Configuration avancée de Squid

Configuration avancée de Squid - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-02-2003 à 13:26:22    

Salut !
Pour un reseau d'entreprise, je cherches à filtrer l'accès internet, à savoir :
-2 types d'utilisateurs : restreints et illimités.
L'utilisateur restreint n'a accès qu'a une liste de sites definis par des patterns (*.gouv.fr, *.truc.com, etc)
L'utilisateur "normal" doit avoir accès à tous les sites.
le proxy est configuré sur une machine linux indépendante (Squid Cache: Version 2.4.STABLE3) sur le port 3128.
Je voudrais soit : faire une identification par username/password, soit faire un tri (mettons que le port 3128 soit débridé et le port 8080 bridé), soit par IP, ca c'est pas le problème. le problème etant que j'ai jamais reussi à faire un filtrage "dédié" à certains utilisateurs, ca me filtrait toujours tous les utilisateurs, ou alors personne :)
J'ai donc mis en attendant un soft sur un serveur nt, qui filtre puis qui redirige sur le serveur linux, mais ca ne me satisfait pas franchement (je voudrais tout faire avec squid)
Si quelqu'un a des pistes à me donner...
merci ! :)


---------------
Aménager un camping car poids lourd dans un bus / car / camion  - Boinc pour faire bosser votre pc
Reply

Marsh Posté le 12-02-2003 à 13:26:22   

Reply

Marsh Posté le 12-02-2003 à 13:36:11    

Tu ajoute une authentification utilisateur dans la conf de suqid
Pour cela il faut que tu t appuies sur un module d'autehntification
le module ncsa est le module de base et s'appuie sur les fichiers générer avec la commande htpasswd
Tu peux aussi utiliser des modiles qui s'appuie sur un service tiers comme une bse MySQL, un servuer LDAP ou un contoleur de domaine.
Je l ai deja fait avec ces 4 modules cela marche tres bien.
 
Apres selon l'authentification tu peux faire des acces liste pour géréer des droits.
C'est les acl et ca marche tres bien.
 
Voili

Reply

Marsh Posté le 12-02-2003 à 13:41:41    

justement ;)
acl GOOD dstdomain .gouv.fr
tout ca, pas de problème, ca filtre
Le problème est que ca filtre tout le monde !
Or je ne voudrais filtrer que certains users...
tu peux me faire une tite demo en mettant que les ip de 192.168.0.1 à 192.168.0.10 soient "libres" et au dessus filtrées stp ?


---------------
Aménager un camping car poids lourd dans un bus / car / camion  - Boinc pour faire bosser votre pc
Reply

Marsh Posté le 12-02-2003 à 13:53:46    

MarcP a écrit :

justement ;)
acl GOOD dstdomain .gouv.fr
tout ca, pas de problème, ca filtre
Le problème est que ca filtre tout le monde !
Or je ne voudrais filtrer que certains users...
tu peux me faire une tite demo en mettant que les ip de 192.168.0.1 à 192.168.0.10 soient "libres" et au dessus filtrées stp ?
 


 
Ca donnerai qques chose comme ca (mais on peut faire bcq mieux avec des groupes et plus de combinaison)
J'ai fait un exemple avec 2 ip.
Faut laisser les autres regles de protocoles aussi.
 
acl all src 0.0.0.0/0.0.0.0
 
acl GOOD dstdomain .gouv.fr
acl add_ip src 192.168.0.1/255.255.255.255
acl add_ip1 src 192.168.0.2/255.255.255.255
 
http_access allow add_ip
http_access allow add_ip1
 
http_access allow !add_ip GOOD
http_access allow !add_ip1 GOOD
 
http_access deny all
 
######################################"
 
acltype peut prendre comme valeur :
 
src (pour la source) : indication de l'adresse IP du client sous la forme adresse/masque. On peut aussi donner une plage d'adresse sous la forme adresse_IP_debut-adresse_IP_fin
 
dst (pour la destination) : idem que pour src, mais on vise l'adresse IP de l'ordinateur cible.
 
srcdomain : Le domaine du client.
 
 
 
 
dstdomain : Le domaine de destination.
 
url_regex : Une chaîne contenue dans l'URL  (on peut utiliser les jokers).
 
urlpath_regex : Une chaîne comparée avec le chemin de l'URL (on peut utiliser les jokers).
 
proto : Pour le protocole.

Reply

Marsh Posté le 12-02-2003 à 13:59:44    

:jap:
donc pour limiter ip1 et laisser libre ip, je fais :
acl all src 0.0.0.0/0.0.0.0
 
acl GOOD dstdomain .gouv.fr
acl TOUT url_regex *
acl add_ip src 192.168.0.1/255.255.255.255
acl add_ip1 src 192.168.0.2/255.255.255.255
 
http_access allow add_ip
http_access allow add_ip1
 
http_access allow !add_ip TOUT  
http_access allow !add_ip1 GOOD
 
http_access deny all  
 
?  
:jap: merci :)


---------------
Aménager un camping car poids lourd dans un bus / car / camion  - Boinc pour faire bosser votre pc
Reply

Marsh Posté le 12-02-2003 à 14:03:27    

MarcP a écrit :

:jap:
donc pour limiter ip1 et laisser libre ip, je fais :
acl all src 0.0.0.0/0.0.0.0
 
acl GOOD dstdomain .gouv.fr
acl TOUT url_regex *
acl add_ip src 192.168.0.1/255.255.255.255
acl add_ip1 src 192.168.0.2/255.255.255.255
 
http_access allow add_ip
http_access allow add_ip1
 
http_access allow !add_ip TOUT  
http_access allow !add_ip1 GOOD
 
http_access deny all  
 
?  
:jap: merci :)


 
Quand tu met un ! devant un objet ca equivaut a NOT donc l inverse
 
Apres quand tu met derriere http_access plusieurs objets a la suite c considéré comme des et logique pour que la condition soit respecté.
 
limiter ip1 et laisser libre ip
 
acl GOOD dstdomain .gouv.fr
acl add_ip src 192.168.0.1/255.255.255.255
acl add_ip1 src 192.168.0.2/255.255.255.255
 
http_access allow add_ip
http_access allow add_ip1 GOOD
 
http_access deny all  
 

Reply

Marsh Posté le 12-02-2003 à 14:06:25    

:jap: merci je vais tester ca :)


---------------
Aménager un camping car poids lourd dans un bus / car / camion  - Boinc pour faire bosser votre pc
Reply

Marsh Posté le 21-02-2003 à 15:15:42    

Tu pourrais utiliser squidguard.
Il permet de se baser sur des blacklists et sur le nom d'utilisateu (necessite une authentification genre ncsa, bien quand les utilisateurs se loguent à partir de n'importe quels pc) ou sur l'adresse ip, c'est selon ce que tu veux.
Ce qui est plus facile que de se baser sur des acl que tu écris à chaque fois.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed