Il peut sembler utile de filtrer le trafic FON par du contrôle de contenu. Je ne tiens pas à ce que ma connexion internet serve de lieu de transit à du contenu illégal.

La solution que j'ai utilisé consiste à mettre en place un proxy transparent entre mon routeur FON (un wrt54g et internet. Cette configuration permet la mise en place d'un proxy, sans que l'utilisateur ai besoin de modifier son navigateur. Tous les flux web passeront obligatoirement par le proxy, sans même que l'utilisateur le sache.

Un proxy squid a été utilisé, muni du redirector squidguard pour tout ce qui est filtrage de contenu.

Le proxy est situé côté WAN par rapport à FON, c'est à dire situé sur mon LAN, sur un serveur linux me servant déjà de proxy explicite pour les machines de mon LAN.

Une configuration spécifique au squid est nécessaire pour le rendre compatible en mode de fonctionnement transparent (sur la machine squid) :

/etc/squid/squid.conf
 httpd_accel_host virtual
 httpd_accel_port 80
 httpd_accel_with_proxy  on
 httpd_accel_uses_host_header on

Il faut ensuite modifier la configuration du routeur FON pour qu'il envoi les flux web vers le serveur proxy (adresse IP : 10.0.0.10) :

/etc/init.d/S90user
iptables -t nat -A prerouting_rule -i tun0 -p tcp --dport 80 -j DNAT --to 10.0.0.10:3128
iptables -I WAN_HOOK -p tcp --dport 3128 -d 10.0.0.10 -j ACCEPT

La première règle permet de mettre en place la redirection de trafic. La seconde règle permet d'autoriser les flux WLAN (les clients) vers le proxy situé sur le WAN (trafic interdit par défaut).

A partir de ce moment, tous les flux web seront dirigés vers le proxy squid, où vous pourrez activer (au choix) :

  • le caching des pages
  • le filtrage de contenu
  • le filtrage anti virus
  • le filtrage d'URL
  • la tracabilité
  • ...

Attention : L'authentification par le proxy n'est pas possible en mode transparent (le navigateur ne s'attendant pas à en utiliser)

A noter que ce mode de proxy transparent ne concerne que le protocole HTTP sur le port 80/tcp. Le protocole HTTPS n'est pas compatible avec ce mode et doit donc passer en direct.

Dans le cas d'un filtrage par squidguard, il est possible de mettre en place une page web où l'utilisateur est redirigé en cas de non conformité à la politique. Cette page ne peut par défaut pas être situé sur une machine située sur le WAN (car l'utilisateur n'y a pas accès). Le rajout d'une règle firewall peut alors être nécessaire.

Note : ce howto concerne le routeur WRT54g et non la fonera (pour le moment)