[Résolu] SquidGuard : filtrage inoperant.

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[Résolu] SquidGuard : filtrage inoperant.

Messagepar Viny1664 » 08 Avr 2004 10:38

Bonjour,
j'utilise un proxy Squid qui fonctionne parfaitement, et j'ai décidé de le faire travailler avec squidGuard.

    Voici mon /etc/squidGuard.conf

    logdir /var/log
    dbhome /usr/local/squidGuard/db

    src admin {
    ip 10.103.200.100
    }

    src user {
    domain parc
    ip 10.103.200.154
    }

    destination porn {
    domainlist adult/domains
    urllist adult/urls
    }

    acl {
    admin {
    pass any
    }

    user {
    pass !porn all
    redirect http://croix01.parc/charte.html
    }

    default {
    pass none
    redirect http://croix01.parc/charte.html
    }
    }


Un groupe admin qui peut aller où il veut 8) et des utilisateurs avec acces retreint à tout ce qui n'est pas contenu dans ma regle porn.
Mais rien n'est filtré et les sites présents dans les fichiers de blacklist passe quand même. :?

Est ce que le problème pourrait venir du fait que la conversion de ce fichier en db n'est pas fonctionné ? En effet, lorsque je lance la commande squidguard -C all, j'ai beau laisser tourner pdt des heures, rien ne se passe et je ne pense pas que mes fichiers db soient crées.

Un idée ou un conseil ?
D'avance merci pour votre aide.

Serveur RH 7.2
Squid 2.4 stable1
squidGuard 1.2.0
Dernière édition par Viny1664 le 20 Avr 2004 11:48, édité 2 fois au total.
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 08 Avr 2004 10:46

Hello,


Il faudrait une plage pour la source User

10.0.0.0/8 par exemple.

Après il faut raccrocher SquidGuard a squid... pour qu'il filtre !
Et pour ca, il faut aussi que les clients utilisent squid...

Le domain.db se trouve avec le domains (meme repertoire)
Essaie avec un domains contenant une seule URL pour gagner tu temps !


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Viny1664 » 08 Avr 2004 11:00

C'est bien squid qui lance squidguard :

Code: Tout sélectionner
squid.conf :

redirect_program  /usr/local/squidGuard/bin/squidGuard
redirect_children 4

Code: Tout sélectionner
        |-squid(14281)---squid(14964)-+-squidGuard(14965)
        |                             |-squidGuard(14966)
        |                             |-squidGuard(14967)
        |                             |-squidGuard(14968)
        |                             `-unlinkd(14969)



Pour la plage dans user, je voudrais déjà testé sur mon poste de travil si le filtrage fonctionne, puis l'etendre ensuite au reste de mon réseau.
Est ce que la syntaxe : ip 10.103.200.154 est correcte dans cette optique là ?

Je réessaye avec une liste réduite de ca pas. :wink:

Edit :

Même avec un fichier urls et domains ne contenant chacun qu'un seule ligne, le traitement semble infini :(
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Viny1664 » 08 Avr 2004 12:05

Est ce que ça pourrait venir de l'installation de Berkeley DB ?
J'ai cru vomprendre qu'on pouvait utiliser squidGuard avec des listes au format texte (plus lent ?)

Avec ce serveur RH 7.2 vieillissant quelle version de Berkeley dois/puis-je utiliser pour fonctionner avec squidGuard ?

Merci.
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 08 Avr 2004 13:04

Hello,
Est-ce que ton naviguateur utilise bien Squid :?:
Tu peux vérifier avec PS qu'il y bien 4 SquidGuard lancé.
Tu peux d'abord lire les logs des squidGuard. Il dit toujours pourquoi il n'est pas d'accord.
Tu peux laisser une IP à la place d'un plage sasn problème !

Quelques réponses ici:

http://cri.univ-tlse1.fr/documentations ... guard.html


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Viny1664 » 08 Avr 2004 15:36

Franck78 a écrit:Est-ce que ton naviguateur utilise bien Squid :?:
Oui sans problème, le proxy fonctionne parfaitement. J'utilise Sarg pour les stats et squid joue bien son rôle.

Tu peux vérifier avec PS qu'il y bien 4 SquidGuard lancé.
Code: Tout sélectionner
N'est ce pas ce que j'ai posté plus haut ?  :shock:

        |-squid(14281)---squid(14964)-+-squidGuard(14965)
        |                             |-squidGuard(14966)
        |                             |-squidGuard(14967)
        |                             |-squidGuard(14968)
        |                             `-unlinkd(14969)


Tu peux d'abord lire les logs des squidGuard. Il dit toujours pourquoi il n'est pas d'accord.
POur les log, rien de particulier dans le fonctionnement normal du proxy.
Par contre quand je lance la commande squidGuard -C all, j'ai dans les logs :
Code: Tout sélectionner
2004-04-08 15:39:14 [18344] parse error in configfile /etc/squidGuard.conf line 8
2004-04-08 15:39:14 [18344] going into emergency mode

La ligne 8 correspond au début de mon bloc "src user" (cf + haut)


Merci, je connais bien ce site pour y avoir deja passé quelques heures, mais pas assez apparement. :wink:
Je m'y replonge.

Je reste ouvert à touutes vos suggestions. :)
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Viny1664 » 08 Avr 2004 17:12

En cherchant un peu, j'ai trouvé ceci :

Why does Squidguard not block clients designated with src { ip x.x.x.x }?

If you try to designate which clients get blocked by using a source group with the clients designated by ip address, you must have a line in your squid.conf file to cause squid to supply the entire ip address for each client. For instance, if you have:

src kids {
ip 192.168.1.10
ip 192.168.1.13
}

then you must put the following line into your squid.conf file:

client_netmask 255.255.255.255


J'ai bien rajouté cette ligne dans mon squid.conf mais hélas j'ai toujours les même problèmes :
- aucun filtrage des @ "blacklistées"
- plantage lors de la commande : squidguard -C all (cf plus haut pour le msg d'erreur)

D'avance encore merci pour votre aide.
J'attends avec impatience d'autre suggestions ou conseils. :D
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 08 Avr 2004 20:54

Je dirais que user est un mot réservé.....
Code: Tout sélectionner
The following words are reserved in squidGuard.conf and should be avoided in declaration names:

       acl             fri             outside         sun             urllist
       anonymous       friday          pass            sunday          user
       date            fridays         redirect        sundays         userlist
       dbhome          ip              rew             thu             wed
       dest            log             rewrite         thursday        wednesday
       destination     logdir          sat             thursdays       wednesdays
       domain          logfile         saturday        time            weekly
       domainlist      mon             saturdays       tue             within
       else            monday          source          tuesday         
       expressionlist  mondays         src             tuesdays       
   
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Viny1664 » 09 Avr 2004 09:27

Franck78 a écrit:Je dirais que user est un mot réservé.....

Et moi je dirais que tu as tout à fait raison !
Impecable ça fonctionne parfaitement maintenant.

Merci à Franck et à tout ceux qui on pris le tps de refléchir à mon pb.
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Viny1664 » 09 Avr 2004 10:54

Toc toc c'est encore moi ... :oops:

Quand je disais plus haut que tout allait parfaitement, je parlais de la "compilation" des list de filtrage en .db.
J'ai donc bien mes 2 fichiers db mais le filtrage ne fonctionne toujours pas : tout est accessible. ](*,)

Bref, je n'y comprend plus rien.
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 10 Avr 2004 14:24

Ou tu es acl admin, ou tu n'utilises pas squid !
Si ni l'un ni l'autre, hum..

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Viny1664 » 13 Avr 2004 10:36

Bonjour,

est ce que l'écriture de mon acl est bonne ?
Code: Tout sélectionner
utilisateur {
pass !porn all
redirect http://croix01.parc/charte.html
}

- Y a-t-il une difference si on inverse l'ordre des 2 lignes ? (redirect avant le pass ? vu sur un site)
- Est-ce que l'utilisation d'un page html "simple" c'est à dire sans script CGI est possible, car je vois bcp d'exemples utilisant un script pour la redirection ?

Merci.

Edit :

J'ai supprimé mon groupe admin et j'ai toujours la même chose. :cry:
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 13 Avr 2004 13:18

L'ordre n'a pas vraiment d'importance dans la description de l'acl. Par contre l'ordre dans le pass oui. Dès qu'il y a une concordance, c'est "accept" ou "redirect" !

Le redirect sur une page est bon. Le cgi est utilisé dans le cas de filtrage d'image du publicité. Ca retourne un .gif "vide"...


Continues à regarder les logs. Si tu veux être certain que tu passes à travers squidguard, laisse une définition de base (domain) mais efface la sur le disque. Comme ca squidguard bloque genre "unreacheable"...


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Viny1664 » 13 Avr 2004 14:17

Franck78 a écrit:laisse une définition de base (domain) mais efface la sur le disque.

Peux-tu expliquer plus en détail stp ? :oops:

Je n'ai rien de spécial dans les logs de squidGuard (ni de squid).
Viny1664
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Avr 2004 09:23
Localisation: Lille

Messagepar Franck78 » 13 Avr 2004 15:03

Tu provoques exprès un problème dont tu connais le résultat. Si tu n'obtiens pas ce résultat, c'est que tu ne déclenches pas le processus entrainant le problème. Dans ce cas "passer" par squidguard...

Donc donne bien une définition de base en erreur
dest erreur {domainlist ads/basebidon}

Ca n'empèche pas sg de se charger, par contre rien ne passe (blocage). Jusqu'a présent tu n'as rien donné indiquant que tu passes bien dans sg ...

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité