config squid

Le
Professeur M
Salutàtous,

j'ai besoin de faire des tests de config de navigateurs derrière un
proxy, test que je fait en virtualbox.

J'ai donc crée un réseau virtuel dans virtualbox, une MV à deux cartes
réseau, une debian minimale et squid. Lle proxy fonctionne (testé depuis
un client XP virtuel) mais pas le filtrage.

Comme ce n'est pas le proxy ne tant que tel qui m'interresse, mais les
clients, je ne cherche pas une config poussée du type squid + squidguard.
Simplement un proxy et un domaine interdit pour vérifier le bon
fonctionnement

or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)

La config est de base et les lignes modifiées sont suivies de #***

Une idée pour débloquer (enfin, bloquer, justement) la situation ?

Merci
Méphisto



acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.131.0.0/16 #***
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

acl cestmal dstdomain .sex.com #***

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny cestmal #***
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent #***
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname faux_amon #***
hosts_file /etc/hosts
coredump_dir /var/spool/squid
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #23919211
On 30 Oct 2011 16:31:48 GMT, Professeur Méphisto

or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)



La première chose à faire, c'est de demander à Squid de tout
enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta
requête vers sex.com.
Bruno Tréguier
Le #23920211
Le 30/10/2011 à 17:31, Professeur Méphisto a écrit :
Salutàtous,



Bonsoirtoutseul ! :-)


or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)

La config est de base et les lignes modifiées sont suivies de #***

Une idée pour débloquer (enfin, bloquer, justement) la situation ?



Vi, peut-être bien: normalement, dans squid, les ACL sont examinées les
unes après les autres, et la 1ère qui matche arrête le processus... Or,
vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du
coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.

Commencez par des "deny" tout ce qui est interdit, et seulement ensuite,
autorisez les connexions de votre réseau local, et enfin, terminez pas
un "http_access deny all"...

Bonne soirée.

Cordialement,

--
Bruno Tréguier
Professeur M
Le #23920201
Le Sun, 30 Oct 2011 18:04:28 +0100, Fabien LE LEZ a écrit :

La première chose à faire, c'est de demander à Squid de tout enregistrer
dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers
sex.com.



j'ai continué mes essais... mais comme j'avais mon petit avec moi dans
mon bureau cet après-midi, la règle de filtrage de sex.com à été changée en

acl cestmal dstdomain .gnu.org

;-)

résultat des logs : (réglages des logs par défaut, je ne sais pas si l'on
peut les rentre plus verbeux)

1320011296.242 725 10.131.100.1 TCP_MISS/200 27772 GET http://www.fsf.org/ - DIRECT/140.186.70.131 text/html
1320011296.345 124 10.131.100.1 TCP_MISS/200 538 GET http://udc.msn.com/c.gif? - DIRECT/94.245.74.12 image/gif
1320011296.452 292 10.131.100.1 TCP_MISS/301 680 GET http://www.fsf.org/static/nosvn/plone3/css/mobile.css - DIRECT/140.186.70.131 text/html
1320011296.553 204 10.131.100.1 TCP_MISS/301 670 GET http://www.fsf.org/static/nosvn/join.en.png - DIRECT/140.186.70.131 text/html

(snip une trentaine de lignes du même style)

1320011343.708 641 10.131.100.1 TCP_MISS/200 19537 GET http://www.gnu.org/ - DIRECT/140.186.70.148 text/html
1320011343.761 317 10.131.100.1 TCP_MISS/200 2313 GET http://www.gnu.org/mini.css - DIRECT/140.186.70.148 text/css
1320011343.916 484 10.131.100.1 TCP_MISS/200 7258 GET http://www.gnu.org/combo.css - DIRECT/140.186.70.148 text/css
1320011344.029 317 10.131.100.1 TCP_MISS/200 2158 GET http://www.gnu.org/print.css - DIRECT/140.186.70.148 text/css

(resnip qq images)

pour moi, à première vue pas de différence entre le site filtré et l'autre...

Méphisto
Professeur M
Le #23920191
Le Sun, 30 Oct 2011 22:52:07 +0100, Bruno Tréguier a écrit :

Or,
vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du
coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.



nickel, c'était bien ça...

Merci


1320011973.410 0 10.131.100.1 TCP_DENIED/403 1472 GET http://www.gnu.org/ - NONE/- text/html
Publicité
Poster une réponse
Anonyme