute Ecole, qui regroupe environ 200 machines (essentiellement destinées à des étudiants du supérieur) ... qu'il faut encadrer un minimum pour éviter les dérives possibles que vous imaginez (accès intempestifs aux réseaux sociaux pour certains groupes de machines en laboratoire, tentatives de téléchargements licites ... ou non, etc ...). Le parc est du "crosoft" pur (et comme je suis seul à tout gérer, je ne dispose pas vraiment de temps pour m'investir sur du Linux). Jusqu'ici, les routeurs utilisés (nous sommes en sites multiples) étaient gérés par le FAI, qui appliquait un filtrage global plus ou moins abouti (ce qui n'était qu'un problème relatif, vu les performances très modestes de nos connexions). Nos lignes Internet vont évoluer assez grandement en 2015, en terme de bande passante, et je dois m'assurer désormais que ces ressources sont correctement utilisées de A à Z, définir des règles d'accès, filtrer des contenus, etc ... ce qui est une "première" complète pour moi (!).
Après pas mal de recherches, Squid s'est imposé comme un choix intéressant à retenir (version Windows, bien sûr).
Après pas mal de lectures, il m'a semblé plus judicieux de faire transiter tout le traffic Internet par un serveur réservé à cela (Squid proxy sur Windows Server 2012). J'ai donc effectué mon câblage de la sorte (serveur proxy à deux cartes réseau) :
De cette manière, je suis certain que toutes les requêtes vers l'extérieur doivent être validées avant d'atteindre la passerelle (qu'elles proviennent d'ordinateurs "Haute Ecole", d'appareils connectés au Wifi, ou encore ... de petits malins qui tentent de se ponter directement sur la câblage réseau de l'établissement)
Squid fonctionne parfaitement pour l'HTTP et l'HTTPS mais, comme Fel (dans son post "Ports POP3 et SMTP"), je suis confronté au souci des autres types de traffic, principalement la messagerie (POP3, IMAP, SMTP) qui échoue systématiquement les connexions, envois ou réceptions.
Mes recherches ne me donnent apparemment que deux solutions :
SOLUTION 1 : je maintiens mon architecture tel quelle, et il me faut trouver un moyen de dériver le traffic Internet "hors HTTP/HTTPS", adressé sur l'interface entrante du serveur (192.168.100.1), vers son interface sortante (192.168.1.2, afin de continuer vers la passerelle sans que Squid le gère). Le problème est comment ? On trouve plein de solutions sur Squid Linux, au départ d'IPTABLES (qui n'existe pas sur Windows, et je trouve difficilement le correspondant sur Windows)
SOLUTION 2 : ou alors je modifie le positionnement du serveur sur le réseau (il ne dispose alors plus que d'une carte réseau) et devient un client comme les autres sur le LAN, et ne gère que les paquets provenant des navigateurs de l'ensemble des ordinateurs (configurés pour surfer au départ d'un proxy). Tout le reste du traffic continue à sortir directement sur la passerelle, et ça marche. Le souci, c'est comment restreindre le traffic non souhaité (peer2peer) et aussi empêcher les navigateurs des machines non gérées d'outrepasser le proxy en se dirigeant directement sur la passerelle ?
Merci de m'avoir lu, pour les plus patients d'entre vous (!)
