Mise en place de Squid avec Squidguard

Introduction:

Dans ce tutoriel nous allons voir comment mettre en place un proxy Squid avec filtrage d'url grâce a Squidguard un plugin permettant de filtrer les URL avec de multiples options.Pour cela j'utilise Vmware Player avec une Ubuntu 12,04 installé.

Tout d'abord il faut être en mode root sur la machine pour cela ouvrez un terminal et faite:

sudo su -

Taper votre mot de passe et le prompt devrait se trouver comme ceci:

root@votre_machine:~#

Ensuite télécharger le paquet squid:

apt-get install squid3

Une fois installé faites un copie de votre squid.conf d'origine ( ceci est le fichier de configuration de Squid)

cp /etc/squid3/squid.conf /etc/squid3/squid.conf.bak

Ensuite editer le fichier squid.conf, nous allons faire le ménage pour le rendre bien plus lisible étant donné qu'il contient beaucoup de possibilité qui ne nous sont pas utile pour ce tuto:

gedit /etc/squid3/squid.conf

Joffrey Vanhaverbeke

Effacer tout ce qu'il y'a dans ce fichier et y mettre ceci

#port utilisé par Squidhttp_port 3128 cache_dir ufs /var/spool/squid3 1024 256 256# Les journaux de Squidcache_access_log /var/log/squid3/access.log commoncache_log /var/log/squid3/cache.logcache_store_log /var/log/squid3/store.logcache_swap_log /var/log/squid3/cache_swap.logemulate_httpd_log on# Configuration minimum recommandéeacl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # ports non réservésacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECT# Définition des réseaux, les adresses ip seront à mettre en fonction de la#configuration de votre réseauacl mon_reseaueth src 192.168.1.0/255.255.255.0acl mon_reseauwifi src 192.168.2.0/255.255.255.0# Définition des accès# autorise le groupe mon_reseaueth, mon_reseauwifi précédemment crééshttp_access allow mon_reseauethhttp_access allow mon_reseauwifihttp_access deny all# La redirection sur SquidGuard pour le contrôle à commenter si vous n'utilisez pas SquidGuardredirect_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.confredirect_children 5# On renseigne le nom de machine qui fait serveurvisible_hostname votre_machine

Enregister, une fois les modifications effectuées, le fichier Squid.conf.Faire un restart de Squid pour que les changements soit pris en compte:

/etc/init.d/squid3 restart

Nous avons donc à présent le proxy d'installé cependant pour le filtrage nous devons installé SquidGuard ( vous devez être toujours en mode root pour effectuer ce qui suit).

apt-get install squidguard

Ensuite on se place donc dans le dossiers /var/lib/squidguard/db/cd /var/lib/squidguard/db/

On récupère la blacklist grâce a cette commandewget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Joffrey Vanhaverbeke

On des-archive le fichier et on génère les bases de listes noires.tar xzf blacklists.tar.gzchown -R proxy:proxy blacklistsln -s /etc/squid/squidGuard.conf /etc/squid3/squidGuard.confsu proxysquidGuard -d -c /etc/squid3/squidGuard.conf -C all

SquidGuard étant prévu pour fonctionner avec une ancienne version de squid on établi un lien symbolique du squidguard.conf dans le dossier squid/ avec un squidguard.conf dans le dossier squid3/ grâce a la commande ln -s

Une fois tout ceci faites une copie de votre squidguard.conf d'origine.

cp /etc/squid/SquidGuard.conf /etc/squid/SquidGuard.conf.bak

Et éditer le fichier SquidGuard.conf nous allons faire le ménage pour le rendre bien plus lisible étant donné qu'il contient beaucoup de possibilité qui ne nous sont pas utile pour ce tuto:

gedit /etc/squid3/SquidGuard.conf

Effacer tout ce qu'il y'a dans ce fichier et y mettre ceci:

## CONFIG FILE FOR SQUIDGUARD#

dbhome /var/lib/squidguard/db/blacklistslogdir /var/log/squid3## TIME RULES:# Jour de la semaine:# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat# Du 24 au 25 décembre de 21h00 à 5h00 ok pour touttime JoursSpecifique {date *.12.24 21:00 - 00:00date *.12.25 00:00 - 05:00}# on peut par exemple définir des horaires de travail avec les jours concernéstime workhours {weekly mtwhf 08:30 - 19:00}#on indique ici les différents groupes que l'on veut proposer(remplacer les ip#par les paramètres de votre réseau)src admin {ip 192.168.1.235}src PDG {ip 192.168.1.11}src workers {ip 192.168.1.0/24}src all {ip 192.168.2.0/24}dest adulte {# Sites adultes à proscrireurllist adult/urlsdomainlist adult/domainsexpressionlist adult/very_restrictive_expression

Joffrey Vanhaverbeke

}dest drogues {# Sites drogues à proscrireurllist drugs/urlsdomainlist drugs/domains}dest phishing {# Site de phishingurllist phishing/urlsdomainlist phishing/domains}dest marchands_de_guerre {# Marchands d'armesurllist marketingware/urlsdomainlist marketingware/domains}rewrite test {s@fuck@ooops@irs@blonde@ooops@irs@Hot@ooops@irs@sex@ooops@irs@porns@ooops@irs@bikini@ooops@ir}acl {admin {pass any}PDG {pass any}workers within workhours {pass !adulte !drogues !phishing !marchands_de_guerre any#redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%uredirect http://debian/interdit.html}all {pass !adulte !drogues !phishing !marchands_de_guerre any#redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%uredirect http://debian/interdit.html}all within JoursSpecifique {pass any#redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%uredirect http://debian/interdit.html}default {pass none#redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%uredirect http://debian/interdit.html}}

Enregister le fichier et relancer Squid3:

/etc/init.d/squid3 restart

Faites un test avec une machine cliente (la premiere connexion peut être longue)

Joffrey Vanhaverbeke