Squid & Squidguard

Squid & Squidguard - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 04-05-2011 à 15:38:04    

Bonjour,  
 
Je suis en dernière année d'une école d'informatique en Suisse. J'ai un projet a rendre pour la fin de mes études qui est installer un serveur avec un proxy Squid & Squidguard.
 
j'ai un serveur sous OpenSuse 11.4 avec 2 cartes réseaux une en ligne direct sur le net en DHCP et l'autre en local avec une ip fixe, ma carte réseau en local est relié à un client qui est aussi sous Opensuse mais en 11.2
 
J'ai installer Squid il tourne... j'ai installer de même squidguard qui marche aussi. j'ai configurer Squid.conf -->

Spoiler :

# WELCOME TO SQUID 2.7.STABLE6
# ----------------------------
#
#Recommended minimum configuration:
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# RFC1918 possible internal network
# RFC1918 possible internal network
# RFC1918 possible internal network
#
# http
# ftp
# https
# gopher
# wais
# unregistered ports
# http-mgmt
# gss-http
# filemaker
# multiling http
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache
acl multipostes src 192.168.0.3-192.168.0.10/255.255.255.
acl admin src 192.168.0.2/255.255.255.000
 
# Apache to signal ETag correctly on such responses
broken_vary_encoding allow apache
 
# err, warning, notice, info, debug.
access_log /var/log/squid/access.log squid
 
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
# Deny requests to unknown ports
# Deny CONNECT to other than SSL ports
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
# And finally deny all other access to this proxy
http_access allow multipostes
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access allow all
http_access allow admin
 
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
 
# Squid normally listens to port 3128
http_port 3128
 
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
 
# cache_mem 8 MB
cache_mem 8 MB
 
# memory_replacement_policy lru
memory_replacement_policy lru
 
# cache_replacement_policy lru
cache_replacement_policy lru
 
# cache_dir ufs /var/cache/squid 100 16 256
cache_dir ufs /var/cache/squid 100 16 256
 
# minimum_object_size 0 KB
minimum_object_size 0 KB
 
# maximum_object_size 4096 KB
maximum_object_size 4096 KB
 
# cache_log /var/log/squid/cache.log
cache_log /var/log/squid/cache.log
 
# cache_store_log /var/log/squid/store.log
cache_store_log /var/log/squid/store.log
 
# emulate_httpd_log off
emulate_httpd_log off
 
# ftp_passive on
ftp_passive on
 
url_rewrite_program /usr/sbin/squidGuard -C /etc/squid/squidguard.conf
 
# url_rewrite_children 5
url_rewrite_children 10
 
#Suggested default:
refresh_pattern ^ftp: 1440 20 10080
refresh_pattern ^gopher: 1440 0 1440
refresh_pattern -i  (/cgi-bin/|\?) 0 0 0
refresh_pattern . 0 20 4320
 
# Don't upgrade ShoutCast responses to HTTP
upgrade_http0.9 deny shoutcast
 
# connect_timeout 1 minute
connect_timeout 2 minutes
 
# client_lifetime 1 day
client_lifetime 1 days
 
# cache_mgr webmaster
cache_mgr webmaster
 
# error_directory /usr/share/squid/errors/English
error_directory /usr/share/squid/errors/English
 
# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid
 
#Default:
# windows_ipaddrchangemonitor on
 
cache_swap_high 95
 
cache_swap_low 90


 
et je de même configurer squidGuard.conf -->

Spoiler :

dbhome /var/lib/squidGuard/db/blacklists
logdir /var/log/squidGuard
 
#------------------------------------------------------------------------------------------
 
#Sources
 
src admin {
   ip 192.168.0.2   #adresse ip admin
}
 
src multipostes {
   ip 192.168.0.3-192.168.0.10  #adresse ip des utilisateurs
}
 
#-------------------------------------------------------------------------------------------
 
#destination
 
dest drogue {
     urllist drogue/urls
     domainlist drogue/domains
}
 
#-------------------------------------------------------------------------------------------
 
acl {
     admin {
   pass all
    }
 
     multipostes {
   pass !drogue all
   redirect http://www.google.com
    }
 
    default{
   pass !drogue all
   redirect http://www.google.com
    }
}
 
#--------------------------------------------------------------------------------------------

 
 
Le problème c'est que rien ne marche impossible de bloquer les sites de mes blackslists !!


---------------
étudiant en informatique
Reply

Marsh Posté le 04-05-2011 à 15:38:04   

Reply

Marsh Posté le 04-05-2011 à 15:48:13    

Tes navigateurs clients sont bien configurés pour fonctionner avec le proxy ?

Reply

Marsh Posté le 04-05-2011 à 15:50:20    

Oui j'ai mes 2 navigateurs que sa soit sur le serveur ou le client sont configurés avec le port 3128

Reply

Marsh Posté le 04-05-2011 à 15:52:20    

Est-ce que il y a une commande pour savoir si mon squid et mon squidguard communique ??

Reply

Marsh Posté le 04-05-2011 à 16:23:12    

Tu as bien tapé cette commande "squidGuard -C all" ?

Reply

Marsh Posté le 04-05-2011 à 16:35:58    

Cette commande pour ? générer les listes ??

Reply

Marsh Posté le 04-05-2011 à 17:13:21    

Oui.
Tu es sur de passer par ton proxy ? tu le vois dans les logs ?


Message édité par roondar le 04-05-2011 à 17:14:10
Reply

Marsh Posté le 05-05-2011 à 08:20:32    

Dans mon fichier access.log j'ai ce genre de requêtes -->  
 
1304520967.571     56 192.168.0.3 TCP_MISS/200 495 GET http://www.google-analytics.com/__utm.gif? - DIRECT/209.85.147.102 image/gif
1304520967.791    268 192.168.0.3 TCP_MISS/200 11564 GET http://www.yojax.com/site/cannabis - DIRECT/213.189.27.180 text/html
1304520967.890    370 192.168.0.3 TCP_MISS/200 4185 GET http://zap.to/banners/adframe.shtml - DIRECT/64.152.34.204 text/html
1304520967.912     58 192.168.0.3 TCP_MISS/200 495 GET http://www.google-analytics.com/__utm.gif? - DIRECT/209.85.147.102 image/gif
1304520968.304    364 192.168.0.3 TCP_MISS/200 3085 GET http://zap.to/js/sidtracker.js - DIRECT/64.152.34.204 application/javascript
1304520968.377     75 192.168.0.3 TCP_MISS/200 530 GET http://l.addthiscdn.com/live/t00/200lo.gif? - DIRECT/2.19.69.115 image/gif
1304520968.413    114 192.168.0.3 TCP_MISS/200 729 GET http://ds.addthis.com/red/psi/site [...] om/p.json? - DIRECT/2.19.76.20 text/javascript
1304520968.582     91 192.168.0.3 TCP_MISS/200 2626 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/74.125.232.122 text/html
1304520971.131    245 192.168.0.3 TCP_MISS/200 299 GET http://zap.to/adtracking.html? - DIRECT/64.152.34.204 text/html
1304520971.195    112 192.168.0.3 TCP_MISS/302 802 GET http://www.google.com/search? - DIRECT/74.125.77.104 text/html
1304520971.453    255 192.168.0.3 TCP_MISS/200 15512 GET http://www.google.ch/search? - DIRECT/74.125.77.99 text/html
1304520972.223    144 192.168.0.3 TCP_MISS/204 290 GET http://clients1.google.ch/generate_204 - DIRECT/209.85.146.102 text/html
1304520972.287     93 192.168.0.3 TCP_MISS/204 334 GET http://www.google.ch/gen_204? - DIRECT/74.125.77.104 text/html
1304520972.397     75 192.168.0.3 TCP_MISS/204 380 GET http://www.google.ch/csi? - DIRECT/74.125.77.104 image/gif
 
L'adresse IP est bien celle de mon client avec les requêtes http que j'ai lancer précèdement.. donc oui il passe par le proxy.. je désespère..

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed