Installation et Configuration de Squid et SquidGuard sous Debian 7



Documents pareils
PROXY SQUID-SQARD. procédure

Serveur Mandataire SQUID

Proxy SQUID sous Debian

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Serveur proxy Squid3 et SquidGuard

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA.

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

Comment surfer tranquille au bureau

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

Mise en place d un serveur Proxy sous Ubuntu / Debian

Sécurité du Système d Information. Authentification centralisée et SSO

Mise en place d un proxy Squid avec authentification Active Directory

Installation d'un service mandataire (Proxy SQUID) 1

Linux sécurité des réseaux

SQUID Configuration et administration d un proxy

Administration Linux - Proxy

Squid. Olivier Aubert 1/19

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http.

Proxy et reverse proxy. Serveurs mandataires et relais inverses

SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Configuration d un réseau local

MANUEL D INSTALLATION D UN PROXY

Squid/SquidGuard.

Configurer Squid comme serveur proxy

12 - Configuration de SquidGuard - De base.doc. A) Sous /etc/squid/squid.conf

Formation Iptables : Correction TP

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Le filtrage de niveau IP

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Les réseaux des EPLEFPA. Guide «PfSense»

Sécurisation des communications

FILTRAGE de PAQUETS NetFilter

Plate-forme d'accès Protégé à l'internet sous linux ****** PAPINUX ******

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Linux Firewalling - IPTABLES

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT

Procédure d'installation

OCS Inventory & GLPI

Installation d'un serveur sftp avec connexion par login et clé rsa.

GLPI OCS Inventory. 1. Prérequis Installer un serveur LAMP : apt-get install apache2 php5 libapache2-mod-php5 apt-get install mysql-server php5-mysql

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Sécurité des réseaux Firewalls

pare - feu généralités et iptables

Installation de Zabbix

CONFIGURATION FIREWALL

PLANNING DES ACTIVITES PROFESSIONNELLES

Mise en place d un firewall d entreprise avec PfSense

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Serveur de messagerie sous Debian 5.0

Administration réseau Firewall

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

MISE EN PLACE DU FIREWALL SHOREWALL

Installation et configuration d OCS/GLPI sur un Serveur Debian

Atelier Migration. Mohamadi ZONGO Formateur assistant Kassim ASSIROU Atelier Migration.

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

HowTo Installer egroupware 1.2 sur SME Serveur 7.0

BTS Services informatiques aux organisations Session E4 Conception et maintenance de solutions informatiques Coefficient 4

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

Installation de Snort sous Fedora

SECURIDAY 2013 Cyber War

L installation a quelque peu changée depuis les derniers tutos, voici une actualisation.

Sauvegarde automatique des données de GEPI

Annexes. OpenVPN. Installation

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Gestion d identités PSL Exploitation IdP Authentic

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

IPCOP 1.4.x. Mise en œuvre du Pare Feu. Des Addons

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Linux et le Shell. Francois BAYART. Atelier du samedi 20 Novembre

Iptables. Table of Contents

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Installation d'un serveur FTP géré par une base de données MySQL

Mise en place d un serveur DNS sous linux (Debian 6)

Projet Semestre2-1SISR

ADF Reverse Proxy. Thierry DOSTES

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

[ GLPI et OCS pour Gentoo 2006] ArtisanMicro. Alexandre BALMES

L ECM. Un exemple avec Alfresco. Paul HAING IR3 Le Jeudi 18 Janvier 2011

Projet Système & Réseau

Installation d un superviseur ZABBIX

NRPE. Objectif. Documentation. Procédures

Installation GLPI-OCSNG-SSL Linux Debian Sarge

INSTALLATION DEBIAN. Installation par le réseau

04/02/2014 Tutoriel. Lubuntu & glpi. thomas [NOM DE LA SOCIETE]

Administration Réseaux

TP SECU NAT ARS IRT ( CORRECTION )

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Installer et configurer un serveur Zimbra

acpro SEN TR firewall IPTABLES

Ocs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.

Transcription:

Installation et Configuration de Squid et SquidGuard sous Debian 7 Table des matières Installation et Configuration de Squid et SquidGuard...1 Squid...2 squid.conf...2 SquidGuard...4 squidguard.conf...4 Blacklists...5

Squid Tout d abord commencer par exécuter ces deux commandes : # apt-get update # apt-get upgrade Maintenant installer Squid : # apt-get install squid3 Il faut sauvegarder le fichier de configuration de base de squid avant de l éditer : # cp /etc/squid3/squid.conf /etc/squid3/squid.conf.old Il faut enlever les lignes vides et lignes de commentaires : # cat squid.conf.old egrep -v -e '^[[:blank:]]*# ^$' > squid.conf Maintenant éditer le fichier squid.conf : # nano /etc/squid3/squid.conf squid.conf acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/ \?) 0 0% 0 refresh_pattern.

Il faut ensuite définir les acl et les autoriser afin que le proxy soit accessible depuis votre réseau local qui sera filtré : acl LAN src 192.168.29.0/24 acl admin src 192.168.29.1 acl blockdomain dstdomain.facebook.com.nba.fr acl blockregex url_regex jeu http_access allow admin http_access deny blockdomain http_access deny blockregex http_access allow LAN acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports http_access allow localhost http_access deny all http_port 3128 transparent coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/ \?) 0 0% 0 refresh_pattern. 0 20% 4320 logformat squid %tl.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt cache_dir ufs /var/spool/squid3 1024 256 256 cache_mem 128 MB maximum_object_size 15 MB J ai donc rajouté les acl suivantes : LAN : définit le réseau local Admin : définit l adresse IP du poste admin Blockdomain : définit les noms de domaines bloqués

Blockregex : définit les sites contenant «jeu» dans leur url Egalement rajouter «transparent» à la fin de la ligne http_port 3128 Ensuite il faut définir les accès http, les bloquer ou les autoriser ; c est à vous de mettre ce que vous voulez afin de bloquer ce qui vous semble nécessaire. Et nous terminons sur la définition des logs et des caches afin de perfectionner les réglages de squid. SquidGuard Pour commencer installer squidguard : # apt-get install squidguard Ensuite il faut enlever les lignes en commentaires qui sont dans le fichier de configuration de squidguard : # cat /etc/squidguard/squidguard.conf.default egrep -v -e '^[[:blank:]]*# ^$' > /etc/squidguard/squidguard.conf squidguard.conf dbhome /var/lib/squidguard/db logdir /var/log/squidguard time workhours { weekly mtwhf 08:00-16:30 date *-*-01 08:00-16:30 src admin { ip 1.2.3.4 1.2.3.5 user root foo bar within workhours src foo-clients { ip 172.16.2.32-172.16.2.100 172.16.2.100 172.16.2.200 src bar-clients { ip 172.16.4.0/26 dest good { dest local { dest porn { acl { admin { pass any foo-clients within workhours { pass good!in-addr!porn any

else { pass any bar-clients { pass local none default { pass local none redirect http://admin.foo.bar.de/cgibin/blocked.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t &url=%u Blacklists Il nous faut maintenant télécharger les blacklists : # mkdir /var/lib/squidguard/db/blacklists # cd /var/lib/squidguard/db/blacklists Nous allons prendre les blacklists de l université de Toulouse. # wget ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/audiovideo.tar.gz # tar xvzf audio-video.tar.gz # rm audio-video.tar.gz Voilà maintenant que les blacklists sont décompressées ; nous pouvons passer à la configuration de squidguard. Il faut maintenant rajouter à squid la ligne qui lui permet d invoquer squidguard à la fin du fichier squid.conf : url_rewrite_program /usr/bin/squidguard -C /etc/squidguard/squidguard.conf Il faut redémarrer squid : # service squid3 restart Il faut ensuite donner les droits d utilisation de ce dossier à l utilisateur proxy : # chown -R proxy:proxy blacklists/ Maintenant il faut générer les bases Berckley : # su proxy

# squidguard -C all d Nous pouvons voir que les bases ont été correctement générées : Ainsi ces fichier générés en «.db» sont visibles dans /var/lib/squidguard/db/blacklists/audiovideo/domains.db et urls.db Voilà squidguard est maintenant opérationnel, il ne reste plus qu à mettre en place la partie proxy http transparent : # nano /etc/squid3/squid.conf Il faut modifier la ligne contenant http_port 3128 pour y rajouter transparent à la fin. http_port 3128 transparent Maintenant on peut enlever les paramètres de proxy côté clients, pour cela aller dans Options Internet/Connexion/Paramètres Réseaux et décocher l utilisation d un proxy.

Sauf que si vous avez testé comme ça, les pages web ne vont pas s afficher ou elles ne vont pas être filtrées. C est tout à fait normal car il n y a pas encore de redirection dans le pare-feu du port 80 vers le port 3128, ce qui fait que les paquets passent ou non selon les paramètres du pare-feu mis en place précédemment. Redirection du flux http (80) vers le port du proxy 3128 : iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j REDIRECT --to-port 3128 Maintenant les postes sont obligés dans un premier temps à passer par le proxy.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back