Configurer le proxy HTTP

Ports en écoute

La section Ports en écoute vous permet de définir les sockets (adresse IP + port) sur lesquelles l'Olfeo pourra recevoir du trafic, et le comportement des ports associés.

Vous pouvez utiliser plusieurs ports et/ou plusieurs adresses :

Pour segmenter les points d'accès par réseau et rendre accessible l'Olfeo à des utilisateurs situés dans des réseaux différents.
Pour appliquer des règles d'authentification différentes à des populations distinctes (voir Authentification auprès du proxy HTTP).
Pour n'activer le déchiffrement SSL que pour certaines populations.

Ajoutez un port en écoute grâce au bouton .

Saisissez l'adresse IP et le port de l'interface sur laquelle le proxy doit écouter, au format adresseIP:portTCP. Si vous souhaitez écouter sur toutes les adresses IP/interfaces de la machine locale saisissez l'adresse IP : 0.0.0.0. Exemple : avec 0.0.0.0:3129, l'Olfeo écoutera sur le port 3129 de chaque interface.
Si vous êtes en train de configurer une machine maître dans un domaine Olfeo, renseignez tous les ports de toutes les machines esclaves.
Pour que le proxy fonctionne en interception sur ce port, cochez Interception. (Cette option correspond à l'option "Transparent" dans la v5 d'Olfeo.) Assurez-vous de mettre en place les redirections nécessaires (suivant votre intégration, au niveau du firewall, du routeur ou de la box Olfeo).
Pour activer le déchiffrement des flux HTTPS reçus sur ce port, cochez la case Option SSL. La case n'est cochable que si un certificat d'autorité a été défini à la page Proxy Cache QoS > HTTP > Options globales SSL. Vous pouvez choisir de ne pas activer le déchiffrement sur certains ports, par exemple pour des ports ne recevant que des mises à jour provenant d'URLs de confiance.

Utiliser l'en-tête HTTP "Via" : Si la case est cochée, le proxy ajoute à la requête un en-tête Via contenant une chaîne identifiant le proxy (protocole, Squid_ID, version). Il peut être nécessaire de désactiver les en-têtes Via dans le cas où des serveurs distants refusent de servir des pages lorsque la requête provient d'un proxy. Si vous avez plusieurs Olfeo, l'en-tête Via permet de savoir par lequel la requête a transité.

Types de requêtes autorisées par port de destination

Cette section vous permet de définir les ports vers lesquels le proxy est autorisé à transmettre des requêtes, ainsi que les méthodes autorisées sur ces ports. Vous pouvez ainsi bloquer les connexions vers certains ports.

La configuration par défaut permet de gérer la plupart des cas.

Types de requêtes :

Navigation : Autorise la navigation HTTP standard, plus précisément les méthodes suivantes :
```
    GET
    HEAD
    POST
    DELETE
    TRACE
    RPC_OUT_DATA
    RPC_IN_DATA
```
FTP sur HTTP : Voir Gérer le FTP sur HTTP.

WebDAV : Extension du protocole HTTP permettant la gestion de fichiers partagés et stockés sur un serveur Web. Autorise les méthodes suivantes :

    PUT
    OPTIONS
    PROPFIND
    TUNNEL
    PROPFIND
    PROPPATCH
    MKCOL
    COPY
    MOVE
    LOCK
    UNLOCK
    MKDIR
    INDEX
    RMDIR
    LINK
    UNLINK
    PATCH
    BCOPY
    BDELETE
    BMOVE
    BPROPPATCH
    MKCO
    POLL
    SEARCH
    SUBSCRIBE

CONNECT : Autorise la méthode CONNECT de HTTP 1.1 (utilisée notamment pour l'établissement de connexions SSL).

Règles :

Ajoutez une règle à l'aide de l'icône .
Saisissez un port destination dans le champ de la colonne Port.
- Pour saisir une plage de ports, séparez le port de début et le port de fin par un tiret. Exemple : 1025-65535.
- Pour saisir plusieurs ports dans une même ligne, séparez-les par une espace. Exemple : 70 210 280.
Cochez les protocoles et/ou méthodes que vous souhaitez autoriser sur ces ports destination.

Si vous avez activé le déchiffrement SSL, cochez la case Navigation pour les ports correspondants (typiquement, 443).

Utiliser le mode passif étendu pour le FTP sur HTTP : Ce mode permet au proxy Olfeo d'utiliser la commande EPSV à la place de PASV et ainsi d'effectuer des requêtes FTP compatibles avec IPv6. L'option permet d'utiliser un serveur FTP qui n'implémenterait que la commande EPSV. Référez-vous à la RFC FTP Extensions for IPv6 and NATs pour plus d'informations.

Chaînage proxy

Voir Gérer le chaînage de proxys.

Filtrage d'URL

Filtrer des URLs : Décochez cette case si cet Olfeo utilise le moteur de filtrage d'un autre Olfeo, ou si vous n'avez pas de licence pour le filtrage d'URL.
Ne pas mémoriser les autorisations : Pour des questions de performance, la solution Olfeo met en cache le résultat de l'évaluation des URLs par le moteur de règles. Cela permet de ne pas avoir à traiter des URLs appartenant à des sites internet déjà rencontrés.
Forcez l'évaluation systématique de chaque URL si des règles du moteur de règles définissent des regex sur des URLs ou des extensions de fichier.
Nombre maximum de redirecteurs : Le nombre de processus internes de la solution Olfeo communicant entre le proxy HTTP et le moteur de filtrage (processus squid_wrapper). La valeur par défaut (70) convient pour la majorité des installations de la solution Olfeo.
Nombre de redirecteurs au démarrage
Nombre minimum de redirecteurs inutilisés : Détermine à quel moment un nouveau redirecteur doit être créé.
Parallélisme : Le nombre de threads par redirecteur (c'est-à-dire par instance de squid_wrapper).
Si le service de filtrage n'est pas disponible : Ce que doit faire le proxy HTTP si le service de filtrage ne répond pas (par exemple, s'il est trop occupé).
- Bloquer : Le proxy renvoie une erreur 403 au navigateur.
- Outrepasser : Le proxy laisse passer le flux jusqu'à l'utilisateur. Aucune règle du moteur de filtrage n'est appliquée.
Délai avant une autre connexion après une erreur : Temps d'attente avant une nouvelle tentative de connexion, en cas d'erreur de connexion entre le moteur de filtrage et le redirecteur (squid_wrapper). La valeur par défaut (30 secondes) convient dans la majorité des cas.

Options du client ICAP

Cette section concerne le paramétrage du client ICAP inclus dans le proxy. Celui-ci communique avec le serveur ICAP inclus dans le moteur de filtrage (dans le Connecteur ICAP interne pour analyse de contenu), en RESPMOD, lorsque l'Olfeo doit réaliser de l'analyse de contenu et/ou transmettre ces contenus à l'antivirus (onglets Aperçu et Contenu du moteur de règles).

En cas d'échec du service : Ce que doit faire le client ICAP si le service ICAP n'est pas disponible :
- Bloquer : Le proxy envoie une page d'erreur ERR_ICAP_FAILURE au navigateur.
- Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.
En cas de surcharge : Ce que doit faire le client ICAP s'il reçoit plus de requêtes (en nombre de requêtes ou en volume de données) qu'il n'est capable d'en traiter :
- Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.
- Attendre : Le proxy envoie la requête à un buffer. La requête sera traitée lorsque le serveur ICAP sera à nouveau disponible.
- Forcer : Le proxy envoie quand même la requête au serveur ICAP.
Nombre maximum de connexions : Nombre maximum de connexions simultanées entre le client et le serveur. Si la case n'est pas cochée, le client ICAP prendra la valeur indiquée par le serveur dans la requête OPTIONS.