Serveur PROXY : Squid et Squiguard
Transcription
Serveur PROXY : Squid et Squiguard
Serveur PROXY : Squid et Squiguard 1 Un serveur proxy est un serveur mandataire, filtrant et cachant, ayant pour fonction de servir d’intermédiaire entre les ordinateurs du réseau local et Internet. 1/Installation du paquet Squid3 et squidGuard : 2/Attribution des droits à l'utilisateur proxy : L'utilisateur proxy du groupe proxy sera le contrôleur des processus squid3. Il faut donc qu'il dispose de tous les droits sur les répertoires créés (et à venir), d'où la nécessité d'appliquer la commande suivante : # chown -R proxy:proxy /etc/squid3 # chown -R proxy:proxy /etc/squidguard On vérifie par un ls -al que l'utilisateur proxy a bien les droits sur le répertoire /etc/squid3/ On effectue les mêmes vérifications sur le répertoire /etc/squidguard/ 3/ Création du répertoire de cache de squid et attribution des droits: Il faut créer le répertoire de cache de squid dans /var/cache/ puis donner les droits à l'utilisateur proxy sur ce répertoire : # mkdir -R /var/cache/squid3 # chown -R proxy:proxy /var/cache/squid3 On vérifie par un ls -al que les droits ont bien été attribués à l'utilisateur proxy sur le répertoire /var/cache/squid3 : 3/Configuration de squid3 : Pour cela, il faut éditer le fichier squid.conf, après en avoir fait une sauvegarde bien évidemment. Voici la première partie de notre fichier de configuration contenant les paramètres généraux tels que le port d'écoute, la taille du cache, les répertoires de logs... : 2 Puis viennent les ACL - restrictions d'accès : 3 4/ Configuration de squidGuard : On commence par donner les droits à l'utilisateur proxy sur /var/lib/squidguard : #chown -R proxy:proxy /var/lib/squidguard et l'on vérifie l'attribution des droits par un ls -al dans le répertoire /var/lib/: Il faut maintenant télécharger la blacklist en version compressée à l'adresse suivante : https://dsi.ut-capitole.fr/blacklists/. Décompresser l'archive dans le répertoire /var/lib/squidguard/ et on copie le contenu du répertoire blacklist dans le répertoire /var/lib/squidguard/db/ Il faut maintenant éditer le fichier /etc/squidguard/squidGuard.conf pour activer le blocage des sites. Voici un extrait de notre fichier de configuration (fichier complet en annexe 1) 4 On lance la commande squidGuard -C all pour faciliter l'indexation des bases de données de squidGuard et on vérifie dans les logs que tout s'est bien déroulé : on devrait avoir une dernière ligne de log précisant "squidGuard ready for requests": Il faut à présent redémarrer Squid3 et vérifier dans les logs pour voir si tout fonctionne correctement : 5/Configuration du pare-feu Il faut désormais paramétrer notre pare-feu pour que toutes les requêtes Web passent par le Proxy. On se connecte à l'interface de gestion d'IPECOP (interface LAN, verte) en tapant dans la barre du navigateur l'URL : http://172.16.255.1:8443 Nous allons créer plusieurs règles de pare-feu de trafic en sortie : - trafic http et https autorisé pour le Proxy - trafic http et https interdit pour le vlan 10 et pour le vlan 50 5 Cliquer sur Pare-feu, puis "règles du pare-feu". Cliquer sur "Trafic en sotie" et compléter les champs suivants : Interface par défaut : VERT Format d'adresse : IP Adresse Source : 172.16.15.5 (IP du Proxy) Port source utilisé : 80 Destination : Trafic en sortie Interface par défaut : ROUGE Réseau par défaut : Any Service utilisé : http Additionnel : Règle activée : case à cocher Action de la règle : ACCEPTER Remarque : permet de préciser ce que fait la règle 6 Enfin, cliquer sur suivant : Enfin cliquer sur "Enregistrer". On crée une règle à l'identique pour le trafic https du Proxy. Il faut encore interdire les trafics http et https pour le vlan 10 et le vlan 50 (wifi). Cliquer sur "trafic en sortie" et créer un règle comme ci-dessous : Cliquer sur enregistrer et reproduire la même règle pour le trafic https. 7 Il ne reste plus qu'à recopier ces 2 règles pour le vlan 50 en changeant simplement l'IP réseau source. , à savoir 172.17.16.0 (notre vlan 50). 6/Test du filtrage On teste avec un navigateur que le blocage est effectif en tapant l'URL http://www.google.fr Il ne reste plus qu'à configurer les navigateurs web des hôtes du réseau pour que le trafic web soit redirigé vers le Proxy. On teste alors le blocage des sites interdits : 8 ANNEXE 1 : fichier de configuration de squidGuard . Nous avons ici ajouté des commentaires expliquant chacune des règles de filtrage. dbhome /var/lib/squidguard/db/ logdir /var/log/squidguard # répertoire de stockage de la blacklist # répertoire des logs dest adult { domainlist urllist expressionlist } adult/domains # restriction des sites classés X adult/urls adult/very_restrictive_expression dest drugs { domainlist urllist } drugs/domains drugs/urls # restrictions des sites de drogues redirector/domains # restrictions des sites de redirections par dest redirector { domainlist proxy urllist } redirector/urls dest warez { domainlist urllist } warez/domains warez/urls # restrictions sites de téléchargement dest audio-video { domainlist urllist } audio-video/domains audio-video/urls # restrictions sites audio-videos dest games { domainlist urllist } games/domains games/urls # restrictions des sites de jeux dest gambling { domainlist urllist } gambling/domains gambling/urls # restrictions des sites de jeux argents src landata{ ip 172.16.15.0/24 } #définition du réseau landata sur lequel #les restrictions s'appliqueront. src lanwifi{ ip 172.17.16.0/24 } #définition du réseau landwifi sur lequel # les restrictions s'appliqueront acl { tout # les hôtes du réseau landata ont accès à # tout sauf aux sites précédemment listés landata { pass !adult !games !gambling !drugs !redirector !warez !audio-video any redirect http://www.booktic9.lan/proxy # si connexion => redirection } # vers la page d'erreur lanwifi { pass # mêmes règles que pour le landata !adult !games !gambling !drugs !redirector !warez !audio-video any redirect http://www.booktic9.lan/proxy } default { # par défaut tous les hôtes qui ne 9