Bloquer MSN6 avec squidguard sous IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Bloquer MSN6 avec squidguard sous IPCOP

Messagepar Fred54 » 25 Jan 2005 22:26

Salut à toutes et à tous !!!!

Vous allez me dire de rechercher dans les forums et je vous repondrais que je l'ai fait mais en vain...

Mon pbs est simple, je veux bloquer facilement sur squidguard, add'on de franck78, msn6 et les autres...

J'ai fait des recherches mais des questions restent sans réponse. Je me suis inspiré de qqch de fait sur urlfilter mais je ne souhaite pas mutiplier les install car l'add-on de Franck78 me convient.

Le but un peu plus pointu dans cette demande est d'ajouter, une case à cocher dans le GUI de squidguard dernière version ....du style messenger. Vous comprendrez que c'est un peut plus propre et facile à désactiver si nécessaire.

voilà ce que je sais faire :

Je crée, je ne sais pas trop à quel endroit, un dossier Messenger 'Première interrogation

je fais :

mkdir Messenger " à l'endroit inconnu ? " :?:

chown nobody Messenger
chgrp nobody Messenger
cd Messenger

vi urls

J'y ajoute : touche inser

fr.my.msn.com
messenger.msn.fr
messenger.msn.com
msn.fr
loginnet.passport.com

J'enregister avec wq

vi domains

J'y ajoute : toujours touche inser

msn.fr
loginnet.passport.com
msn.com

J'enregiste avec wq

chmod 664 domains
chmod 664 urls
chgrp wheel domains
chgrp wheel urls

Je relance Squidguard avec squidGuard -C all

Je ne sais pas si ça marche Deuxième interrogation :?:

ensuite je modifie squidGuard.conf qui se trouve ??? dans /var/.../ ???? Troisième interrogation :?:

vi squidGuard.conf

dest Menssenger {
domainlist Messenger/domains
urllist Messenger/urls
logfile anonymous Messenger.log
}

Via l'interface Https
Dans les services, Squidguard. Je coche Messenger et je relance et ça doit marcher ???

Qu'en pensez-vous ??? :idea: :?:


PS: si qqc a mieux je suis preneur !!!!

Salutations et merci d'avance
Avatar de l’utilisateur
Fred54
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 24 Jan 2005 19:04

Messagepar Boss » 26 Jan 2005 08:32

Bonjour,


Le plus simple cela ne serait pas plutôt de bloquer les ports TCP qui correspondent à msn messenger (ou autres) ?
Car là dans ta config, si j'installe msn messenger client (a partir d'une clé usb par exemple) sur une des machines de ton lan ça passe quand même .....


Voici un lien pour t'aider : http://forums.fr.ixus.net/viewtopic.php?t=17046



Voilà !
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar Fred54 » 26 Jan 2005 09:29

Boss a écrit:Bonjour,


Le plus simple cela ne serait pas plutôt de bloquer les ports TCP qui correspondent à msn messenger (ou autres) ?
Car là dans ta config, si j'installe msn messenger client (a partir d'une clé usb par exemple) sur une des machines de ton lan ça passe quand même .....


Voici un lien pour t'aider : http://forums.fr.ixus.net/viewtopic.php?t=17046



Voilà !


Merci je vais visiter, mais cela ne répond pas trop à ma demande de simplicité...

D'autre part, même avec une clé USB les clients qui veulent surfer ou faire du msn doivent passer par ce proxy squidguard...Il n'y a pas d'autres chemin pour sortir...Et donc je veux brider uniquement le point névralgique de mon réseau... :)

Merci tout de même !
Avatar de l’utilisateur
Fred54
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 24 Jan 2005 19:04

Messagepar Boss » 26 Jan 2005 09:43

Merci je vais visiter, mais cela ne répond pas trop à ma demande de simplicité...
:shock:


Deux lignes au maximum contre une usine à gaz ineficace .... (point de vue personnel)

D'autre part, même avec une clé USB les clients qui veulent surfer ou faire du msn doivent passer par ce proxy squidguard...


1 - Squidguard n'est pas un proxy
2 - Le proxy cache sous ipcop s'apelle squid et en aucun cas il ne réalise des fonctions de filtrages de port/paquets. Un proxy sert principalement à économiser la bande passante et de filtrer l'accès au web. Comme par défaut IPCOP laisse tout sortir du lan vers le net, je persiste en te disant que Msn n'est pas bloqué.
3 - Pour forcer les personnes à passer par le proxy il faut soit le rendre transparent soit renseigner dans le navigateur son adresse et son port.
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar Fred54 » 26 Jan 2005 12:21

Boss a écrit:
1 - Squidguard n'est pas un proxy
2 - Le proxy cache sous ipcop s'apelle squid et en aucun cas il ne réalise des fonctions de filtrages de port/paquets. Un proxy sert principalement à économiser la bande passante et de filtrer l'accès au web. Comme par défaut IPCOP laisse tout sortir du lan vers le net, je persiste en te disant que Msn n'est pas bloqué.
3 - Pour forcer les personnes à passer par le proxy il faut soit le rendre transparent soit renseigner dans le navigateur son adresse et son port.


En réponse à cela je tiens à ajouter que je ne prétends pas que squidguard soit un proxy mais plutôt un firewall utilisant par exemple la blacklist de toulouse. Les perssonnes devant se connecter à mon réseau sont toutes clientes DHCP et j'impose une passerelle (Mon proxy...IPCOP).
Là je suis entièrement d'accord avec toi
Ce que je veux et peut-être nous sommes nous mal compris, c'est utiliser squidguard pour filtrer les urls et domaines en question. La simplicité à laquelle je faisait allusion n'est autre que décocher ou cocher une case dans l'interface GUI de l'add-on de Franck78. "Me taper des lignes de commandes sans arrêt pour bloquer ou débloquer des ports ne me convient pas du tout...Je ne suis pas le seul administrateur de ce réseau et je dois donc faire simple.

Effectivement, les lignes renseignées avant semblent fastidieuses et j'en conviens

Merci pour ton aide

Fred
Avatar de l’utilisateur
Fred54
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 24 Jan 2005 19:04

Messagepar Boss » 26 Jan 2005 12:34

En réponse à cela je tiens à ajouter que je ne prétends pas que squidguard soit un proxy mais plutôt un firewall
:shock:

Bref passons les termes techniques.


Si tu veux donc bloquer les sites ayant un trait à messenger (msn,webmessenger,passport..net), il ya plusiseurs solutions.

- Les inserer dans la blacklist
- Creer un "thème" messenger auquels tu rajoutes effectivement les domaines et/ou les urls.

La deuxieme est plus complexe, mais tu utilises la bonne méthode. Je ne connais pas specialement IPcop mais voici quelques infos :

- squidguard.conf est dans : /etc/squiguard.conf
- les DB sont dans /var/lib/squiguard/db (c'est la ou tu fais mkdir messenger)


En revanche pour modifier l'interface graphique la c'est du codage, essaye de prendre exemple sur le script de Franck78.


Bon courage
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar Fred54 » 26 Jan 2005 12:42

Ok merci pour les chemins des différents fichiers. Je vais pouvoir tester sur un serveur test...Je te tiens au courant si cela marche....

J'utilise en effet l'add-on de Franck78.

Cependant sais-tu si pour mettre à jour les bases de données de squidGuard il faut faire :

SquidGuard -C all :?:

Merci et a plus

Fred
Avatar de l’utilisateur
Fred54
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 24 Jan 2005 19:04

Messagepar Boss » 26 Jan 2005 12:45

En faisant SquidGuard -C all tu met à jour TOUTES les bases !

si tu fais Squidguard -C 'nom de la base' tu ne met à jour que la base voulue.

N'oublies pas "man squidguard !"


A+
[-X Pour 1998 .... [-X
Avatar de l’utilisateur
Boss
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 16 Mars 2002 01:00
Localisation: Où je vis...

Messagepar Fred54 » 26 Jan 2005 16:50

Si cela intéresse qqc

J'ai une solution temporaire qui à l'air de fonctionner en attendant une amèlioration de l'addon de Franck78

L'add-on de Franck78 est impératif pour cette mise à jour....

J'ai ajouté à une règle d'interdiction mes urls et domains à filtrer

Pour cela :

Sur le serveur IPCOP

IPCOP#
cd /var/ipcop/proxy/blacklists/tricheur


IPCOP#/var/ipcop/proxy/blacklists/tricheur
vi urls

J'appuis sur Inser pour insérer les urls voulues...
J'appuis sur ECHAP
Shift + Q
Je sauvegarde avec wq
Avec ls je vérifie que mon fichier existe...

Je fais de même avec domains


IPCOP#/var/ipcop/proxy/blacklists/tricheur
vi domains

J'appuis sur Inser pour insérer les urls voulues...
J'appuis sur ECHAP
Shift + Q
Je sauvegarde avec wq
Avec ls je vérifie que mon fichier existe...

je fais une mise à jour de mes deux bases avec:
squidGuard -C urls.db
squidGuard -C domains.db

Sur un poste client, dans mon navigateur

https://@IP de IPCOP:445

dans l'onglet squidguard situé sous services, vérifiez que tricheur est validé...Sinon faites-le !

une fois réalisé, faites une relance de squidguard....On the bouton prévu à cet effet.

Tout doit fonctionner

Good luck !!!
Avatar de l’utilisateur
Fred54
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 24 Jan 2005 19:04

Messagepar rcageot90 » 04 Mai 2005 16:09

concernant Le fait de l'insérer dans la db tricheur
Celle ci est écrasée toutes les semaines si tu active l'import automatique (cron ou bouton) via univ toulouse non ?

c'est pour cela qu'on étét faite les black et white list éditables ou me trompe-je ?

kénavo
Kenavo
Ipcop 1.4.21 (dhcp, ntp) + squidGuard 1.4 sur AMD K6/450 + 256 Mo Ram + 6Go HD / Freebox en Ethernet
Si un ricard vaut un steak, j'ai bien bouffé une vache hier soir
Avatar de l’utilisateur
rcageot90
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 192
Inscrit le: 21 Avr 2005 12:03
Localisation: Breizh


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité