SquidGuard - Liste blanche

par **tito** » 06 Juil 2005 16:25

Bonjour

Je ne comprend pas le fonctionnement des listes blanches, je voyais deux possibilites :

soit tout le monde (autorisé ou pas) ne peut accéder qu'aux sites inscrits dans une liste blanche

soit les utilisateurs "interdits" ne peuvent accéder qu'aux sites inscrits dans les listes blanches (les "autorisés" pouvant accéder à tous les sites ne figurant pas dans une liste noire)
Mais ça n'a pas l'air d'être ça. En fait que je coche ou pas les listes blanches, je ne vois pas de différence.

Un éclaircissement serait le bienvenu

Merci

par **Franck78** » 06 Juil 2005 22:35

En supposant que tu parles de mon addon:

1) Une entrée dans la liste blanche peut annuler une entrée qui existe dans une des sous listes noires.
(voir les deux sites X par défaut dans la whitelist que je livre).

2) Quand aucune IP n'est entrée dans 'plage IP autorisée', alors seules les listes blanches cochées sont autorisées pour tous.

Salut

par **rcageot90** » 07 Juil 2005 10:43

toujours en considérant que tu utilises le addon de franck, as tu regardé la documentation en ligne ?
dispo ici : http://franck78.ath.cx/squidGuard-doc/fr/squidGuard-fr.html

par **tito** » 07 Juil 2005 10:57

Merci pour vos réponses.

Oui, je parlais de l'addon de Franck78, et oui j'ai regardé l'aide en ligne mais je n'ai pas vu l'explication. Et ça ne me paraissait pas évident que ça fonctionne ainsi.

En fait ce que j'aurais aimé c'est que les ip autorisées puissent accéder à tous les sites non interdits (pas dans liste noire), et que les ip interdites ne puissent accéder qu'aux sites des listes blanches. Vous ne voyez pas un moyen de faire ce genre de choses ?

par **tito** » 08 Juil 2005 18:13

Pour être précis, je voudrais que certains postes n'utilisent internet que pour mettre windows et leur antivirus à jour.
SquidGuard n'est pas le bon outil pour ça ?
Il faudrait peut-être passer par des règles iptables ?
Comment procéderiez-vous ?
Merci d'avance.

par **koilito** » 02 Sep 2005 10:37

Bonjour,

J'ai le même souci que "Tito".

Sur mon réseau actuel, c'est soit on a acces à Internet (seules les sites "adultes", "dangerous_materail" et autres joyeusetés de ce genre sont bannis),
soit on a pas accès au monde du dehors et on a son IP dans la "banned source".

Je voudrais un groupe intermédiaire qui peut accéder à Internet, mais UNIQUEMENT aux sites listés dans la whitelist.

Je n'aime pas trop les interfaces graphiques, je suis donc allé faire un tour sous /var/ipcop/proxy voir comment cela fonctionne.

C'est le fichier squiGuard.conf qui m'interesse.
A l'image du groupe "bannedsource", on doit pouvoir créer un groupe "totosource" avec les IP "semi-privilégiés".
Ex :

Code: Tout sélectionner: src totosource { ip 192.168.0.23, 192.168.0.24 }

Par contre, ma question concerne la description de l'ACL.
Que faut-il écrire pour qu'il force le passage par la whitelist ?

Code: Tout sélectionner: acl { totosource { pass cleaning localwhite redirect http://192.168.0.1:81/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u } }

Quelqu'un peut me confirmer le code ci-dessus avant que je lance un "/usr/local/bin/restartsquid" ?

D'avance merci.

par **koilito** » 02 Sep 2005 11:43

C'est bon, après quelques modifs, cela fonctionne.

Je vais essayer de résumer ici comment autoriser certaines IP à accéder à une liste de site prédéfinies.

1. Editer la whitelist

Code: Tout sélectionner: vi /var/ipcop/proxy/blacklist/localwhite

On rajoute les domaines qui nous intéresse.

2. Editer la configuration de SquidGuard

Code: Tout sélectionner: vi /var/ipcop/proxy/squidGuard.conf

Attention ! Il faut respecter l'ordre de définitions des groupes.
Donc sous le groupe "src bannedsource", on crée le groupe "src limite" en y joignant les adresses IP des machines visées par l'accès limité.
Ce qui donne quelque chose comme ça :

Code: Tout sélectionner: src privilegedsource { ip } src bannedsource { ip 192.168.0.94, 192.168.0.100, 192.168.0.104, 192.168.0.105 } src limite { ip 192.168.0.128 } src noltlansource { ip } src lansource { ip 192.168.0.0/24 }

Ensuite, on trouve dans le fichier la description des ACL qui s'applique pour chacuun des groupes.
Il faut impérativement respecter l'ordre ci-dessus.
Donc cela donne ceci :

Code: Tout sélectionner: (...) bannedsource { pass none redirect http://192.168.0.1:81/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u } limite { pass localwhite none redirect http://192.168.0.1:81/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u } noltlansource { pass cleaning !adult !dangerous_material all redirect http://192.168.0.1:81/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u } (...)

Enfin, on redémarre Squid pour qu'il prenne en compte la modification :

Code: Tout sélectionner: /usr/local/bin/restartsquid

Voilà,

Si cela peut aider quelqu'un.

par **KryBoo** » 02 Sep 2005 12:35

Edite plutot le fichier /home/httpd/cgi-bin/sproxy.cgi

Sinon au redemarrage de ton squidGuard via l'interface web ton squidGuard.conf sera remplacé.

SquidGuard - Liste blanche

SquidGuard - Liste blanche

Qui est en ligne ?