Servir les pages de blocage

Lorsqu'une page doit être fournie à l'utilisateur, le moteur de filtrage envoie un code 302 (redirection) au navigateur client pour lui dire de demander la page de blocage à l'Olfeo.

Par défaut, les pages de blocage sont servies par l'Olfeo qui effectue le filtrage, sur le port 9123. Si vous ne souhaitez pas ajouter d’exceptions au niveau du firewall, ou si vous utilisez un équipement tiers qui ne tolère pas qu'une redirection se fasse sur un port différent du port d'origine, redirigez vers les ports standard HTTP/HTTPS. Vous pouvez en effet servir les pages de blocage sur un autre port, un autre Olfeo ou un serveur externe. Pour pouvoir servir les pages de blocage sur un autre Olfeo, les deux Olfeos doivent être membres du même domaine Olfeo.

Dans une intégration en proxy explicite, il est déconseillé de faire passer les pages de blocage par le proxy : configurez les navigateurs clients pour ne pas utiliser de proxy pour les ressources locales.

Paramétrage global à l'Olfeo

Le paramétrage suivant s'appliquera à tous les utilisateurs filtrés par cet Olfeo, si aucune surcharge n'est définie au niveau de l'UO, du groupe ou de l'utilisateur (voir ci-dessous).

Rendez-vous à la page Paramétrage > Avancé > Redirection. Choisissez l'une des options suivantes :

Pour servir les pages de blocage sur un Olfeo, utilisez la liste Mode de redirection :
- Automatique : les pages de blocage sont servies par la solution Olfeo qui effectue le blocage.
- Statique : les pages de blocage peuvent être servies :
  - par l'Olfeo qui effectue le blocage, sur une interface réseau différente.
  - par un autre Olfeo membre du même domaine Olfeo.
  Saisissez l'adresse IP (ou le FQDN) et le port TCP désirés. Utiliser un FQDN permet de faire en sorte que différents clients résolvent le FQDN différemment suivant leur DNS, afin de répartir la charge entre plusieurs Olfeos.
Pour rediriger l'utilisateur vers une page statique sur un serveur externe à l'Olfeo (par exemple, une page de votre intranet), cochez la case URL de redirection. Attention, une telle page ne pourra effectuer qu'un blocage pur et simple : il n'est pas possible de gérer les quotas, l'outrepassement ou le portail captif avec cette option. N'incluez pas le schème dans votre URL (c'est-à-dire http:// ou https://).

Personnaliser la redirection pour certains utilisateurs

Vous pouvez surcharger le paramétrage défini à la page Redirection aux endroits suivants :

Au niveau de la passerelle d'une UO, dans le champ IP de redirection.
Exemple : Dans une intégration en coupure, l'Olfeo reçoit des flux de 2 VLANs. L'Olfeo a une interface dans chaque VLAN. L'Olfeo doit pouvoir servir une page de blocage pour chaque VLAN, en fonction du tag VLAN d'entrée. On crée donc une passerelle pour chaque VLAN, qui redirige vers la bonne interface de l'Olfeo.
Dans le champ URL de redirection dans les options d'un utilisateur, groupe ou UO, dans la liste des utilisateurs.
Par défaut, Olfeo génère des URLs selon la syntaxe suivante :
```
http://%Sys.Host%:%Sys.HTTPD.Port%/%Req.Answer.WWWModule%/?SessionID=%Session.SessionID%
```
Vous pouvez indiquer en dur la valeur des variables %Sys.Host% (adresse IP de l'Olfeo, ou FQDN résolvable par le client) et %Sys.HTTPD.Port% (port TCP).
Exemple : Envoyer une URL de redirection avec une adresse IP différente de l'adresse IP locale de l'Olfeo. Un poste client communique avec la solution Olfeo via un NAT. Si l'URL de redirection envoyée par l'Olfeo contient l'adresse locale de l'Olfeo, le client ne trouvera pas l'adresse IP locale de l'Olfeo. Pour que la redirection fonctionne, la solution devra envoyer une URL de redirection contenant l'adresse IP publique permettant au poste client de contacter l'Olfeo. Renseignez le champ URL de redirection de la manière suivante :
```
http://192.168.4.1:%Sys.HTTPD.Port%/%Req.Answer.WWWModule%/?SessionID=%Session.SessionID%
```

Priorités appliquées aux règles de redirection

Si besoin, vous pouvez spécifier le port et l'adresse IP de l'Olfeo à des niveaux différents : l'Olfeo reconstituera une URL complète.

Le moteur vérifie d'abord si une IP et un port de redirection sont définis au niveau de l'utilisateur. Si aucune redirection n'est définie à ce niveau, le moteur vérifie si une redirection est définie sur le groupe, et ainsi de suite. Le moteur pourra potentiellement examiner les redirections définies à tous les niveaux de l'arborescence, dans le sens Utilisateur (champ URL de redirection) > Groupe (champ URL de redirection) > UO (champ URL de redirection) > passerelle de l'UO (champ IP de redirection) > Page Redirection. Si un même paramètre est défini à plusieurs niveaux, c'est la valeur la plus proche de l’utilisateur qui sera prise en compte.

Pages de blocage en HTTPS

Si vous ne déchiffrez pas certains flux HTTPS, cochez la case HTTPS pour rendre possible l'envoi de pages de blocage en HTTPS : en effet, lorsqu'un client envoie une requête HTTPS, il doit également recevoir une réponse en HTTPS. Dans la section HTTPS, entrez :

le certificat à utiliser pour chiffrer les pages de blocage HTTPS (fichiers .crt et .key/.pem). Le CN du certificat doit être l'adresse IP ou le hostname de la machine hôte de l'Olfeo.
le port sur lequel les pages de blocage HTTPS seront servies.

Remarque : Les pages de blocage ne fonctionnent pas avec les sites qui exposent un en-tête HSTS. Le navigateur renverra une erreur de type certificat invalide.