Accès restreint

[ricoree]

Bonjour, <BR> <BR> Je viens de me monter un firewall ipcop dernière version avec ma connection ADSL installée dessus. Sur mon réseau local je possède 4 machines. <BR> Tout semble bien configuré et bien fonctionner. <BR> Toutefois je souhaiterais que l'une de mes machines ne puisse accèder qu'à un seul et unique site internet . J'ai regardé un peu partout et je n'ai pas trouvé de solution. <BR> Le dansguardian ne semble pas pouvoir m'aider dans ce cas précis. <BR> <BR>Je vous remercie par avance de vos réponses...... <BR> <BR>Ricoree <BR>

[grosbedos]

avec squid et les acl c'est certainement possible, <BR> <BR>regardes ca, : <BR><!-- BBCode auto-link start --><a href="http://ixus.net/resume_messages.php?topic=4724" target="_blank">http://ixus.net/resume_messages.php?topic=4724</a><!-- BBCode auto-link end -->

[archi]

Sinon sur ta machine ou tu veux restreindre l'accès complet sauf a 1 seul site tu vire la route par defaut et tu rajoute une route pr ce site seulement. : <BR> <BR>route delete 0.0.0.0 ( enlever la route pour tout le reseau) <BR>route add ip_server netmask 255.255.255.255 ip_passerelle if eth0 <BR>optionnel: route add 0.0.0.0 netmask 0.0.0.0 0.0.0.0 (la tu peux mettre 127.0.0.1) if lo <BR> <BR>et si t'as des problème DNS tu met le nom et l'adresse ip dans le fichier hosts <BR> <BR>Good luck!

[tomtom]

Ouf c'ets un peu "bourrin" ça cher archi <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Sinon, on peut faire ça proprememnt sur le firewall avec 2 regles iptables, mais le mieux c'est de suivre les conseils de grosbedos ! <BR> <BR>T.

[ricoree]

Merci les gars...alors <BR> <BR>grosbedos : j'ai regardé le lien que tu m'as filé et qui renvoit lui-même sur un site traitant du squid mais bon...... j'ai pas capté grand chose. Je ne sais pas ou mettre exactement les règles à appliquer dans mon squid.conf. <BR>Si on pouvait m'éclairer. <BR> <BR>tomtom : je suis également preneur de ta méthode <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>PS : Désolé pour mon ignorance mais je débute et avec linux et avec ipcop......mais bon je trouve que je progresse quand meme pas mal et ça grace à Ixus.net et à vous tous. Thx.

[grosbedos]

allez ricoree...reflechi deux sec, <BR>premierement li bien l'exemple dans le lien sur ixus.. <BR> <BR>apres tu fai juste une petite recherche sur google fr, "acl squid", tu trouves une courte explication.. <BR>en une ou deux lignes c'est fait cette conf..c'est pas très compliqué!

[ricoree]

Bon je me permets de revenir à la charge car j'ai réfléchit un peu plus de 2 secondes (2/3 jours), j'ai cherché partout mais je n'y arrive pas. <BR> <BR>Je résume : <BR> <BR>J'ai réinstallé ipcop 1.3 et cette fois sans y ajouter dansguardian. <BR>J'ai coché " mandataire proxy : activé" dans ipcopGUI (enfin interface web). <BR> <BR> <BR>J'ai modifié mon fichier var/ipcop/proxy/acl pour qu'une seule IP (sur mes 3 ordis )accède au web (déjà avant de n'autoriser qu'un seul site à cette machine). <BR>Le voici : <BR>acl allowed_clients src 192.168.0.3 <BR>acl SSL_ports port 443 563 <BR>acl Safe_ports port 80 # http <BR>acl Safe_ports port 21 # ftp <BR>acl Safe_ports port 443 563 # https, snews <BR>acl Safe_ports port 70 # gopher <BR>acl Safe_ports port 210 # wais <BR>acl Safe_ports port 1025-65535 # unregistered ports <BR>acl Safe_ports port 280 # http-mgmt <BR>acl Safe_ports port 488 # gss-http <BR>acl Safe_ports port 591 # filemaker <BR>acl Safe_ports port 777 # multiling http <BR>acl Safe_ports port 800 # Squids port (for icons) <BR>acl CONNECT method CONNECT <BR> <BR>http_access allow localhost <BR>http_access deny !Safe_ports <BR>http_access deny CONNECT !SSL_ports <BR>http_access allow allowed_clients <BR>http_access deny !allowed_clients <BR> <BR> <BR>J'ai également modifié le fichier squid.conf comme suit : <BR>shutdown_lifetime 5 seconds <BR>icp_port 0 <BR> <BR>http_port 192.168.0.1:800 <BR> <BR>acl QUERY urlpath_regex cgi-bin ? <BR>no_cache deny QUERY <BR> <BR>cache_effective_user squid <BR>cache_effective_group squid <BR> <BR>pid_filename /var/run/squid.pid <BR> <BR>cache_access_log /var/log/squid/access.log <BR>cache_log /var/log/squid/cache.log <BR>cache_store_log /var/log/squid/store.log <BR>log_mime_hdrs off <BR>forwarded_for off <BR> <BR>acl all src 0.0.0.0/0.0.0.0 <BR>acl localhost src 127.0.0.1/255.255.255.255 <BR>acl allowed_clients src 192.168.0.3 <BR>acl SSL_ports port 443 563 <BR>acl Safe_ports port 80 # http <BR>acl Safe_ports port 21 # ftp <BR>acl Safe_ports port 443 563 # https, snews <BR>acl Safe_ports port 70 # gopher <BR>acl Safe_ports port 210 # wais <BR>acl Safe_ports port 1025-65535 # unregistered ports <BR>acl Safe_ports port 280 # http-mgmt <BR>acl Safe_ports port 488 # gss-http <BR>acl Safe_ports port 591 # filemaker <BR>acl Safe_ports port 777 # multiling http <BR>acl Safe_ports port 800 # Squids port (for icons) <BR>acl CONNECT method CONNECT <BR> <BR>http_access allow localhost <BR>http_access deny !Safe_ports <BR>http_access deny CONNECT !SSL_ports <BR>http_access allow allowed_clients <BR>http_access deny !allowed_clients <BR> <BR>maximum_object_size 4096 KB <BR>minimum_object_size 0 KB <BR> <BR>cache_mem 2000 KB <BR>cache_dir ufs /var/log/cache 50 16 256 <BR> <BR>request_body_max_size 0 KB <BR>reply_body_max_size 0 KB <BR> <BR> <BR>RESULTAT : rien ne fonctionne, toutes les machines accèdent au web. J'ai pourtant essayé plusieurs config différentes mais rien... <BR>Je désespère.... <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

[antolien]

iptables -I FORWARD -s 192.168.x.x/32 -j DROP <BR>iptables -I FROWARD -s 192.168.x.x/32 -d 212.234.x.x -j ACCEPT <BR> <BR>-s = source ip locale <BR>-d = destination ip distante

[nemesis]

hum il existe un how to pour faire ça il y a deux lignes a ajouter au squid.conf et apres tu cré une black liste! <BR> <BR>je peux ramener mon fichier squid.conf demain et te le mailer si tu veux tu regarde la difference avec le squid.conf de base tu trouvera la manip à faire. ensuite non seulement il faut activer le proxy mais le mieux est de le mettre ne transparent et de parametrer le navigateur des autre machine en detection auto comme ça t'es sur de passer par le proxy! <BR>

[ricoree]

oki thx <IMG SRC="images/smiles/icon_smile.gif">

[ricoree]

Bon bah voilà j'ai réussi à configurer mon squid.conf. <BR>Je peux désormais autoriser une ip locale à accèder à un seul site internet, autoriser une autre à faire que du http et autoriser la dernière à tout faire. <BR>Pour se faire j'ai trouvé une super doc sur linux en général...Par contre j'ai pas l'url mais je peux vous envoyer le pdf si ça vous interesse. <BR> <BR>Et puis thx pour votre aide <IMG SRC="images/smiles/icon_bise.gif">

[Speeder]

Salut ricoree <BR> <BR>Je suis preneur de ta doc en pdf si tu veux bien <BR> <BR>Merci <BR> <BR>@+ <IMG SRC="images/smiles/icon_razz.gif"> <IMG SRC="images/smiles/icon_razz.gif">

[ben_ben]

Je suis aussi tres interessé par la documentation que tu proposes
Si elle est interessante je la mettrai en ligne .

[Boost]

Je suis aussi tres interessé par la documentation que tu proposes
Si elle est interessante je la mettrai en ligne .

Pareil...

Je peux aussi la mettre en ligne si besoin...

Chris

[titchek]

Est-ce la doc trouvée sur le site de Christian Caleca

http://christian.caleca.free.fr/pdf/SquidSquidGuard.pdf