wikinotes

Outils pour utilisateurs

Outils du site

Piste : 580_package htaccess 140_versioning_paquets notes_install_ubuntu_2404_lts pulseaudio expression-rationnelle montage traefik selection-symboles-utf8 220_securiser_utilisation_api
netadmin:filtrage-web-squidguard

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
netadmin:filtrage-web-squidguard [2017/12/29 14:15] – créée yoannnetadmin:filtrage-web-squidguard [2024/07/07 10:17] (Version actuelle) yoann
Ligne 3: Ligne 3:
 ====== Filtrage du web avec SquidGuard ====== ====== Filtrage du web avec SquidGuard ======
  
-===== Installation du proxy =====+Squidguard est un plugin de filtrage d'URL à associer au programme squid. Il faut installer et paramétrer le proxy squid en premier lieu. La procédure est détaillé dans le wiki [[netadmin:proxy:squid:installer-squid3]].
  
-Squidguard est un plugin de filtrage d'URL à associer au programme squid. Il faut installer et paramétrer le proxy squid en premier lieu. 
- 
-<code bash> 
-$ sudo apt-get install squid 
-</code> 
- 
-===== Configuration de squid ===== 
- 
-Editer le fichier **/etc/squid3/squid.conf** 
- 
-On définit ci-dessous un réseau local **lan** auquel on donnera le droit d’accès. 
-<file> 
-acl lan src 192.168.0.0/24 
-</file> 
- 
-Avant la directive d'interdiction globale, autoriser le réseau **lan** précédemment déclaré 
-   
-<file> 
-http_access allow lan 
-http_access deny all 
-</file> 
- 
-===== Contrôle du service ===== 
- 
-Le démarrage/arrêt/redémarrage dus service squid ce fait via la commande **service**: 
- 
-<code> 
-$ sudo service squid3 restart 
-</code> 
- 
-Pour prendre en compte les modifications du fichier de configuration sans arrêter le service: 
- 
-<code bash> 
-$ sudo squid3 -k reconfigure 
-</code> 
  
 ===== Filtrage ===== ===== Filtrage =====
Ligne 77: Ligne 42:
 </file> </file>
  
-Lorsque une ressource destination non autorisée est demandée, la directive **redirect** est utilisée par squiGuard. Des fichiers cgi d'exemples sont disponibles sous **/usr/share/doc/squidguard/examples**. Pour servir ces fichiers cgi, un serveur web doit être installé/fonctionnel. Pour ces modestes besoins lighttpd a été installé.+Lorsque une ressource destination non autorisée est demandée, la directive **redirect** est utilisée par squiGuard. On peut alors rediriger la requête vers une page statique ou dynamique en spécifiant des variables.  Des fichiers cgi d'exemples sont disponibles sous **/usr/share/doc/squidguard/examples**. Pour servir ces fichiers cgi, un serveur web doit être installé/fonctionnel. Pour ces modestes besoins lighttpd a été installé. 
 + 
 +Ci dessous les variables disponibles lors de la redirection: 
 + 
 +^ %a | Adresse IP du client. 
 +^ %i | Identifiant utilsateur (RFC931, LDAP or mySQL) ou "unknown" 
 +^ %n | nom de domaine du client ou "unknown"
 +^ %p | URI de la requête | 
 +^ %s | source group du client ou "unknown"
 +^ %t | target group: la destination évaluée or "unknown". | 
 +^ %u | URL    |  
  
-  
-  
 ===== Script de mise à jour des listes ===== ===== Script de mise à jour des listes =====
  
Ligne 89: Ligne 63:
  
  
-===== Rendre le proxy transparent ===== 
- 
-Le mode transparent permet de filtrer les postes clients sans configuration spécifique coté client. Il a cependant ces limites notamment avec **https**. Le filtrage transparent ne fonctionnera pas pour tous les sites en https qui considéreront une  attaque "man in the middle". Pour que cela fonctionne, des règles de NAT devront autoriser systématiquement le flux https et donc rendre le filtrage inopérant.  
- 
-==== Configurer squid ==== 
- 
-Activer le mode transparent en modifiant le fichier de configuration de squid3: 
- 
-<file> 
-http_port 3128 transparent  
-</file> 
- 
-Modifier la configuration du système pour autoriser le routage de paquets. La procédure est décrite dans le wiki [[netadmin:linux:activer-routage]]. 
- 
- 
-==== Règles iptables ==== 
- 
-Dans les règles présentées ci-dessous: 
-  * **lan** est le nom de l'interface écoutant sur le LAN 
-  * **wan** est le nom de l'interface reliée à Internet 
-  * **192.168.0.254** est l'adresse sur le LAN du serveur 
- 
- 
-Règles de bypass du flux https 
- 
-<code bash> 
-iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-iptables -t filter -A FORWARD -i lan -p tcp --dport 443 -j ACCEPT 
-iptables -t nat -A POSTROUTING -o wan -j SNAT --to-source 192.168.0.254 
-</code> 
- 
-Règle de NAT rendant squid transparent: 
-<code> 
-iptables -t nat -A PREROUTING -i lan -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254:3128 
-iptables -t nat -A PREROUTING -i wan -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-</code> 
  
 ===== Configuration des clients ===== ===== Configuration des clients =====
Ligne 160: Ligne 98:
   * http://stackoverflow.com/questions/2601400/squidiptables-how-do-i-allow-https-to-pass-through-and-bypassing-squid   * http://stackoverflow.com/questions/2601400/squidiptables-how-do-i-allow-https-to-pass-through-and-bypassing-squid
   * http://www.pihomeserver.fr/2015/09/01/un-controle-parental-grace-au-raspberry-pi-squid-et-squidguard/   * http://www.pihomeserver.fr/2015/09/01/un-controle-parental-grace-au-raspberry-pi-squid-et-squidguard/
 +  * http://squidguard.org/Doc/redirect.html
 +  * https://dsi.ut-capitole.fr/documentations/cache/squidguard.html
 +  * https://memo-linux.com/installer-un-proxy-squid-et-un-filtrage-avec-squidguard-sous-debian/
netadmin/filtrage-web-squidguard.1514556932.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki