je cherche à mettre en place un controle parental sur mon poste linux
(Debian Sarge) lequel à un accès ADSL.
J'ai installé Squid/Squidguard et tout fonctionne bien quand je configure
le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de
décocher l'option "connexion par proxy" dans les préférences de firefox
(ou même d'utiliser un autre navigateur) et de sélectionner une
connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en
sortie ce qui règlerait le changement d'option dans le navigateur ; mais
dans ce cas Squid n'accèderait pas non plus aux sites...
Le Sat, 05 Mar 2005 19:53:25 +0100, brigitte a écrit:
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ;
C'est LA solution.
mais dans ce cas Squid n'accèderait pas non plus aux sites...
Sauf si justement lui seul est autorisé à sortir. Il y a une option owner dans iptables quelque part. D'autres te donneront peut-être plus d'infos. Le firewall est sur la machine cliente ? Sinon, c'est carrément l'ip qu'il faut filtrer.
Auriez-vous une solution à mon problème ?
Je n'ai que celle là.
Merci.
Je t'en prie.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Sat, 05 Mar 2005 19:53:25 +0100, brigitte a écrit:
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en
sortie ce qui règlerait le changement d'option dans le navigateur ;
C'est LA solution.
mais dans ce cas Squid n'accèderait pas non plus aux sites...
Sauf si justement lui seul est autorisé à sortir. Il y a une option
owner dans iptables quelque part. D'autres te donneront peut-être plus
d'infos.
Le firewall est sur la machine cliente ?
Sinon, c'est carrément l'ip qu'il faut filtrer.
Le Sat, 05 Mar 2005 19:53:25 +0100, brigitte a écrit:
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ;
C'est LA solution.
mais dans ce cas Squid n'accèderait pas non plus aux sites...
Sauf si justement lui seul est autorisé à sortir. Il y a une option owner dans iptables quelque part. D'autres te donneront peut-être plus d'infos. Le firewall est sur la machine cliente ? Sinon, c'est carrément l'ip qu'il faut filtrer.
Auriez-vous une solution à mon problème ?
Je n'ai que celle là.
Merci.
Je t'en prie.
-- Christophe PEREZ Écrivez moi sans _faute !
Raphaël 'SurcouF' Bordet
Bonjour,
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je configu re le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) d e décocher l'option "connexion par proxy" dans les préférences de fir efox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ; mai s dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Oui et toujours à base de Netfilter. La souplesse de cet outil permet de bien cerner les paquets qu'on désire filtrer, manipuler ou pas. Ce que je conseillerais donc est d'écrire un ensemble de règles permettant de rediriger obligatoirement le traffic HTTP vers le proxy qu'est Squid. Pour cela, il faut bien comprendre comment fonctionne Netfiler: les trois chaînes de base que sont INPUT, FORWARD et OUTPUT n'ont pas le rôle que beaucoup de débutants comprennent. En effet, INPU T et OUTPUT ne concerne *que* l'hôte local. Tout ce qui concerne le tranfert de paquets à travers lui passera par FORWARD, sans notion d'entrée ni de sortie à moins de préciser quelques options. À celle s-ci viennent s'ajouter les chaînes PREROUTING et POSTROUTING notamment utilisées respectivement avant et après la table de routage de la pile TCP/IP du noyau. Ces deux chaînes ne sont accessibles que via les tables nat et mangle alors que les trois autres le sont à toutes même à filt er.
Venons-en à la pratique technique: - Soit eth0, l'interface interne de la passerelle, reliée au réseau local et ppp0, l'interface externe, reliée directement à Internet. - Soit 192.168.0.1, l'adresse IP attribuée à l'interface eth0. - Soit 3128, le port sur lequel squid écoute pour recevoir les clients. - Soit 80, le port sur lequel les clients devront contacter les serveurs extérieurs.
Cette règle aura pour simple effet de modifier l'adresse IP de destination ainsi que le port dans l'entête IP si le protocole est TCP, le port de destination d'origine 80 et que le paquet se soit présenté par l'interface eth0. Ainsi, rien n'empêchera squid de pouvoir aller sur le réseau mais tes enfants seront obligés de passer par lui. C'est ce qu'on appelle un "proxy transparent".
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
Bonjour,
je cherche à mettre en place un controle parental sur mon poste linux
(Debian Sarge) lequel à un accès ADSL.
J'ai installé Squid/Squidguard et tout fonctionne bien quand je configu re
le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) d e
décocher l'option "connexion par proxy" dans les préférences de fir efox
(ou même d'utiliser un autre navigateur) et de sélectionner une
connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en
sortie ce qui règlerait le changement d'option dans le navigateur ; mai s
dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Oui et toujours à base de Netfilter.
La souplesse de cet outil permet de bien cerner les paquets qu'on désire
filtrer, manipuler ou pas.
Ce que je conseillerais donc est d'écrire un ensemble de règles
permettant de rediriger obligatoirement le traffic HTTP vers le proxy
qu'est Squid. Pour cela, il faut bien comprendre comment fonctionne
Netfiler: les trois chaînes de base que sont INPUT, FORWARD et OUTPUT
n'ont pas le rôle que beaucoup de débutants comprennent. En effet, INPU T
et OUTPUT ne concerne *que* l'hôte local. Tout ce qui concerne le
tranfert de paquets à travers lui passera par FORWARD, sans notion
d'entrée ni de sortie à moins de préciser quelques options. À celle s-ci
viennent s'ajouter les chaînes PREROUTING et POSTROUTING notamment
utilisées respectivement avant et après la table de routage de la pile
TCP/IP du noyau. Ces deux chaînes ne sont accessibles que via les tables
nat et mangle alors que les trois autres le sont à toutes même à filt er.
Venons-en à la pratique technique:
- Soit eth0, l'interface interne de la passerelle, reliée au réseau
local et ppp0, l'interface externe, reliée directement à Internet.
- Soit 192.168.0.1, l'adresse IP attribuée à l'interface eth0.
- Soit 3128, le port sur lequel squid écoute pour recevoir les clients.
- Soit 80, le port sur lequel les clients devront contacter les serveurs
extérieurs.
Cette règle aura pour simple effet de modifier l'adresse IP de
destination ainsi que le port dans l'entête IP si le protocole est TCP,
le port de destination d'origine 80 et que le paquet se soit présenté
par l'interface eth0. Ainsi, rien n'empêchera squid de pouvoir aller sur
le réseau mais tes enfants seront obligés de passer par lui. C'est ce
qu'on appelle un "proxy transparent".
--
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je configu re le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) d e décocher l'option "connexion par proxy" dans les préférences de fir efox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ; mai s dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Oui et toujours à base de Netfilter. La souplesse de cet outil permet de bien cerner les paquets qu'on désire filtrer, manipuler ou pas. Ce que je conseillerais donc est d'écrire un ensemble de règles permettant de rediriger obligatoirement le traffic HTTP vers le proxy qu'est Squid. Pour cela, il faut bien comprendre comment fonctionne Netfiler: les trois chaînes de base que sont INPUT, FORWARD et OUTPUT n'ont pas le rôle que beaucoup de débutants comprennent. En effet, INPU T et OUTPUT ne concerne *que* l'hôte local. Tout ce qui concerne le tranfert de paquets à travers lui passera par FORWARD, sans notion d'entrée ni de sortie à moins de préciser quelques options. À celle s-ci viennent s'ajouter les chaînes PREROUTING et POSTROUTING notamment utilisées respectivement avant et après la table de routage de la pile TCP/IP du noyau. Ces deux chaînes ne sont accessibles que via les tables nat et mangle alors que les trois autres le sont à toutes même à filt er.
Venons-en à la pratique technique: - Soit eth0, l'interface interne de la passerelle, reliée au réseau local et ppp0, l'interface externe, reliée directement à Internet. - Soit 192.168.0.1, l'adresse IP attribuée à l'interface eth0. - Soit 3128, le port sur lequel squid écoute pour recevoir les clients. - Soit 80, le port sur lequel les clients devront contacter les serveurs extérieurs.
Cette règle aura pour simple effet de modifier l'adresse IP de destination ainsi que le port dans l'entête IP si le protocole est TCP, le port de destination d'origine 80 et que le paquet se soit présenté par l'interface eth0. Ainsi, rien n'empêchera squid de pouvoir aller sur le réseau mais tes enfants seront obligés de passer par lui. C'est ce qu'on appelle un "proxy transparent".
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
Raphaël 'SurcouF' Bordet
Le samedi 05 mars 2005 à 21:13 +0100, Raphaël 'SurcouF' Bordet a écri t :
Bonjour,
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je confi gure le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de décocher l'option "connexion par proxy" dans les préférences de f irefox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 8 0 en sortie ce qui règlerait le changement d'option dans le navigateur ; m ais dans ce cas Squid n'accèderait pas non plus aux sites...
Humm, j'ai lu un peu trop vite, semblerait-il...
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
Le samedi 05 mars 2005 à 21:13 +0100, Raphaël 'SurcouF' Bordet a écri t :
Bonjour,
je cherche à mettre en place un controle parental sur mon poste linux
(Debian Sarge) lequel à un accès ADSL.
J'ai installé Squid/Squidguard et tout fonctionne bien quand je confi gure
le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de
décocher l'option "connexion par proxy" dans les préférences de f irefox
(ou même d'utiliser un autre navigateur) et de sélectionner une
connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 8 0 en
sortie ce qui règlerait le changement d'option dans le navigateur ; m ais
dans ce cas Squid n'accèderait pas non plus aux sites...
Humm, j'ai lu un peu trop vite, semblerait-il...
--
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net
Le samedi 05 mars 2005 à 21:13 +0100, Raphaël 'SurcouF' Bordet a écri t :
Bonjour,
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je confi gure le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de décocher l'option "connexion par proxy" dans les préférences de f irefox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 8 0 en sortie ce qui règlerait le changement d'option dans le navigateur ; m ais dans ce cas Squid n'accèderait pas non plus aux sites...
Humm, j'ai lu un peu trop vite, semblerait-il...
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
brigitte
Le Sat, 05 Mar 2005 16:03:45 -0400, Christophe PEREZ a écrit :
Le Sat, 05 Mar 2005 19:53:25 +0100, brigitte a écrit:
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ;
C'est LA solution.
mais dans ce cas Squid n'accèderait pas non plus aux sites...
Sauf si justement lui seul est autorisé à sortir. Il y a une option owner dans iptables quelque part.
Merci beaucoup : ça fonctionne à merveille avec le module owner "option --uid-owner 13" (13 correspondant à l'utilisateur proxy).
Encore merci.
Le Sat, 05 Mar 2005 16:03:45 -0400, Christophe PEREZ a écrit :
Le Sat, 05 Mar 2005 19:53:25 +0100, brigitte a écrit:
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en
sortie ce qui règlerait le changement d'option dans le navigateur ;
C'est LA solution.
mais dans ce cas Squid n'accèderait pas non plus aux sites...
Sauf si justement lui seul est autorisé à sortir. Il y a une option
owner dans iptables quelque part.
Merci beaucoup : ça fonctionne à merveille avec le module owner "option
--uid-owner 13" (13 correspondant à l'utilisateur proxy).
Le Sat, 05 Mar 2005 22:09:05 +0100, brigitte a écrit:
Merci beaucoup : ça fonctionne à merveille avec le module owner "option --uid-owner 13" (13 correspondant à l'utilisateur proxy).
Encore merci.
Tu m'en vois ravi, pour une fois que je sers à quelque chose ici ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
David LE BOURGEOIS
Bonjour,
Bonsoir.
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je configure le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de décocher l'option "connexion par proxy" dans les préférences de firefox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ; mais dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Un proxy transparent ?
Par exemple, au hasard dans Google : http://www.fido-fr.net/linux_squid_iptables.shtml
-- David LE BOURGEOIS
Bonjour,
Bonsoir.
je cherche à mettre en place un controle parental sur mon poste linux
(Debian Sarge) lequel à un accès ADSL.
J'ai installé Squid/Squidguard et tout fonctionne bien quand je configure
le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de
décocher l'option "connexion par proxy" dans les préférences de firefox
(ou même d'utiliser un autre navigateur) et de sélectionner une
connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en
sortie ce qui règlerait le changement d'option dans le navigateur ; mais
dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Un proxy transparent ?
Par exemple, au hasard dans Google :
http://www.fido-fr.net/linux_squid_iptables.shtml
je cherche à mettre en place un controle parental sur mon poste linux (Debian Sarge) lequel à un accès ADSL. J'ai installé Squid/Squidguard et tout fonctionne bien quand je configure le proxy en "localhost:3128" dans mon navigateur (Firefox).
Cependant, comment empêcher mes utilisateurs (jeunes mais rusés :)) de décocher l'option "connexion par proxy" dans les préférences de firefox (ou même d'utiliser un autre navigateur) et de sélectionner une connexion directe ?
J'ai pensé à interdire avec Iptables/Netfilter l'accès aux port 80 en sortie ce qui règlerait le changement d'option dans le navigateur ; mais dans ce cas Squid n'accèderait pas non plus aux sites...
Auriez-vous une solution à mon problème ?
Un proxy transparent ?
Par exemple, au hasard dans Google : http://www.fido-fr.net/linux_squid_iptables.shtml
-- David LE BOURGEOIS
TiChou
Dans le message <news:422cce08$0$27871$, *David LE BOURGEOIS* tapota sur f.c.o.l.configuration :
Un proxy transparent ?
Par exemple, au hasard dans Google : http://www.fido-fr.net/linux_squid_iptables.shtml
Ça ne répond pas du tout à son problème.
-- TiChou
Dans le message <news:422cce08$0$27871$626a14ce@news.free.fr>,
*David LE BOURGEOIS* tapota sur f.c.o.l.configuration :
Un proxy transparent ?
Par exemple, au hasard dans Google :
http://www.fido-fr.net/linux_squid_iptables.shtml
