Installation d'un proxy avec authentification et blacklist sous Linux

Extraits

[...] Bilan de l'activité : Afin d'éviter des manipulations aux postes clients et éviter la possibilité de contourner le serveur, on aurait pu établir un script de configuration automatique. [...]

[...] Après avoir ouvert notre navigateur et demandé la connexion à une URL (www.google.fr par exemple), le service squid requiert une identification qui nous est traduit comme suit : Une fois identifié nous accéderons à notre requête, pour peux que la page demandée ne figure pas dans les adresses interdites. Voici le message que nous aurions eu en cas d'échec d'authentification tentatives) : ERROR Cache Access Denied While trying to retrieve the URL: http://www.google.com/ The following error was encountered: Cache Access Denied. [...]

[...] A cette fin, nous allons utiliser l'application squidguard que nous installerons par la commande: aptitude install squidguard Une fois ce dernier paquetage installé, nous allons télécharger une blacklist d'adresses URL, par exemple celle de l'université de Toulouse, puis nous demanderons à SquidGuard de rajouter cette (longue) liste à son support de travail (une base de donnée de type Berkeley ce qui accélère son temps de travail). Il faut cependant exécuter la commande en tant qu'utilisateur proxy afin que SquidGuard y ait accès en lecture et en écriture avec les commandes: su proxy squidGuard all Cette opération est très longue 2. [...]

[...] Fichiers de configuration : Maintenant que tout est prêt, nous allons nous pencher dans un premiers temps sur la configuration de squidGuard disponible dans /etc/squid/squidGuard.conf. Une fois paramétré, voici à quoi il pourrait ressembler : dbhome /var/lib/squidguard/db/blacklists logdir /var/log/squid src admin { ip } src users { ip /24 #Notre réseau } dest pornographie { urllist porn/urls urllist porn/nurls domainlist porn/domains expressionlist porn/very_restrictive_expression } dest drogues { urllist drugs/urls domainlist drugs/domains } dest phishing { urllist phishing/urls domainlist phishing/domains } dest marchands_de_guerre { urllist marketingware/urls domainlist marketingware/domains } acl { admin { pass any } users { pass pornographie drogues phishing marchands_de_guerre any redirect http://www.perdu.com } default { pass none redirect http://www.perdu.com } } Et le fichier de configuration de squid3 disponible à /etc/squid3/squid.conf: auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours acl manager proto cache_object acl localhost src / acl to_localhost dst acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl LocalNet src /24 acl Users proxy_auth REQUIRED http_access allow manager localhost http_access deny manager http_access deny Safe_ports http_access deny CONNECT SSL_ports http_access allow localhost http_access allow LocalNet Users http_access deny all icp_access allow all http_port 3128 hierarchy_stoplist cgi-bin ? [...]

[...] Description de l'activité réalisée Situation initiale : N'importe qui peut se connecter n'importe où Situation finale : Seuls les utilisateurs clairement identifié par login / mot de passe peuvent se connecter selon des règles spécifiques. Outils utilisés : Vmware Workstation v6 Schéma : DEROULEMENT DE L'ACTIVITE I – Mise en place d'un serveur mandataire : 1. Installation : Squid3 : L'installation d'un serveur mandataire sous Debian (quelle que soit la version), se fera par la console en tant que super utilisateur (root), avec la commande : apt-get install squid3. [...]