Serveur proxy Squid3 et SquidGuard



Documents pareils
Mise en place d un serveur Proxy sous Ubuntu / Debian

Serveur Mandataire SQUID

Mise en place d un proxy Squid avec authentification Active Directory

Installation et Configuration de Squid et SquidGuard sous Debian 7

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

PROXY SQUID-SQARD. procédure

Linux sécurité des réseaux

MANUEL D INSTALLATION D UN PROXY

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA.

Configuration d un réseau local

Proxy et reverse proxy. Serveurs mandataires et relais inverses

12 - Configuration de SquidGuard - De base.doc. A) Sous /etc/squid/squid.conf

Sécurité du Système d Information. Authentification centralisée et SSO

Proxy SQUID sous Debian

SQUID Configuration et administration d un proxy

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http.

Squid/SquidGuard.

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Installation d'un service mandataire (Proxy SQUID) 1

Configurer Squid comme serveur proxy

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

GLPI OCS Inventory. 1. Prérequis Installer un serveur LAMP : apt-get install apache2 php5 libapache2-mod-php5 apt-get install mysql-server php5-mysql

Tutoriel compte-rendu Mission 1

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

[ GLPI et OCS pour Gentoo 2006] ArtisanMicro. Alexandre BALMES

Comment surfer tranquille au bureau

SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

Projet Semestre2-1SISR

BTS Services informatiques aux organisations Session E4 Conception et maintenance de solutions informatiques Coefficient 4

Installation d'un serveur sftp avec connexion par login et clé rsa.

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

Un serveur FTP personnel, ça ne vous a jamais dit?

Les réseaux des EPLEFPA. Guide «PfSense»

PPe jaune. Domingues Almeida Nicolas Collin Leo Ferdioui Lamia Sannier Vincent [PPE PROJET FTP]

OpenDNS: Un DNS rapide et utile

LINUX REMPLAÇANT WINDOWS NT

Note : Ce tutoriel a été réalisé sur GNU/Linux (Ubuntu) avec un serveur LAMP installé en local.

TP n 2 : Installation et administration du serveur ProFTP. Partie 1 : Fonctionnement du protocole FTP (pas plus de 15min)

Manuel Utilisateur MISE A JOUR DU CLIENT SOFIE VERS LA VERSION 5. v0.99

DELEGATION ACADEMIQUE AU NUMERIQUE FORMATION ADMINISTRATEUR SCRIBE 2.3 ET CARTABLE EN LIGNE (CEL)

Installer un serveur web de développement avec VirtualBox

Ajout et Configuration d'un nouveau poste pour BackupPC

Squid. Olivier Aubert 1/19

Compte rendu d'activité PTI n 2

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Tutoriel Création d une source Cydia et compilation des packages sous Linux

Installation et configuration de Vulture Lundi 2 février 2009

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

04/02/2014 Tutoriel. Lubuntu & glpi. thomas [NOM DE LA SOCIETE]

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

BTS SIO Dossier BTS. PURCHLA Romain

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

[Serveur de déploiement FOG]

Documentation technique OpenVPN

Ocs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.

Support de cours. Administrer Linux avec Webmin. 2003, Sébastien Namèche - 1

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Installation et configuration d OCS/GLPI sur un Serveur Debian

PLANNING DES ACTIVITES PROFESSIONNELLES

Installation de Zabbix

Sauvegarde automatique des données de GEPI

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Mise en place d un système de Téléphonie sur IP basé sur le logiciel Asterisk

Guide d utilisation. Table des matières. Mutualisé : guide utilisation FileZilla

WGW PBX. Guide de démarrage rapide

Atelier Migration. Mohamadi ZONGO Formateur assistant Kassim ASSIROU Atelier Migration.

Installation d ORACLE 10g sous Debian Etch

NRPE. Objectif. Documentation. Procédures

PPE GESTION PARC INFORMATIQUE

RAPPORT DE STAGE. Lieu : entreprise «Electronic Assistance» Mai-Juin Université Antilles-Guyane. Campus de Fouillole

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

TP réseaux 4 : Installation et configuration d'un serveur Web Apache

Installer un gestionnaire de parc GLPI sous Linux

Titre: Version: Dernière modification: Auteur: Statut: Licence:

Le serveur SLIS - Utilisation de base

SECURIDAY 2013 Cyber War

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

TP Service HTTP Serveur Apache Linux Debian

Création d'un site web avec identification NT

Documentation FOG. Déploiement d images de systèmes d exploitation à travers le réseau.

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

Sauvegarde sous MAC avec serveur Samba

Mise en place d un firewall d entreprise avec PfSense

Architecture de la plateforme SBC

Système Principal (hôte) 2008 Enterprise x64

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Installation Iconito École Numérique 2010 sous Windows WampServer

Transcription:

Serveur proxy Squid3 et SquidGuard 1. Prérequis & installation Une adresse fixe le paquet wget, squid3 et squidguard apt-get install wget squid3 squidguard Il faut ensuite créer les répertoires suivants : mkdir /var/cache/squid/ mkdir /var/lib/squid Donner les droits aux répertoires créés : chmod 700 /var/cache/squid3 chmod 700 /var/lib/squid3 Il faut changer le propriétaire de ces dossiers pour que ce soit le proxy : chown -R proxy /var/cache/squid3 chown -R proxy /var/lib/squid3 Une fois cela fait, on va télécharger l'archive contenant les sites, les URLs à bloquer : wget ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz On déplace ensuite l'archive dans /var/lib/squidguard/ et on le décompresse : mv blacklists.tar.gz /var/lib/squidguard/ cd /var/lib/squidguard/ tar xvf blacklists.tar.gz Très important : on donne aussi les droits à ces dossiers pour le proxy : chown -R proxy /var/lib/squidguard 2. Configuration simple de Squid On va ensuite configurer un Squid tout simple, pour cela fait une une sauvegarde de votre fichier de configuration et créer en un nouveau squid.conf : root@proxy:/var/lib/squidguard# cd /etc/squid3/ root@proxy:/etc/squid3# mv squid.conf squid.conf.save root@proxy:/etc/squid3# touch squid.conf On édite ensuite le fichier : vi squid.conf : Ne pas mettre les commentaires, je les ai mis juste pour expliquer les différentes options du squid.conf. Mettre des commentaires peut faire buguer votre configuration!!

Nous allons maintenant éditer le fichier mot_bannis avec des mots. Ces mots, si ils apparaissent dans une URL, bloqueront alors la page. Ce n'est pas du «blocage» d'url, cela sera fait avec SquidGuard. Vi /var/lib/squid3/mot_bannis On redémarre le service squid3, on renseigne le proxy avec le port défini dans le fichier de configuration dans les options de votre navigateur ou de votre système (sous linux notamment) : puis on teste une page contenant l'un de nos mots interdits : service squid3 restart On teste ensuite avec un client que cela fonctionne :

3. Une configuration un peu plus poussée Nous allons maintenant gérer l'authentification d'utilisateur (avec une méthode simple par contre). Pour cela on va créer un répertoire contenant les utilisateurs : touch /etc/squid3/users Changer bien sûr le propriétaire et changer les droits : chown root:proxy /etc/squid3/users/ chomd 640 /etc/squid3/users Puis pour gérer les mots de passes, nous allons installer le paquet apache2-utils qui permet l'utilisation de la commande htpasswd : apt-get install apache2-utils Maintenant, nous allons créer un mot de passe pour l'utilisateur «test» : htpasswd -m /etc/squid3/users test L'option -m permet de forcer le cryptage du mot de passe (pour plus d informations sur les options de la commande MAN)

Pour tester que tout s'est bien passé utiliser la commande : /usr/lib/squid3/ncsa_auth /etc/squid3/users <login> <mdp> Il faut maintenant ajouter quelques lignes à votre fichier de configuration : vi /etc/squid3/squid.conf http_access deny mots_interdit http_access deny!safe_ports auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours acl ncsa_users proxy_auth REQUIRED http_access allow ncsa_users http_access deny!ncsa_users http_access allow lan http_access deny all Comme vous pouvez le voir, j'ai rajouter les lignes entre deux directives : http_access deny!safe_ports http_access allow lan Cela a son importance : l'ajout de règles se fait selon un certain ordre pour éviter qu'une règle en bloque une autre. Par exemple si j'avais ajouté les règles pour l'authentification après http_access deny all, elles ne seraient jamais appliquées (http_access deny all bloque toutes connexions qui n'ont aucun rapport avec les règles définies avant elle). Les options permettent un maximum de 5 utilisateurs, il va afficher un message pour se connecter et la connexion est ensuite valable pour 2 heures, l'utilisateur devra ensuite se relogguer. On redémarre le proxy puis nous allons de nouveau tester notre nouvelle configuration via un client : service squid3 restart

4. Configuration de SquidGuard SquidGuard est un logiciel qui va bloquer des URLs ou des noms de domaine. Il a deux grands principes de fonctionnement à SquidGuard : On décide de bloquer des sites : une blacklist On décide d'autoriser que certains sites pour lesquels nous savons qu'il n'y aucun problème (par exemple autoriser que des sites gouvernementaux ou de l'éducation national) : une whitelist La configuration pour une whitelist est plus ou moins la même : nous allons renseigner des domaines et des urls dans un fichier et nous autoriserons que l'accès à ces URLs, tout le reste est bloqué. La blacklist étant l'inverse, nous allons bloquons à un tas d'urls (suivant un thème) et on autorise tout le reste. Nous allons configurer SquidGuard pour une blacklist :

mv/etc/squidguard/squidguard.conf /etc/squidguard/squidguard.conf.save root@proxy:/etc/squid3# touch /etc/squidguard/squidguard.conf root@proxy:/etc/squid3# vi /etc/squidguard/squidguard.conf dbhome /var/lib/squidguard/blacklists/ logdir /var/log/squidguard src lan { ip 192.168.0.0/24 dest adult { domainlist dating/domains urllist dating/urls redirect http://www.google.fr/ dest porn { domainlist porn/domains urllist porn/urls redirect http://www.google.fr/ acl { lan { pass!adult!porn all redirect http://www.google.fr/ default { pass none On définit le répertoire de nos blacklists, et notre fichier de log. (2 premières lignes) On définit ensuite les différents objets : les réseaux auxquels on veut appliquer des règles, les sites à bloquer. Puis via les acl nous définissons pour chaque réseau les règles de navigation. Par exemple pour le LAN, les sites de rencontre sont bloqués (!adult), sites à caractère pornographique aussi (!porn) puis nous autorisons le reste (all) L'option redirect permet de définir une page de redirection (ici www.google.com) Il faut maintenant activer la liste des sites interdits : squidguard -C all Cela peut être long. Une fois cela fini, nous allons ajouter à la configuration de Squid une ligne pour que SquidGuard soit utilisé par squid : redirect_program /usr/bin/squidguard -c /etc/squidguard/squidguard.conf

On redémarre, et on teste avec un client une URL présente dans les acl (dans mon cas meetic.com par exemple) : Qui devrait renvoyer vers Il se peut qu'il y ait un problème de droit pendant le redémarrage de Squid/SquidGuard, aller voir vos logs /var/log/squidguard/squidguard.log et si c'est bien un problème de droits, taper alors ces deux commandes : chown -R proxy /var/lib/squidguard/db chown -R proxy /var/libsquidguard/blacklists Pour aller un peu plus loin : Si vous vouliez définir une whitelist, il aurait fallu créer les fichiers domains et urls dans un dossier /var/lib/squidguard/blacklists/white (Par exemple), y mettre les urls et les noms de domaine qui sont autorisés puis créer une configuration de ce genre : dbhome /var/lib/squidguard/blacklists/ logdir /var/log/squidguard

src lan { ip 192.168.0.0/24 dest whitelist { domainlist white/domains urllist white/urls acl { lan { pass whitelist none redirect http://www.google.fr/ default { pass none

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back