SQUID ou la filtrage par IP et URL - Communauté Informatique NDFR.net

Communauté Informatique NDFR.net (http://www.ndfr.net/forums/index.php)

- Unix/Linux Client (http://www.ndfr.net/forums/forumdisplay.php?f=53)

- - SQUID ou la filtrage par IP et URL (http://www.ndfr.net/forums/showthread.php?t=7650)

SQUID ou la filtrage par IP et URL

Bonjour

J’ai réaliser un serveur proxy via squid sous debian pour mon entreprise limité a quelques personnes car ma direction souhaité que ces dernières accèdent a Internet mais que a certain site bien définis, ni une ni deux je monte un proxy je le paramètre tout fonctionne bien pas de problème, retour de médaille, ho c est bien il nous faut ça pour d autre postes également mais avec d’autre site, la l’affaire se complique car j’admet ne pas trop savoir comment le faire, c est pour cela que je demande votre aide.

Mon script a l heure actuel est celui ci :

#port d'ecoute du proxy
http_port 8181

#type de page a ne pas garder dans le cache
acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3 \.asp

#espace en Mo allouer à squid
cache_mem 16 MB

#pourcentage de cache utilisé avant de vidé
cache_swap_low 75
cache_swap_high 90

#taille maximum des objects a prendre en mémoire
maximum_object_size 4096 KB

#espace disque en Mo allouer a squid 200Mb de cache
#16 et 256 represente les sous-repertoire dans le 1er niveau et suivant
cache_dir ufs /var/spool/squid 200 16 256

#repertoire des fichiers log de controle d'acces à internet
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

# ACL : les acl permettent de spécifier les autorisations
# d'accès sur certains ports, et pour les ip des stations
# Attention l'ordre donné ici est important !
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl serveur src 132.147. xxx.xxx
acl clients src 132.147. xxx.xxx -132.147. xxx.xxx
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # ssl
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWATa
acl purge method PURGE
acl CONNECT method CONNECT
#autorisation du fichier url_autorised et nom des sites
acl url_autorised url_regex pagesjaunes pagesblanches
#acl url_autorised url_regex "/etc/squid/noms_autorised"
#affichage des erreur en francais dans l'explorateur
error_directory /usr/share/squid/errors/French

#url Autorisé
acl url_autorise url_regex "/etc/squid/url_autorised"
http_access allow clients url_autorised

#regles d'acces
http_access allow serveur
http_access allow raid_1
#http_access allow localhost
#http_access allow localnet
#http_access allow PURGE localhost
http_access deny PURGE

#acces refusé sur les port non definit
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#proxy transparent pour les utilisateurs
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#httpd_accel_single_host off

#on refuse tous ce qui n'est pas definit
http_access deny all

peut être n’est il pas le plus simple ni le plus parfait (je ne le suis pas moi même lol) mais il fonctionne.(si vous avez des remarque et idée je suis prenneur)

ce que je pensais c est refaire une ligne :
acl autres src 132.147. xxx.xxx -132.147. xxx.xxx
et

#url Autorisé
acl url_autorise url_regex "/etc/squid/url_autorised"
http_access allow autres url_autorised

qu en pensez vous ???

merci

Slt,

voici mon fichier config si ca peut aider.

##### /etc/squid/squid.conf #####

# comme Squid est lancé par un utilisateur différent de root
# alors http_port ne peut être inférieur à 1024
http_port 3128

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 50 MB

cache_dir ufs /var/spool/squid 1024 16 256

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

pid_filename /var/run/squid.pid

# Debian :
error_directory /usr/share/squid/errors/French

# Pour que le proxy soit serveur DNS :
# dns_nameservers dns_fai ou/et dns_passerelle
dns_nameservers 192.168.2.254

# Nombre de processus enfants :
auth_param basic children 5

# Filtrage URL avec SquidGuard
#redirect_program /usr/bin/squidGuard -c etc/squid/squidGuard.conf

# proxy authentification
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users
authenticate_ttl 60 minute
authenticate_ip_ttl 60 minute

auth_param basic realm Merci de vous identifier sur Hotspot le Wifi Libre pour naviguer et utiliser le proxy0.ridelystar-web.net ou 192.168.2.100 port 3128 dans votre config Navigateur.

# securite requêtes pour restreindre les risques d'attaques de type "refus de service"
request_header_max_size 10 KB
request_body_max_size 64 KB

# Anonymat Préservez l'anonymat des utilisateurs en masquant une partie des adresses source des requêtes
#client_netmask 255.255.255.0
#anomyze_headers deny Referer Server From User-Agent
#ake_user_agent Nutscrape/1.0 (CP/M; 8-bit)

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# ACL : les acl permettent de spécifier les autorisations
# d'accès sur certains ports, et pour les ip des stations
# Attention l'ordre donné ici est important !
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl serveur src 192.168.2.100
#acl multipostes src 81.56.XX.XX 81.56.XX.XX 10.10.10.101-10.10.10.245
acl multipostes src 192.168.2.101-192.168.2.102 192.168.2.151
acl SSL_ports port 443 563 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # ssl
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 5060 # TWIN
acl Safe_ports port 3728 # TribalWeb
acl Safe_ports port 6892 # Amsn
acl purge method PURGE
acl CONNECT method CONNECT

# Filtrage URL

# Refuse l'accès aux domaines écrit dans ce fichier.
# le -i indique pas "sensible à la case"
# mettre un domaine par ligne sous cette forme :
# .microsoft.com
# .sco.com
#acl bad_domain dstdomain -i "/etc/squid/baddomain.txt"
#http_access deny bad_domain

# Refuse l'accès aux URL écrites dans ce fichier.
#acl sex_site url_regex -i "/etc/squid/sexsite.txt"
#http_access deny sex_site

# Refuse l'accès aux URL écrites dans ce fichier.
acl porn url_regex "/etc/squid/mot_cle"
http_access deny porn

# Refuse l'accès aux URL écrites dans ce fichier.
#acl salleTP_PAS_OK src "/etc/squid/adresse_ip"
#http_access deny salleTP_PAS_OK

#acl warez_site url_regex -i "/etc/squid/warezsite.txt"
acl users proxy_auth REQUIRED
#http_access deny warez_site

# Refuse l'accès aux extensions suivantes :
#acl url_mp3 url_regex -i \.mp3$
#http_access deny url_mp3
#acl url_avi url_regex -i \.avi$
#http_access deny url_avi
#acl url_mpeg url_regex -i \.mpeg$
#http_access deny url_mpeg
#acl url_mpg url_regex -i \.mpg$
#http_access deny url_mpg
#acl url_mov url_regex -i \.mov$
#http_access deny url_mov
#acl url_exe url_regex -i \.exe$
#http_access deny url_exe

# On accepte tout ce qui vient du serveur
http_access allow serveur
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

# On rejette tous les ports différents de ceux déclarer dans les acl
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# On accepte les requetes des stations suivantes sur le proxy :
http_access allow multipostes
http_access allow users

# On accepte le local
http_access allow localhost

# On rejette tout le reste
http_access deny all
http_reply_access allow all

icp_access allow all

# On renseigne l'utilisateur et le groupe qui initialise Squid :
cache_effective_user proxy
cache_effective_group proxy

# On renseigner le nom de machine qui fait serveur
visible_hostname proxy0.ridelystar-web.net

# proxy transparent
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

http_access allow all

# cache_mgr webmaster
cache_mgr support.proxy@nerim.net

err_html_text support.proxy@nerim.net

# annoyme trace

#anonymize_headers allow Allow Authorization Cache-Control
#anonymize_headers allow Content-Encoding Content-Length
#anonymize_headers allow Content-Type Date Expires Host
#anonymize_headers allow If-Modified-Since Last-Modified
#anonymize_headers allow Location Pragma Accept
#anonymize_headers allow Accept-Encoding Accept-Language
#anonymize_headers allow Content-Language Mime-Version
#anonymize_headers allow Retry-After Title Connection
#anonymize_headers allow Proxy-Connection

#### END /etc/squid/squid.conf ####

avec cette config ca me permet que certain client ne s' identifie pas par login/pass (acl multipostes src 192.168.2.101-192.168.2.102 192.168.2.151)

le reste (192.168.103-104 etc...dhcp...) sont obliger de s' identifier par login/pass pour povoir utilisé le proxy

Salut

merci ile st beaucoup plus commenté que le mien je suis jalou lol

merci je comprend comment tu as fait et je vais essayé de m en inspirré

merci