Malko61
Messages postés8Date d'inscriptionmardi 10 mars 2009StatutMembreDernière intervention 4 août 2017
-
4 août 2017 à 17:19
Bonjour,
J'aimerai mettre en place un accès WiFi ponctuellement qui ne permette aux utilisateurs qui se connecteraient dessus de n'afficher systématiquement qu'une seule page diffusant des résultats "live" (hébergé sur Internet).
Alors, la première question, pourquoi ce fonctionnement ? L'emplacement où se situera cette installation ne dispose que d'une connexion Internet en ADSL, et est extrêmement mal desservi par les 3 opérateurs mobiles. L'idée est donc de fournir l'accès à une seule page "légère" sur laquelle sera affiché des résultats, tout en s'affranchissant des obligations légales liées à la mise en place d'un accès Internet, tout en maîtrisant les coûts de fonctionnement (50 à 100 utilisateurs max).
Après avoir dégrossi le chantier, j'ai conclu qu'il me faudrait un proxy pour gérer l'utilisation qui serait faite de la connexion. J'ai donc utilisé une distribution PFSense sur un PC disposant de 2 cartes réseau (WAN / LAN). La partie DHCP/DNS est effectuée et fonctionnelle sur cette distribution à laquelle j'ai ajouté SQUID + SQUIDGuard.
Vu qu'il n'est pas possible d'imposer un paramétrage sur les différents périphériques qui se connectent, j'ai opté pour d'utilisation de SQUID en mode transparent (HTTP + HTTPS) pour que les connexions soient interceptées sans paramétrage au niveau de l'utilisateur. J'ai ensuite effectué une configuration "simple", en indiquant en liste blanche l'unique page à afficher, et en bloquant tout autre accès, avec une redirection sur cette page autorisée. J'ai veillé à ce que l'utilisation d'autres adresses DNS soient bloquées, et que la saisie d'IP en URL soit interceptée également.
Si cela fonctionne très bien pour les connexions "HTTP" (là, tout est OK), cela se complique pour les connexions "HTTPS". Le mode transparent en HTTPS impose l'utilisation d'un certificat SSL auto généré, et, dans le meilleurs des cas, j'obtiens systématiquement un message d'erreur indiquant que le certificat n'est pas valide (ou non correspondant), sans obtenir la redirection souhaitée, soit, ne filtre rien du tout...
Quelqu'un à t'il déjà tenté de mettre en place ce genre de fonctionnement ?