Page .
Ports en écoute
La section Ports en écoute vous permet de définir les sockets (adresse IP + port) sur lesquelles l'Olfeo pourra recevoir du trafic, et le comportement des ports associés.
Vous pouvez utiliser plusieurs ports et/ou plusieurs adresses :
- Pour segmenter les points d'accès par réseau et rendre accessible l'Olfeo à des utilisateurs situés dans des réseaux différents.
- Pour appliquer des règles d'authentification différentes à des populations distinctes (voir Authentification auprès du proxy HTTP).
- Pour n'activer le déchiffrement SSL que pour certaines populations.
Ajoutez un
port en écoute grâce au bouton .
- Saisissez l'adresse IP et le port de l'interface sur laquelle le
proxy doit écouter, au format adresseIP:portTCP. Si vous
souhaitez écouter sur toutes les adresses IP/interfaces de la machine
locale saisissez l'adresse IP : 0.0.0.0.
Exemple : avec 0.0.0.0:3129, l'Olfeo écoutera sur le port 3129 de chaque interface.
- Si vous êtes en train de configurer une machine maître dans un domaine Olfeo, renseignez tous les ports de toutes les machines esclaves.
- Pour que le proxy fonctionne en interception sur ce port, cochez
Interception. (Cette option correspond à l'option "Transparent" dans la v5 d'Olfeo.) Assurez-vous de mettre en place les redirections nécessaires (suivant votre intégration, au niveau du firewall, du routeur ou de la box Olfeo).
- Pour activer le déchiffrement des
flux HTTPS reçus sur ce port, cochez la case
Option SSL. La case n'est cochable que si un certificat d'autorité a été défini à la page . Vous pouvez choisir de ne pas activer le déchiffrement sur certains ports, par exemple pour des ports ne recevant que des mises à jour provenant d'URLs de confiance.
Utiliser l'en-tête HTTP "Via" : Si la case est cochée, le proxy ajoute à la requête un en-tête Via contenant une chaîne identifiant le proxy (protocole, Squid_ID, version). Il peut être nécessaire de désactiver les en-têtes Via dans le cas où des serveurs distants refusent de servir des pages lorsque la requête provient d'un proxy. Si vous avez plusieurs Olfeo, l'en-tête Via permet de savoir par lequel la requête a transité.
Types de requêtes autorisées par port de
destination
Cette section vous permet de définir les ports vers lesquels le proxy est autorisé à transmettre des requêtes, ainsi que les méthodes autorisées sur ces ports. Vous pouvez ainsi bloquer les connexions vers certains ports.
La configuration par défaut permet de gérer la plupart des cas.
Types de requêtes :
- Navigation : Autorise la navigation HTTP
standard, plus précisément les méthodes suivantes :
GET
HEAD
POST
DELETE
TRACE
RPC_OUT_DATA
RPC_IN_DATA
- FTP sur HTTP : Voir Gérer le FTP sur HTTP.
- WebDAV : Extension du protocole HTTP permettant la gestion de fichiers partagés
et stockés sur un serveur Web. Autorise les méthodes suivantes :
PUT
OPTIONS
PROPFIND
TUNNEL
PROPFIND
PROPPATCH
MKCOL
COPY
MOVE
LOCK
UNLOCK
MKDIR
INDEX
RMDIR
LINK
UNLINK
PATCH
BCOPY
BDELETE
BMOVE
BPROPPATCH
MKCO
POLL
SEARCH
SUBSCRIBE
- CONNECT : Autorise la méthode CONNECT de HTTP 1.1 (utilisée notamment pour l'établissement de connexions SSL).
Règles :
- Ajoutez une règle à l'aide de l'icône .
- Saisissez un port destination dans le champ de la colonne
Port.
- Pour saisir une plage de ports, séparez le port de
début et le port de fin par un tiret. Exemple :
1025-65535.
- Pour saisir plusieurs ports dans
une même ligne, séparez-les par une espace. Exemple :
70 210 280.
- Cochez les protocoles et/ou méthodes que vous souhaitez autoriser sur ces
ports destination.
Si vous avez activé le déchiffrement SSL, cochez la case Navigation pour les ports correspondants (typiquement, 443).
Utiliser le mode passif étendu pour
le FTP sur HTTP : Ce
mode permet au proxy Olfeo d'utiliser la commande EPSV à la place de PASV et ainsi
d'effectuer des requêtes FTP compatibles avec IPv6. L'option permet d'utiliser un serveur FTP qui n'implémenterait que la commande EPSV. Référez-vous à la RFC FTP Extensions for IPv6 and NATs
pour plus d'informations.
Options du client ICAP
Cette section concerne le paramétrage du client ICAP inclus dans le proxy. Celui-ci communique avec le serveur ICAP inclus dans le moteur de filtrage (dans le Connecteur ICAP interne pour analyse de contenu), en RESPMOD, lorsque l'Olfeo doit réaliser de l'analyse de contenu et/ou transmettre ces contenus à l'antivirus (onglets Aperçu et Contenu du moteur de règles).
- En cas d'échec du service : Ce que doit faire le client ICAP si le service ICAP n'est pas disponible :
- Bloquer : Le proxy envoie une page d'erreur ERR_ICAP_FAILURE au navigateur.
- Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.
- En cas de surcharge : Ce que doit faire le client ICAP s'il reçoit plus de requêtes (en nombre de requêtes ou en volume de données) qu'il n'est capable d'en traiter :
- Bloquer : Le proxy envoie une page d'erreur
ERR_ICAP_FAILURE au navigateur.
- Outrepasser : Le proxy envoie directement la réponse à l'utilisateur, sans la transmettre au serveur ICAP. Les règles des onglets Aperçu et Contenu du moteur de filtrage ne sont pas appliquées.
- Attendre : Le proxy envoie la requête à un buffer. La requête sera traitée lorsque le serveur ICAP sera à nouveau disponible.
- Forcer : Le proxy envoie quand même la requête au serveur ICAP.
- Nombre maximum de connexions : Nombre maximum de connexions simultanées entre le client et le serveur. Si la case n'est pas cochée, le client ICAP prendra la valeur indiquée par le serveur dans la requête OPTIONS.