j'ai besoin de faire des tests de config de navigateurs derrière un
proxy, test que je fait en virtualbox.
J'ai donc crée un réseau virtuel dans virtualbox, une MV à deux cartes
réseau, une debian minimale et squid. Lle proxy fonctionne (testé depuis
un client XP virtuel) mais pas le filtrage.
Comme ce n'est pas le proxy ne tant que tel qui m'interresse, mais les
clients, je ne cherche pas une config poussée du type squid + squidguard.
Simplement un proxy et un domaine interdit pour vérifier le bon
fonctionnement...
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)
La config est de base et les lignes modifiées sont suivies de #***
Une idée pour débloquer (enfin, bloquer, justement) la situation ?
Merci
Méphisto
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.131.0.0/16 #***
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On 30 Oct 2011 16:31:48 GMT, Professeur Méphisto :
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le client, y compris celui interdit (sex.com)
La première chose à faire, c'est de demander à Squid de tout enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers sex.com.
On 30 Oct 2011 16:31:48 GMT, Professeur Méphisto
<professeur.mephisto@wanadooooo.fr>:
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)
La première chose à faire, c'est de demander à Squid de tout
enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta
requête vers sex.com.
On 30 Oct 2011 16:31:48 GMT, Professeur Méphisto :
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le client, y compris celui interdit (sex.com)
La première chose à faire, c'est de demander à Squid de tout enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers sex.com.
Bruno Tréguier
Le 30/10/2011 à 17:31, Professeur Méphisto a écrit :
Salutàtous,
Bonsoirtoutseul ! :-)
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le client, y compris celui interdit (sex.com)
La config est de base et les lignes modifiées sont suivies de #***
Une idée pour débloquer (enfin, bloquer, justement) la situation ?
Vi, peut-être bien: normalement, dans squid, les ACL sont examinées les unes après les autres, et la 1ère qui matche arrête le processus... Or, vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.
Commencez par des "deny" tout ce qui est interdit, et seulement ensuite, autorisez les connexions de votre réseau local, et enfin, terminez pas un "http_access deny all"...
Bonne soirée.
Cordialement,
-- Bruno Tréguier
Le 30/10/2011 à 17:31, Professeur Méphisto a écrit :
Salutàtous,
Bonsoirtoutseul ! :-)
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le
client, y compris celui interdit (sex.com)
La config est de base et les lignes modifiées sont suivies de #***
Une idée pour débloquer (enfin, bloquer, justement) la situation ?
Vi, peut-être bien: normalement, dans squid, les ACL sont examinées les
unes après les autres, et la 1ère qui matche arrête le processus... Or,
vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du
coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.
Commencez par des "deny" tout ce qui est interdit, et seulement ensuite,
autorisez les connexions de votre réseau local, et enfin, terminez pas
un "http_access deny all"...
Le 30/10/2011 à 17:31, Professeur Méphisto a écrit :
Salutàtous,
Bonsoirtoutseul ! :-)
or, avec mon squid.conf (ci-dessous), tous les domaines passent depuis le client, y compris celui interdit (sex.com)
La config est de base et les lignes modifiées sont suivies de #***
Une idée pour débloquer (enfin, bloquer, justement) la situation ?
Vi, peut-être bien: normalement, dans squid, les ACL sont examinées les unes après les autres, et la 1ère qui matche arrête le processus... Or, vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.
Commencez par des "deny" tout ce qui est interdit, et seulement ensuite, autorisez les connexions de votre réseau local, et enfin, terminez pas un "http_access deny all"...
Bonne soirée.
Cordialement,
-- Bruno Tréguier
Professeur M
Le Sun, 30 Oct 2011 18:04:28 +0100, Fabien LE LEZ a écrit :
La première chose à faire, c'est de demander à Squid de tout enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers sex.com.
j'ai continué mes essais... mais comme j'avais mon petit avec moi dans mon bureau cet après-midi, la règle de filtrage de sex.com à été changée en
acl cestmal dstdomain .gnu.org
;-)
résultat des logs : (réglages des logs par défaut, je ne sais pas si l'on peut les rentre plus verbeux)
1320011296.242 725 10.131.100.1 TCP_MISS/200 27772 GET http://www.fsf.org/ - DIRECT/140.186.70.131 text/html 1320011296.345 124 10.131.100.1 TCP_MISS/200 538 GET http://udc.msn.com/c.gif? - DIRECT/94.245.74.12 image/gif 1320011296.452 292 10.131.100.1 TCP_MISS/301 680 GET http://www.fsf.org/static/nosvn/plone3/css/mobile.css - DIRECT/140.186.70.131 text/html 1320011296.553 204 10.131.100.1 TCP_MISS/301 670 GET http://www.fsf.org/static/nosvn/join.en.png - DIRECT/140.186.70.131 text/html
(snip une trentaine de lignes du même style)
1320011343.708 641 10.131.100.1 TCP_MISS/200 19537 GET http://www.gnu.org/ - DIRECT/140.186.70.148 text/html 1320011343.761 317 10.131.100.1 TCP_MISS/200 2313 GET http://www.gnu.org/mini.css - DIRECT/140.186.70.148 text/css 1320011343.916 484 10.131.100.1 TCP_MISS/200 7258 GET http://www.gnu.org/combo.css - DIRECT/140.186.70.148 text/css 1320011344.029 317 10.131.100.1 TCP_MISS/200 2158 GET http://www.gnu.org/print.css - DIRECT/140.186.70.148 text/css
(resnip qq images)
pour moi, à première vue pas de différence entre le site filtré et l'autre...
Méphisto
Le Sun, 30 Oct 2011 18:04:28 +0100, Fabien LE LEZ a écrit :
La première chose à faire, c'est de demander à Squid de tout enregistrer
dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers
sex.com.
j'ai continué mes essais... mais comme j'avais mon petit avec moi dans
mon bureau cet après-midi, la règle de filtrage de sex.com à été changée en
acl cestmal dstdomain .gnu.org
;-)
résultat des logs : (réglages des logs par défaut, je ne sais pas si l'on
peut les rentre plus verbeux)
1320011296.242 725 10.131.100.1 TCP_MISS/200 27772 GET http://www.fsf.org/ - DIRECT/140.186.70.131 text/html
1320011296.345 124 10.131.100.1 TCP_MISS/200 538 GET http://udc.msn.com/c.gif? - DIRECT/94.245.74.12 image/gif
1320011296.452 292 10.131.100.1 TCP_MISS/301 680 GET http://www.fsf.org/static/nosvn/plone3/css/mobile.css - DIRECT/140.186.70.131 text/html
1320011296.553 204 10.131.100.1 TCP_MISS/301 670 GET http://www.fsf.org/static/nosvn/join.en.png - DIRECT/140.186.70.131 text/html
(snip une trentaine de lignes du même style)
1320011343.708 641 10.131.100.1 TCP_MISS/200 19537 GET http://www.gnu.org/ - DIRECT/140.186.70.148 text/html
1320011343.761 317 10.131.100.1 TCP_MISS/200 2313 GET http://www.gnu.org/mini.css - DIRECT/140.186.70.148 text/css
1320011343.916 484 10.131.100.1 TCP_MISS/200 7258 GET http://www.gnu.org/combo.css - DIRECT/140.186.70.148 text/css
1320011344.029 317 10.131.100.1 TCP_MISS/200 2158 GET http://www.gnu.org/print.css - DIRECT/140.186.70.148 text/css
(resnip qq images)
pour moi, à première vue pas de différence entre le site filtré et l'autre...
Le Sun, 30 Oct 2011 18:04:28 +0100, Fabien LE LEZ a écrit :
La première chose à faire, c'est de demander à Squid de tout enregistrer dans les logs. Tu pourras ainsi voir ce qu'il fait de ta requête vers sex.com.
j'ai continué mes essais... mais comme j'avais mon petit avec moi dans mon bureau cet après-midi, la règle de filtrage de sex.com à été changée en
acl cestmal dstdomain .gnu.org
;-)
résultat des logs : (réglages des logs par défaut, je ne sais pas si l'on peut les rentre plus verbeux)
1320011296.242 725 10.131.100.1 TCP_MISS/200 27772 GET http://www.fsf.org/ - DIRECT/140.186.70.131 text/html 1320011296.345 124 10.131.100.1 TCP_MISS/200 538 GET http://udc.msn.com/c.gif? - DIRECT/94.245.74.12 image/gif 1320011296.452 292 10.131.100.1 TCP_MISS/301 680 GET http://www.fsf.org/static/nosvn/plone3/css/mobile.css - DIRECT/140.186.70.131 text/html 1320011296.553 204 10.131.100.1 TCP_MISS/301 670 GET http://www.fsf.org/static/nosvn/join.en.png - DIRECT/140.186.70.131 text/html
(snip une trentaine de lignes du même style)
1320011343.708 641 10.131.100.1 TCP_MISS/200 19537 GET http://www.gnu.org/ - DIRECT/140.186.70.148 text/html 1320011343.761 317 10.131.100.1 TCP_MISS/200 2313 GET http://www.gnu.org/mini.css - DIRECT/140.186.70.148 text/css 1320011343.916 484 10.131.100.1 TCP_MISS/200 7258 GET http://www.gnu.org/combo.css - DIRECT/140.186.70.148 text/css 1320011344.029 317 10.131.100.1 TCP_MISS/200 2158 GET http://www.gnu.org/print.css - DIRECT/140.186.70.148 text/css
(resnip qq images)
pour moi, à première vue pas de différence entre le site filtré et l'autre...
Méphisto
Professeur M
Le Sun, 30 Oct 2011 22:52:07 +0100, Bruno Tréguier a écrit :
Or, vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.
nickel, c'était bien ça...
Merci
1320011973.410 0 10.131.100.1 TCP_DENIED/403 1472 GET http://www.gnu.org/ - NONE/- text/html
Le Sun, 30 Oct 2011 22:52:07 +0100, Bruno Tréguier a écrit :
Or,
vous avez un "http allow localnet" *avant* le "http deny cestmal"... Du
coup, tout passe parce que le "http deny cestmal" n'est jamais examiné.
nickel, c'était bien ça...
Merci
1320011973.410 0 10.131.100.1 TCP_DENIED/403 1472 GET http://www.gnu.org/ - NONE/- text/html