Page N 1 sur 13 La configuration de Squid se fait sous /etc/squid/squid.conf A) Par défaut Par défaut tous les réseaux sont interdits de navigation sur le web : B) Accès pour notre réseau Pour la partie Recommended minimum configuration ajouter la ligne acl LANLEG src 192.168.1.0/24 LANLEG est juste un nom d acl, vous pouvez donner le nom de votre choix. Ainsi que plus bas la ligne http_access allow LANLEG pour autoriser le réseau LANLEG à aller sur internet
Page N 2 sur 13 Test sur le poste Client passant par le Proxy: C) Restriction horaires EXEMPLE : Accès internet interdit le samedi et dimanche ainsi que tous les jours de : 22h à 6h30 Pour la partie Recommended minimum configuration ajouter les lignes acl HORAIRES time A-S acl HORAIRES time 0:00-6:30 acl HORAIRES time 22:00-23:59 # Samedi et Dimanche # de 0h00 a 6h30 # de 22h00 a 23h59
Page N 3 sur 13 Ainsi que plus bas la ligne http_access deny HORAIRES pour interdire les horaires indiqués ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG sinon les horaires ne seront pas pris en compte. Test sur le poste Client passant par le Proxy à 22h13 : OK
Page N 4 sur 13 Créer un fichier exts sous /etc/squid/ D) Blocage des extensions Renseigner dans celui ci la liste des extensions à bloquer : en minuscule et majuscule Pour la partie Recommended minimum configuration ajouter les lignes acl EXTS urlpath_regex "/etc/squid/exts" # Extensions Ainsi que plus bas la ligne http_access deny EXTS pour interdire les extensions ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG sinon LANLEG pourra voir ces extensions.
Page N 5 sur 13 Test sur le poste Client passant par le Proxy voulant visualiser un fichier.exe : OK Ne bloque pas l installation active x flash
Page N 6 sur 13 E) Accès aux administrateurs Pour la partie Recommended minimum configuration ajouter la ligne acl ADMIN src 192.168.1.150 # IP poste Mael Le Clech Nous pouvons ajoutez plusieurs adresses. acl ADMIN src 192.168.1.152 # IP poste admin 2 Ainsi que plus bas la ligne http_access allow ADMIN pour autoriser les IP ADMIN ATTENTION bien mettre cette ligne avant toutes les autres pour ne pas être bloqué par aucunes restrictions Test sur le poste Client ADMIN passant par le Proxy à 22h56 : OK
Page N 7 sur 13 F) Donner accès au téléchargement à un client Pour la partie Recommended minimum configuration ajouter la ligne # Pour les postes qui ont besoin de télécharger acl DOWNLOAD src 192.168.1.131 # PC du RH Nous pouvons ajoutez plusieurs adresses. acl DOWNLOAD src 192.168.1.136 # IP poste 2 Ainsi que plus bas la ligne http_access allow DOWNLOAD pour autoriser les IP définies à télécharger sans être bloquées par les extensions mais toujours avec une restriction Horaire. ATTENTION il va falloir apporter une modification à l ordre des http_access comme suit : http_access allow ADMIN http_access deny HORAIRES http_access allow DOWNLOAD http_access deny EXTS http_access allow LANLEG Car si nous avions mis le DOWNLOAD avant HORAIRES il n y aurait pas eu de tranches HORAIRES d accès interdit http_access allow ADMIN http_access allow DOWNLOAD http_access deny EXTS http_access deny HORAIRES http_access allow LANLEG Test sur le poste Client RH d un téléchargement :
Page N 8 sur 13 G) Pour interdire l accès internet à un poste Exemple pour interdire l accès internet d un poste Pour la partie Recommended minimum configuration ajouter la ligne acl LANLEGDENY src 192.68.1.12 # Pas d acces internet Ainsi que plus bas la ligne http_access deny LANLEGDENY pour interdire l accès internet du poste définit par l acl LANLEGDENY ATTENTION il faut mettre cette http_access en tête pour être sur de bloquer l IP quelque soit les autres paramètres Test sur le poste Client :
Page N 9 sur 13 H) Changer la langue des messages d erreurs Par défaut la langue des messages d erreur est l anglais Pour mettre la langue en français ajouter cette ligne : error_directory /usr/share/squid/errors/french Test sur le poste Client : Si vous avez besoin de personnaliser ces pages allez sous /usr/share/squid/errors/french
Page N 10 sur 13 I) Erreur Windows Update Après avoir installé le Squid vous pouvez rencontrer des problèmes lors de l accès au site Windows Update de Microsoft. On arrive sur le site Microsoft et la recherche de mise à jour prend des heures et ne marche pas. Le problème vient d un BUG de Windows référencé chez Microsoft. a) Utilisation de refresh_pattern : La directive refresh_pattern permet de fixer les variables correspondante à l'algorithme de gestion du rafraichissement. Ajoutez les lignes suivantes : Si vous ne trouver pas l emplacement faites une recherche sur refresh_pattern dans le fichier # Pour les mises a jour windows update etc refresh_pattern http://.*\.windowsupdate\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://office\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://windowsupdate\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://w?xpsp[0-9]\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://w2ksp[0-9]\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://download\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://download\.macromedia\.com/ 4320 80% 43200
Page N 11 sur 13 b) Autoriser les sites Windows Update à ne pas subir le filtrage SQUID (extensions ) et à être utilisé sans authentification Pour la partie Recommended minimum configuration ajouter les lignes # Pour la mise à jour Windows Update acl WINDOWS dstdomain.windowsupdate.com.update.microsoft.com always_direct allow WINDOWS http_access allow WINDOWS Test sur le poste Client :
Page N 12 sur 13 c) Pour les mises à jour automatiques XP - 2000 Si vous utilisez les mises à jour automatiques il va vous falloir configurer PROXYCFG sous Windows Pour cela, ouvrez sur le Windows une fenêtre Dos Tapez proxycfg, ici vous remarquez que l accès est en direct Pour ajoutez votre proxy tapez proxycfg p 192.168.1.160 :3128 Si besoin d annulation tapez proxycfg d comme direct Si besoin d ajouter une exception exemple *.vlf.fr tapez proxycfg p 192.168.1.160 :3128 *.vlf.fr Attention, cette configuration de proxy ne sait pas faire d authentification. Se qui implique sur le squid de mettre une acl sans authentification pour les sites de Windowsupdate. C est aussi pour cela que nous avons ajouté dans le fichier squid.conf ceci : acl microsoftupd dstdomain.microsoft.com.windowsupdate.com http_access allow microsoftupd Sur Windows 2000 - Pas de proxycfg de base Copiez dans C :\winnt\system32 le fichier proxycfg.exe récupéré sur un Windows XP et suivre le même procédure que XP.
Page N 13 sur 13 J) Autoriser à toutes machines les mises à jour utiles Exemple pour la mise à jour Office, Java, Acrobat, VirusScan, Flash Player Pour la partie Recommended minimum configuration ajouter les lignes # Pour la mise a jour OFFICE acl OFFICE dstdomain.office.microsoft.com http_access allow OFFICE # Pour la mise a jour JAVA acl JAVA dstdomain.java.com.sun.com http_access allow JAVA # Pour la mise a jour ACROBAT ADOBE acl ADOBE dstdomain.swupdl.adobe.com.ardownload.adobe.com http_access allow ADOBE # Pour la mise a jour VIRUS SCAN acl NAI dstdomain.update.nai.com http_access allow NAI # Pour la mise a jour FLASH PLAYER acl FP dstdomain.fpdownload.macromedia.com http_access allow FP