Configuration proxy Squid / SquidGuard

Configuration proxy Squid / SquidGuard - Logiciels - Windows & Software

Marsh Posté le 28-04-2017 à 21:51:02    

:hello:
 
Je comptais utiliser mon rapsberry pi actuellement sous Raspbian pour mettre en place un proxy local afin de limiter les accès Web aux ordinateurs de mes enfants.
 
Pour cela, j'ai installé le couple Squid3 / SquidGuard (qui me semblait être un bon ensemble).
 
Seulement voilà, j'avais l'impression que cela fonctionnait bien (en tout cas, les premiers tests me l'on montrait) mais désormais, rien à faire. Les sites adultes ne sont pas bloqués, les horaires pour Youtubes ne sont pas respectés :(
 
Du coup, je me dis que j'ai loupé quelque chose dans la config de squidGuard alors si quelqu'un peut jeter un œil dessus, les voici ci-après.
 
:jap:
 
 

Code :
  1. cat /etc/squid3/squid.conf
  2. acl SSL_ports port 443
  3. acl Safe_ports port 80          # http
  4. acl Safe_ports port 21          # ftp
  5. acl Safe_ports port 443         # https
  6. acl Safe_ports port 70          # gopher
  7. acl Safe_ports port 210         # wais
  8. acl Safe_ports port 1025-65535  # unregistered ports
  9. acl Safe_ports port 280         # http-mgmt
  10. acl Safe_ports port 488         # gss-http
  11. acl Safe_ports port 591         # filemaker
  12. acl Safe_ports port 777         # multiling http
  13. acl CONNECT method CONNECT
  15. acl LocalNet src 192.168.0.0/24
  18. http_access deny !Safe_ports
  19. http_access deny CONNECT !SSL_ports
  20. http_access allow localhost manager
  21. http_access deny manager
  22. http_access allow localhost
  23. http_access allow LocalNet
  24. http_access deny all
  26. http_port 3128
  27. coredump_dir /var/spool/squid3
  28. refresh_pattern ^ftp:           1440    20%     10080
  29. refresh_pattern ^gopher:        1440    0%      1440
  30. refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
  31. refresh_pattern .               0       20%     4320
  33. url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf


 

Code :
  1. # cat /etc/squid3/squidGuard.conf
  2. # CONFIG FILE FOR SQUIDGUARD
  3. #
  4. # Caution: do NOT use comments inside { }
  5. #
  7. dbhome /var/lib/squidguard/db
  8. logdir /var/log/squidguard
  10. #
  11. # TIME RULES:
  12. # abbrev for weekdays:
  13. # s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
  15. time workhours {
  16.         weekly mtwhf 08:00 - 16:30
  17.         date *-*-01  08:00 - 16:30
  18. }
  20. time youtubehours {
  21.         weekly mtwhf 19:30 - 20:30
  22.         weekly as 10:30 - 12:30
  23.         weekly as 17:30 - 21:00
  24. }
  26. #
  27. # SOURCE ADDRESSES:
  28. #
  30. src parents {
  31.         ip 192.168.0.27  192.168.0.14
  32. }
  34. src enfants {
  35.         ip 192.168.0.16 192.168.0.17
  36. }
  38. #
  39. # DESTINATION CLASSES:
  40. #
  41. # [see also in file dest-snippet.txt]
  43. dest audiovideo {
  44.         domainlist audio-video/domains
  45.         urllist audio-video/urls
  46. }
  48. dest porn {
  49.         domainlist porn/domains
  50.         urllist porn/urls
  51.         log pornaccesses
  52. }
  54. #
  55. # ACL RULES:
  56. #
  58. acl {
  59.         parents {
  60.                 pass !porn all
  61.         }
  62.         enfants within youtubehours {
  63.                 pass !porn all
  64.                 # redirect http://localhost/block.html
  65.         } else {
  66.                 pass !porn !audiovideo all
  67.         }
  68.         default {
  69.                 pass all
  70.                 # redirect http://localhost/block.html
  71.         }
  72. }


 
En gros :

  • Je bloque le porn aux ordis enfants et parents (ici, j'ai rajouté le blocage aux ordis parents pour faire les tests depuis mon poste) avec log dans pornaccess
  • Je règle des horaires pour les urls audios-videos (youtubehours) pour rejeter l'accès aux sites audiovideos en dehors de ces heures
  • Tous les autres ordis ont tous les droits


Evidemment, j'ai réglé le proxy des postes concernés sur le rpi, port 3128 (si le proxy est arrêté, je n'ai plus d'accès au Net sur ces postes).
 
Au démarrage du service squid3, j'ai les logs suivantes dans squidguard :

Code :
  1. 2017-04-28 21:42:37 [4678] INFO: New setting: dbhome: /var/lib/squidguard/db
  2. 2017-04-28 21:42:37 [4678] INFO: New setting: logdir: /var/log/squidguard
  3. 2017-04-28 21:42:37 [4678] init domainlist /var/lib/squidguard/db/audio-video/domains
  4. 2017-04-28 21:42:37 [4678] INFO: loading dbfile /var/lib/squidguard/db/audio-video/domains.db
  5. 2017-04-28 21:42:37 [4678] init urllist /var/lib/squidguard/db/audio-video/urls
  6. 2017-04-28 21:42:37 [4678] INFO: loading dbfile /var/lib/squidguard/db/audio-video/urls.db
  7. 2017-04-28 21:42:37 [4678] init domainlist /var/lib/squidguard/db/porn/domains
  8. 2017-04-28 21:42:37 [4678] INFO: loading dbfile /var/lib/squidguard/db/porn/domains.db
  9. 2017-04-28 21:42:37 [4678] init urllist /var/lib/squidguard/db/porn/urls
  10. 2017-04-28 21:42:37 [4678] INFO: loading dbfile /var/lib/squidguard/db/porn/urls.db
  11. 2017-04-28 21:42:37 [4678] INFO: squidGuard 1.5 started (1493408557.026)
  12. 2017-04-28 21:42:37 [4678] INFO: squidGuard ready for requests (1493408557.074)
  13. 2017-04-28 21:43:03 [4679] INFO: New setting: dbhome: /var/lib/squidguard/db
  14. 2017-04-28 21:43:03 [4679] INFO: New setting: logdir: /var/log/squidguard
  15. 2017-04-28 21:43:03 [4679] init domainlist /var/lib/squidguard/db/audio-video/domains
  16. 2017-04-28 21:43:03 [4679] INFO: loading dbfile /var/lib/squidguard/db/audio-video/domains.db
  17. 2017-04-28 21:43:03 [4679] init urllist /var/lib/squidguard/db/audio-video/urls
  18. 2017-04-28 21:43:03 [4679] INFO: loading dbfile /var/lib/squidguard/db/audio-video/urls.db
  19. 2017-04-28 21:43:03 [4679] init domainlist /var/lib/squidguard/db/porn/domains
  20. 2017-04-28 21:43:03 [4679] INFO: loading dbfile /var/lib/squidguard/db/porn/domains.db
  21. 2017-04-28 21:43:03 [4679] init urllist /var/lib/squidguard/db/porn/urls
  22. 2017-04-28 21:43:03 [4679] INFO: loading dbfile /var/lib/squidguard/db/porn/urls.db
  23. 2017-04-28 21:43:03 [4679] INFO: squidGuard 1.5 started (1493408583.172)
  24. 2017-04-28 21:43:03 [4680] INFO: New setting: dbhome: /var/lib/squidguard/db
  25. 2017-04-28 21:43:03 [4679] INFO: squidGuard ready for requests (1493408583.294)
  26. 2017-04-28 21:43:03 [4680] INFO: New setting: logdir: /var/log/squidguard
  27. 2017-04-28 21:43:03 [4680] init domainlist /var/lib/squidguard/db/audio-video/domains
  28. 2017-04-28 21:43:03 [4680] INFO: loading dbfile /var/lib/squidguard/db/audio-video/domains.db
  29. 2017-04-28 21:43:03 [4680] init urllist /var/lib/squidguard/db/audio-video/urls
  30. 2017-04-28 21:43:03 [4680] INFO: loading dbfile /var/lib/squidguard/db/audio-video/urls.db
  31. 2017-04-28 21:43:03 [4680] init domainlist /var/lib/squidguard/db/porn/domains
  32. 2017-04-28 21:43:03 [4680] INFO: loading dbfile /var/lib/squidguard/db/porn/domains.db
  33. 2017-04-28 21:43:03 [4680] init urllist /var/lib/squidguard/db/porn/urls
  34. 2017-04-28 21:43:03 [4680] INFO: loading dbfile /var/lib/squidguard/db/porn/urls.db
  35. 2017-04-28 21:43:03 [4680] INFO: squidGuard 1.5 started (1493408583.284)
  36. 2017-04-28 21:43:03 [4680] INFO: squidGuard ready for requests (1493408583.387)
  37. 2017-04-28 21:43:03 [4681] INFO: New setting: dbhome: /var/lib/squidguard/db
  38. 2017-04-28 21:43:03 [4681] INFO: New setting: logdir: /var/log/squidguard
  39. 2017-04-28 21:43:03 [4681] init domainlist /var/lib/squidguard/db/audio-video/domains
  40. 2017-04-28 21:43:03 [4681] INFO: loading dbfile /var/lib/squidguard/db/audio-video/domains.db
  41. 2017-04-28 21:43:03 [4681] init urllist /var/lib/squidguard/db/audio-video/urls
  42. 2017-04-28 21:43:03 [4681] INFO: loading dbfile /var/lib/squidguard/db/audio-video/urls.db
  43. 2017-04-28 21:43:03 [4681] init domainlist /var/lib/squidguard/db/porn/domains
  44. 2017-04-28 21:43:03 [4681] INFO: loading dbfile /var/lib/squidguard/db/porn/domains.db
  45. 2017-04-28 21:43:03 [4681] init urllist /var/lib/squidguard/db/porn/urls
  46. 2017-04-28 21:43:03 [4681] INFO: loading dbfile /var/lib/squidguard/db/porn/urls.db
  47. 2017-04-28 21:43:03 [4681] INFO: squidGuard 1.5 started (1493408583.404)
  48. 2017-04-28 21:43:03 [4681] INFO: squidGuard ready for requests (1493408583.484)
  49. 2017-04-28 21:43:04 [4682] INFO: New setting: dbhome: /var/lib/squidguard/db
  50. 2017-04-28 21:43:04 [4682] INFO: New setting: logdir: /var/log/squidguard
  51. 2017-04-28 21:43:04 [4682] init domainlist /var/lib/squidguard/db/audio-video/domains
  52. 2017-04-28 21:43:04 [4682] INFO: loading dbfile /var/lib/squidguard/db/audio-video/domains.db
  53. 2017-04-28 21:43:04 [4682] init urllist /var/lib/squidguard/db/audio-video/urls
  54. 2017-04-28 21:43:04 [4682] INFO: loading dbfile /var/lib/squidguard/db/audio-video/urls.db
  55. 2017-04-28 21:43:04 [4682] init domainlist /var/lib/squidguard/db/porn/domains
  56. 2017-04-28 21:43:04 [4682] INFO: loading dbfile /var/lib/squidguard/db/porn/domains.db
  57. 2017-04-28 21:43:04 [4682] init urllist /var/lib/squidguard/db/porn/urls
  58. 2017-04-28 21:43:04 [4682] INFO: loading dbfile /var/lib/squidguard/db/porn/urls.db
  59. 2017-04-28 21:43:04 [4682] INFO: squidGuard 1.5 started (1493408584.305)
  60. 2017-04-28 21:43:04 [4682] INFO: squidGuard ready for requests (1493408584.378)


 
et enfin dans le fichier access.log de squid3, je peux trouver les logs à youporn par exemple :

Code :
  1. 1493406771.367   4025 192.168.0.16 TCP_MISS/200 61411 CONNECT www.youporn.com:443 - HIER_DIRECT/31.192.120.44 -


 
 
Merci d'avance de votre aide.


Message édité par jay31790 le 28-04-2017 à 21:53:38

---------------
Achats/Ventes
Reply

Marsh Posté le 28-04-2017 à 21:51:02   

Reply

Marsh Posté le 28-04-2017 à 22:01:53    

au niveau professionnel, je boss avec Bluecoat (racheté recement pas Symantec), ils ont un programme K9 gratuit pour une utilisation personnel .
 
ils ont une tres bonne database des site web


---------------
#mais-chut
Reply

Marsh Posté le 28-04-2017 à 22:11:06    

Salut
 
Cet outil semble être un soft à installer unitairement sur tous les PC à protéger et gérer les règles individuellement.
 
La solution Squid/Squidguard me permet de centraliser la gestion de la protection de navigation ce qui est pour moi un plus.
 
Je peux faire cela depuis mon PC perso à l'heure que je veux sans avoir à passer par les différents postes de la maison.
 
Mais merci de ta proposition
 
:jap:

Message cité 1 fois

---------------
Achats/Ventes
Reply

Marsh Posté le 28-04-2017 à 22:26:08    

jay31790 a écrit :

Salut
 
Cet outil semble être un soft à installer unitairement sur tous les PC à protéger et gérer les règles individuellement.
 
La solution Squid/Squidguard me permet de centraliser la gestion de la protection de navigation ce qui est pour moi un plus.
 
Je peux faire cela depuis mon PC perso à l'heure que je veux sans avoir à passer par les différents postes de la maison.
 
Mais merci de ta proposition
 
:jap:


En effet, c'est une solution par PC.
 
leur produits "proxy" est par contre ,hors budget pour un particulier ^^


---------------
#mais-chut
Reply

Marsh Posté le 02-05-2017 à 09:31:23    

[:undertaker666]  
 
Personne n'utilise Squid / Squidguard ici :??:


---------------
Achats/Ventes
Reply

Marsh Posté le 22-05-2017 à 10:10:30    

Bonjour Jay.
 
Mauvaise configuration de tes zones "clientes" , cela devrait ressembler à cela.
 

Code :
  1. src bornes
  2.         {
  3.         ip 10.5.2.1
  4.         ip 10.5.2.10
  5.         ip 10.5.1.161
  6.         ip 10.2.35.1-10.2.35.3
  7.         }

Reply

Marsh Posté le 22-05-2017 à 10:20:34    

:hello:
 
Merci de ton message, je vais essayer de checker cela ce soir en rentrant.
Je m'étais basé sur un tuto qui mettait les adresses sur une même ligne.
 
Je viendrai faire un retour dès que j'aurai testé cela.
 
:jap:


---------------
Achats/Ventes
Reply

Marsh Posté le 23-05-2017 à 22:10:09    

Bon ben je viens de tester et j'ai toujours pas de blocages :

Code :
  1. src parents {
  2.         ip 192.168.0.27
  3. }
  5. src enfants {
  6.         ip 192.168.0.17
  7.         ip 192.168.0.14
  8.         ip 192.168.0.15
  9. }
  10. #
  11. # DESTINATION CLASSES:
  12. #
  13. dest audiovideo {
  14.         domainlist audio-video/domains
  15.         urllist audio-video/urls
  16. }
  18. dest porn {
  19.         domainlist porn/domains
  20.         urllist porn/urls
  21.         log pornaccesses
  22. }
  24. #
  25. # ACL RULES:
  26. #
  28. acl {
  29.         parents {
  30.                 pass !porn all
  31.         }
  32.         enfants within youtubehours {
  33.                 pass !porn all
  34.                 # redirect http://localhost/block.html
  35.         } else {
  36.                 pass !porn !audiovideo all
  37.         }
  38.         default {
  39.                 pass all
  40.                 # redirect http://localhost/block.html
  41.         }
  42. }


 
Je n'ai toujours pas de blocages sur les sites porn ni sur une ip parents (xx.27) ni sur une ip enfant (xx.15) :(


---------------
Achats/Ventes
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed