Présentation

Squid est un proxy, un serveur proxy a plusieurs rôles qui sont :

– Serveur Mandataire ( Centralise les demandes d’accès web et fait la demande à notre place)
– Serveur Cache ( Garde en mémoire une page qu’il a déjà charger, pour toute nouvelle demande il peut directement répondre)
– Serveur filtrant (Permet de filtrer et interdire des sites Web)

Contexte

Installation de Squid

On ne perd pas nos bonnes habitudes, nous commençons par un « apt-get update« . Comme tous paquets Squid s’installe avec un « apt-get install squid« 
Site officiel de Squid : http://www.squid-cache.org/

Configuration de Squid

Les fichiers de configuration de Squid se trouvent dans  » /etc/squid/ » , celui qui nous intéresse est squid.conf qui fait ~8000 lignes, Parmi toutes ces lignes il y a 3/4 qui ne sont que des commentaires.
Nous allons faire un copie de ce fichier en squid.conf.old car ces commentaires peuvent être utile pour créer de nouveau réglage.
Sur le squid.conf nous allons supprimer tout les commentaires avec la commande sed.

La première ligne va retirer tous les commentaires du fichier squid.conf et le rediriger dans un fichier nommé squid.conf.temp
La deuxième ligne va retirer les lignes vides du fichier squid.conf.temp dans notre fichier squid.conf.

Nous ouvrons notre fichier squid.conf qui n’a plus que des lignes de configuration.

Dans mon centre de formation, il y a un déjà proxy. Nous allons donc indiquer à mon squid qu’il a un proxy parent avec les lignes.

De base Squid bloque tous les accès avec la ligne  » http_access deny all« , Nous allons autoriser seulement notre réseau en créant une ACL (Access Control List) .

Nous avons créé les lignes  » acl lan src 172.19.3.0/24  » et  » http_access allow lan « 

Nous avons autorisé notre réseaux , nous pouvons naviguer mais rien n’est bloqué. pour le filtrage nous allons utiliser SquidGuard.

Présentation de SquidGuard

SquidGuard est un logiciel complémentaire à Squid qui permet de gérer le filtrage avec des bases de données qu’il a créé à partir d’une blacklist.

Installation de SquidGuard

SquidGuard est dans les dépôts, on peux donc l’installer avec  » apt-get install squidguard  » , nous allons aussi télécharger une blacklist avec la commande  » wget http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz «  #blacklist de l’université de toulouse.

Une blacklist est une liste de nom de domaine, urls, et ip qui seront bloqué par le proxy.
Il existe plein de blacklist, vous pouvez prendre celle qui vous convient le mieux.

Configuration de SquidGuard

Le fichier de configuration se trouve dans  » /etc/squidguard » et est nommé « SquidGuard.conf ».
Nous allons définir deux réseaux , celui de l’admin et celui des clients.

Nous allons déterminer les catégories qu’on interdit à savoir games,porn et adult.

Nous créons nos ACL qui autorisera ou interdira selon le réseaux qu’on a déclarer précédemment.


Le ! devant porn , adult et games signifie interdit. Si un utilisateur du réseau localnet tombe sur un site interdit,
il sera redirigé automatiquement sur  un site héberger en local sur notre serveur web.

Création des bases de données

Nous allons décompresser la blacklist dans le répertoire  » /var/lib/squidguard/db  » avec la commande  » tar xvf  »
Nous allons changer le propriétaire de l’arborescence suivante  » /var/lib/squidguard  » avec la commande  » chown -R proxy:proxy /var/lib/squidguard« .
Nous vérifions avec un «  ls -l  » que le propriétaire a bien changé.

Dans mon exemple je n’ai extrait de l’archive que « adult,games et porn »

Nous allons générer les bases de données à partir de ces répertoire avec la commande  » squidGuard – C all » les majuscule sont important.
Nous allons aussi ouvrir les logs dans un autre terminal avec la commande  » tail -f /var/log/squidguard/squidguard.log « 

Cela peut prendre du temps selon le nombre de catégories que vous voulez bloquer , ou si il y a un problème mais nous pouvons voire cela dans les logs ci-dessous
Nous voyons que tous s’est bien passée , je n’ai pas remplie les catégorie good et local , donc il n’a pas créer de base de donnée pour ces catégories.
Mais il a bien crée les catégories adult,porn et games

Il va avoir générer dans chaque répertoire de catégories bloqué un domain.db et un url.db , il les a générer en tant que root , il faut donc changer le propriétaire pour que l’utilisateur proxy ai le droit d’y accéder.
Nous rentrons dans les répertoires et lançons la commande  » chown proxy:proxy * » qui a pour effet de changer de propriétaire à tous les fichiers présent dans le répertoire.

Les propriétaires ont bien été changés.

Reconfiguration du fichier squid.conf

On a plusieurs changements à effectuer dans le fichier  » /etc/squid/squid.conf  » , tel que rajouter la ligne :
«  url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf  » cela permet de rediriger les requêtes reçu a squidGuard.
A cause du serveur proxy de mon centre je doit rajouter les lignes suivante pour gérer la redirection :
 » acl localsrv dstdomain 172.16.3.239 « 
 » always_direct allow localsrv «