Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
545 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Squid et Squidguard

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Squid et Squidguard

n°1410648
fr_maru
Posté le 28-11-2017 à 19:50:12  profilanswer
 

Bonjour,

 

J'essaie de mettre en place un système de filtrage en passant par squid squidguard mais j'ai quelques soucis. Les flux sont bien renvoyés vers squid qui filtre mais il ne filtre pas tout, si je prends une des premières adresses de squidguard/db/adult/domains elle va être bloquée, en revanche les sites les plus connut ou trouvables sur google passent sans problème. La liste est pourtant à jours (liste de Toulouse et j'ai tenté celle de shalla aussi, même résultat).

 

squidGuard -u :

Code :
  1. 2017-11-28 12:02:50 [11991] squidGuard: can't write to logfile /var/log/squidguard/squidGuard.log
  2. 2017-11-28 12:02:50 [11991] squidGuard: FATAL: can't open configfile  /etc/squidguard/squidGuard.conf
  3. 2017-11-28 12:02:50 [11991] ERROR: Going into emergency mode
 

ls -la /var/log/squidguard :

Code :
  1. drwxr-xr-x  2 proxy proxy   4096 nov.  27 20:38 .
  2. drwxrwxr-x 14 root  syslog  4096 nov.  27 18:01 ..
  3. -rw-r-----  1 proxy proxy  42734 nov.  27 17:36 squidGuard.log
 

ls -la /etc/squidguard :

Code :
  1. drwxr-xr-x   2 proxy proxy   4096 nov.  27 20:14 .
  2. drwxr-xr-x 132 root  root   12288 nov.  27 18:15 ..
  3. -rw-r--r--   1 proxy proxy   1817 août  24 21:04 errorpage.css
  4. -rw-r--r--   1 proxy proxy   1024 nov.  27 19:09 squid.conf
  5. -rw-r--r--   1 proxy proxy 290586 août  24 21:04 squid.conf.old
 

squid -z :

Code :
  1. 2017/11/28 12:04:35| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
  2. 2017/11/28 12:04:35| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
  3. 2017/11/28 12:04:35| WARNING: For now we will assume you meant to write /32
  4. 2017/11/28 12:04:35| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
  5. 2017/11/28 12:04:35| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
  6. 2017/11/28 12:04:35| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
  7. 2017/11/28 12:04:35| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
  8. 2017/11/28 12:04:35| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
  9. 2017/11/28 12:04:35| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
  10. 2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
  11. WARNING: Cannot write log file: /var/log/squid/cache.log
  12. /var/log/squid/cache.log: Permission denied
  13.          messages will be sent to 'stderr'.
  14. 2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
  15. 2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
  16. 2017/11/28 12:04:35| storeDirWriteCleanLogs: Starting...
  17. 2017/11/28 12:04:35|   Finished.  Wrote 0 entries.
  18. 2017/11/28 12:04:35|   Took 0.00 seconds (  0.00 entries/sec).
  19. FATAL: Ipc::Mem::Segment::create failed to shm_open(/squid-cf__metadata.shm): (17) File exists
  21. Squid Cache (Version 3.5.23): Terminated abnormally.
  22. CPU Usage: 0.006 seconds = 0.000 user + 0.006 sys
  23. Maximum Resident Size: 46288 KB
  24. Page faults with physical i/o: 6
 

/etc/squidguard/squidGuard.conf :

Code :
  1. dbhome /var/lib/squidguard/db
  2. logdir /var/log/squidguard
  4. dest adult {
  5. domainlist adult/domains
  6. urllist adult/urls
  7. }
  9. dest agressif {
  10. domainlist agressif/domains
  11. urllist agressif/urls
  12. }
  14. dest sect {
  15. domainlist sect/domains
  16. urllist sect/urls
  17. }
  19. acl {
  20. default {
  21.  pass !adult !agressif !sect all
  22.  redirect  http://www.ovh.com/fr/images/hosti [...] terdit.jpg
  23. }
  24. }
 

/etc/squid/squid.conf :

Code :
  1. cache_effective_user proxy
  2. cache_effective_group proxy
  4. visible_hostname none
  6. http_port 3128 transparent
  8. acl manager proto cache_object
  9. acl localhost src 127.0.0.1/255.255.255.255
  10. acl serveur src 192.168.0.1
  11. acl poste src 192.168.0.50
  12. acl multipostes src 192.168.0.100-192.168.0.125
  14. acl SSL_ports port 443 563
  15. acl Safe_ports port 80    # http
  16. acl Safe_ports port 20    # ftp-data
  17. acl Safe_ports port 21    # ftp
  18. acl Safe_ports port 443 563   # ssl
  19. acl Safe_ports port 70    # gopher
  20. acl Safe_ports port 210    # wais
  21. acl Safe_ports port 1025-65535   # unregistered ports
  22. acl Safe_ports port 280    # http-mgmt
  23. acl Safe_ports port 488    # gss-http
  24. acl Safe_ports port 591    # filemaker
  25. acl Safe_ports port 777    # multiling http
  26. acl Safe_ports port 631    # cups
  27. acl Safe_ports port 873    # rsync
  28. acl Safe_ports port 901    # SWAT
  30. acl purge method PURGE
  31. acl CONNECT method CONNECT
  33. http_access allow all
  35. url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
  36. url_rewrite_children 10
 

Avant ça j'ai eu une erreur : "can't open db/adult/domain, emergencey mode" lorsque je lançais squidGuard -u, pourtant il y avait les bons droits je pense :

 

sudo ls -la /var/lib/squidguard/db/adult :

Code :
  1. drwxrws--- 2 proxy proxy      4096 nov.  27 20:30 .
  2. drwxrws--- 5 proxy proxy      4096 nov.  27 18:49 ..
  3. -rwxrwx--- 1 proxy proxy  48594511 nov.  27 19:55 domains
  4. -rwxrwx--- 1 proxy proxy 107028480 nov.  27 20:35 domains.db
  5. -rwxrwx--- 1 proxy proxy         0 oct.  18  2005 expressions
  6. -rwxrwx--- 1 proxy proxy   2904627 nov.  26 22:40 urls
  7. -rwxrwx--- 1 proxy proxy   6520832 nov.  27 20:35 urls.db
  8. -rwxrwx--- 1 proxy proxy        17 oct.  18  2005 usage
 

Qui a été résolu par la commande : /usr/sbin/update-squidguard

 

Je suis un peu perdu, si l'un d'entre vous pouvait m'aider se serait avec joie.

 

Merci d'avance.


Message édité par fr_maru le 28-11-2017 à 19:51:16
mood
Publicité
Posté le 28-11-2017 à 19:50:12  profilanswer
 

n°1410661
fr_maru
Posté le 29-11-2017 à 01:14:08  profilanswer
 

Il semblerait que le soucis viennent du https, les sites dont je m'étonnais qu'il passe l'utilisent, si l'on passe sur la version http il n'y a pas de soucis en revanche. Je reste bloqué pour autant s'il y a une bonne âme pour m'expliquer ; j'ai cru comprendre que ça venait du fait qu'on lui dise d'être transparent, en même temps si je ne lui dis pas j'ai des soucis aussi (ne plus pouvoir accéder à certaines adresses qui ne posent pas problème).


Message édité par fr_maru le 29-11-2017 à 01:17:38
n°1410684
fr_maru
Posté le 29-11-2017 à 13:20:55  profilanswer
 

Après recherche il est impossible de simplement filtrer les flux https. Il faut tout d'abord compiler squid car il est souvent compiler sans la fonction ssl. Ensuite il va falloir créer des certificat de sécurité et l'indiquer dans la configuration de squid afin qu'il joue le rôle d'homme du milieu. Je ne sais pas ce qu'il en est point de vu sécurité et contrainte de cette méthode.
 
L'autre solution semble donc de passer en mode non transparent, je n'ai pas encore testé mais si ça fonctionne il faut encore trouver comment empêcher l'utilisateur de ne pas modifier les paramètres proxy de son navigateur.

Message cité 1 fois
n°1410707
roondar
Posté le 29-11-2017 à 22:45:26  profilanswer
 

fr_maru a écrit :

Après recherche il est impossible de simplement filtrer les flux https. Il faut tout d'abord compiler squid car il est souvent compiler sans la fonction ssl. Ensuite il va falloir créer des certificat de sécurité et l'indiquer dans la configuration de squid afin qu'il joue le rôle d'homme du milieu. Je ne sais pas ce qu'il en est point de vu sécurité et contrainte de cette méthode.

 

L'autre solution semble donc de passer en mode non transparent, je n'ai pas encore testé mais si ça fonctionne il faut encore trouver comment empêcher l'utilisateur de ne pas modifier les paramètres proxy de son navigateur.


Un proxy est mis en place pour aller sur internet. Ça doit être la seule porte de sortie vers internet.
En gros, tu bloques tout niveau pare feu sur le routeur sauf la passerelle.
Ne fait pas MiM, mais utilise un wpad.

n°1410716
fr_maru
Posté le 30-11-2017 à 09:51:29  profilanswer
 

Merci pour la réponse.
 
Si j'ai bien compris wpad permet seulement de faciliter la configuration ? Sachant que c'est pour une utilisation personnel et non pour déployer sur un réseau de machines, qu'est-ce que ça m'apportera de plus que la configuration manuel du proxy dans la config des navigateurs ?
 
Pour le pare feu je dois donc faire des règles avec iptables pour que tout les ports sauf 3128 soit redirigés ?

n°1410720
roondar
Posté le 30-11-2017 à 12:45:54  profilanswer
 

Si j'ai bien compris wpad permet seulement de faciliter la configuration ? => Non
Sachant que c'est pour une utilisation personnel et non pour déployer sur un réseau de machines, qu'est-ce que ça m'apportera de plus que la configuration manuel du proxy dans la config des navigateurs ? => Rien
Pour le pare feu je dois donc faire des règles avec iptables pour que tout les ports sauf 3128 soit redirigés ?  Si tu parles du parefeu du serveur proxy, il faut juste autoriser le port 3128 en entrant
Mais si tu parles du parefeu du routeur, tu autorises juste ton serveur de proxy à aller sur internet (80,443,21,53)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Squid et Squidguard

 

Sujets relatifs
Squid/SquidGuard ne filtre pas googlesquid et squidguard ?
Squid, Squidguard & Pfsense... pb de blacklistSquidGuard ne marche pas avec squid
squid/squidGuardsquid + squidguard surveiller ou vont les utilisateur
Squid + SquidGuard = rien de bloqué.Squid et squidguard
[Squid + squidGuard] erreur : Too few redirector processes are runningsquid/squidguard (debian) -> problème de transfert FTP
Plus de sujets relatifs à : Squid et Squidguard

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.048 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR