Serveur PROXY : Squid et Squiguard

Serveur PROXY :
Squid et Squiguard
1
Un serveur proxy est un serveur mandataire, filtrant et cachant, ayant pour fonction de servir
d’intermédiaire entre les ordinateurs du réseau local et Internet.
1/Installation du paquet Squid3 et squidGuard :
2/Attribution des droits à l'utilisateur proxy :
L'utilisateur proxy du groupe proxy sera le contrôleur des processus squid3. Il faut
donc qu'il dispose de tous les droits sur les répertoires créés (et à venir), d'où la nécessité
d'appliquer la commande suivante :
# chown -R proxy:proxy /etc/squid3
# chown -R proxy:proxy /etc/squidguard
On vérifie par un ls -al que l'utilisateur proxy a bien les droits sur le répertoire /etc/squid3/
On effectue les mêmes vérifications sur le répertoire /etc/squidguard/
3/ Création du répertoire de cache de squid et attribution des droits:
Il faut créer le répertoire de cache de squid dans /var/cache/ puis donner les droits à
l'utilisateur proxy sur ce répertoire :
# mkdir -R /var/cache/squid3
# chown -R proxy:proxy /var/cache/squid3
On vérifie par un ls -al que les droits ont bien été attribués à l'utilisateur proxy sur le
répertoire /var/cache/squid3 :
3/Configuration de squid3 :
Pour cela, il faut éditer le fichier squid.conf, après en avoir fait une sauvegarde bien
évidemment. Voici la première partie de notre fichier de configuration contenant les
paramètres généraux tels que le port d'écoute, la taille du cache, les répertoires de logs... :
2
Puis viennent les ACL - restrictions d'accès :
3
4/ Configuration de squidGuard :
On commence par donner les droits à l'utilisateur proxy sur /var/lib/squidguard :
#chown -R proxy:proxy /var/lib/squidguard
et l'on vérifie l'attribution des droits par un ls -al dans le répertoire /var/lib/:
Il faut maintenant télécharger la blacklist en version compressée à l'adresse suivante :
https://dsi.ut-capitole.fr/blacklists/.
Décompresser l'archive dans le répertoire /var/lib/squidguard/ et on copie le contenu
du répertoire blacklist dans le répertoire /var/lib/squidguard/db/
Il faut maintenant éditer le fichier /etc/squidguard/squidGuard.conf pour activer le
blocage des sites.
Voici un extrait de notre fichier de configuration (fichier complet en annexe 1)
4
On lance la commande squidGuard -C all pour faciliter l'indexation des bases de données de
squidGuard et on vérifie dans les logs que tout s'est bien déroulé : on devrait avoir une
dernière ligne de log précisant "squidGuard ready for requests":
Il faut à présent redémarrer Squid3 et vérifier dans les logs pour voir si tout fonctionne
correctement :
5/Configuration du pare-feu
Il faut désormais paramétrer notre pare-feu pour que toutes les requêtes Web passent par le
Proxy. On se connecte à l'interface de gestion d'IPECOP (interface LAN, verte) en tapant
dans la barre du navigateur l'URL : http://172.16.255.1:8443
Nous allons créer plusieurs règles de pare-feu de trafic en sortie :
- trafic http et https autorisé pour le Proxy
- trafic http et https interdit pour le vlan 10 et pour le vlan 50
5
Cliquer sur Pare-feu, puis "règles du pare-feu".
Cliquer sur "Trafic en sotie" et compléter les champs suivants :
Interface par défaut : VERT
Format d'adresse : IP Adresse Source : 172.16.15.5 (IP du Proxy)
Port source utilisé : 80
Destination :
Trafic en sortie
Interface par défaut : ROUGE
Réseau par défaut : Any
Service utilisé : http
Additionnel :
Règle activée : case à cocher
Action de la règle : ACCEPTER
Remarque : permet de préciser ce que fait la règle
6
Enfin, cliquer sur suivant :
Enfin cliquer sur "Enregistrer".
On crée une règle à l'identique pour le trafic https du Proxy.
Il faut encore interdire les trafics http et https pour le vlan 10 et le vlan 50 (wifi).
Cliquer sur "trafic en sortie" et créer un règle comme ci-dessous :
Cliquer sur enregistrer et reproduire la même règle pour le trafic https.
7
Il ne reste plus qu'à recopier ces 2 règles pour le vlan 50 en changeant simplement l'IP
réseau source. , à savoir 172.17.16.0 (notre vlan 50).
6/Test du filtrage
On teste avec un navigateur que le blocage est effectif en tapant l'URL http://www.google.fr
Il ne reste plus qu'à configurer les navigateurs web des hôtes du réseau pour que le
trafic web soit redirigé vers le Proxy.
On teste alors le blocage des sites interdits :
8
ANNEXE 1 : fichier de configuration de squidGuard .
Nous avons ici ajouté des commentaires expliquant chacune des règles de filtrage.
dbhome /var/lib/squidguard/db/
logdir /var/log/squidguard
# répertoire de stockage de la blacklist
# répertoire des logs
dest adult {
domainlist
urllist
expressionlist
}
adult/domains
# restriction des sites classés X
adult/urls
adult/very_restrictive_expression
dest drugs {
domainlist
urllist
}
drugs/domains
drugs/urls
# restrictions des sites de drogues
redirector/domains
# restrictions des sites de redirections par
dest redirector {
domainlist
proxy
urllist
}
redirector/urls
dest warez {
domainlist
urllist
}
warez/domains
warez/urls
# restrictions sites de téléchargement
dest audio-video {
domainlist
urllist
}
audio-video/domains
audio-video/urls
# restrictions sites audio-videos
dest games {
domainlist
urllist
}
games/domains
games/urls
# restrictions des sites de jeux
dest gambling {
domainlist
urllist
}
gambling/domains
gambling/urls
# restrictions des sites de jeux argents
src landata{
ip 172.16.15.0/24
}
#définition du réseau landata sur lequel
#les restrictions s'appliqueront.
src lanwifi{
ip 172.17.16.0/24
}
#définition du réseau landwifi sur lequel
# les restrictions s'appliqueront
acl {
tout
# les hôtes du réseau landata ont accès à
# tout sauf aux sites précédemment listés
landata {
pass
!adult !games !gambling !drugs !redirector !warez !audio-video any
redirect http://www.booktic9.lan/proxy
# si connexion => redirection
}
# vers la page d'erreur
lanwifi {
pass
# mêmes règles que pour le landata
!adult !games !gambling !drugs !redirector !warez !audio-video any
redirect http://www.booktic9.lan/proxy
}
default {
# par défaut tous les hôtes qui ne
9