1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196
| ## Nom du proxy
visible_hostname PROXY
## Port du proxy (par défaut)
http_port 3128
## Configuration recommandé par Squid (le double D n'est pas une faute de frape!)
cache_effective_group winbindd_priv
###
## Configuration pour SBS
#auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm program /usr/lib/squid3/ntlm_smb_lm_auth
auth_param ntlm children 20 startup=0 idle=1
auth_param ntlm keep_alive on
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic program /usr/lib/squid3/ntlm_smb_lm_auth
auth_param basic children 20
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
###
## Configuration recommandé par Squid
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
###
## Définit le type d'ACL groupe_SBS se rapportant sur les groupes SBS
# TTL 5 minutes (regulier)
external_acl_type groupe_SBS ttl=300 %LOGIN /usr/lib/squid3/wbinfo_group.pl
# TTL 1 seconde (pour tests)
#external_acl_type groupe_SBS ttl=1 %LOGIN /usr/lib/squid3/wbinfo_group.pl
## Configuration recommandé par Squid
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 88 # alternate HTTP
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
###
## Définition des groupes
# acl Nom du groupe Squid Type de liste Nom du groupe SBS (minuscule)
# acl SBS_NomDuGroupe external groupe_SBS nomdugroupe
acl SBS_InternetAcces4 external groupe_SBS InternetAcces4
acl SBS_InternetAcces3 external groupe_SBS InternetAcces3
acl SBS_InternetAcces2 external groupe_SBS InternetAcces2
acl SBS_InternetAcces1 external groupe_SBS InternetAcces1
acl SBS_InternetAcces0 external groupe_SBS InternetAcces0
###
## Définition des sites autorisés (par groupe)
# Ces listes retournent Ã* des fichiers externes
# afin d'alléger le fichier de configuration principal
#
# Note: Les expressions régulières sont sensible Ã* la case.
# L'option -i désactive la sensibilité de la case
#
# acl Nom de la liste Squid Type de liste "/chemin/du/fichier.txt"
# acl Allow_Groupe url_regex -i "/etc/squid3/Allow/Sites/Groupe.txt"
#
acl AllowIA4 url_regex -i "/etc/squid3/ACLs/AllowIA4.txt"
acl AllowIA3 url_regex -i "/etc/squid3/ACLs/AllowIA3.txt"
acl AllowIA2 url_regex -i "/etc/squid3/ACLs/AllowIA2.txt"
acl AllowIA1 url_regex -i "/etc/squid3/ACLs/AllowIA1.txt"
acl AllowIA0 url_regex -i "/etc/squid3/ACLs/AllowIA0.txt"
acl DenyIA4 url_regex -i "/etc/squid3/ACLs/DenyIA4.txt"
acl DenyIA3 url_regex -i "/etc/squid3/ACLs/DenyIA3.txt"
acl DenyIA2 url_regex -i "/etc/squid3/ACLs/DenyIA2.txt"
acl DenyIA1 url_regex -i "/etc/squid3/ACLs/DenyIA1.txt"
###
## ACL RESEAU_LOCAL pour permettre les adresses interne
acl RESEAU_LOCAL url_regex -i 192\.168\.0
acl RESEAU_LOCAL url_regex -i intranet\.ashcent\.com
acl RESEAU_LOCAL url_regex -i .\.ashton\.local
## ACL SSL_CERT pour permettre la validation des certificat SSL
acl SSL_CERT url_regex -i ^<a href="http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/" target="_blank">http://www.download.windowsupdate.co...atic/trustedr/</a>
acl SSL_CERT url_regex -i ^<a href="http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/" target="_blank">http://www.download.windowsupdate.co...atic/trustedr/</a>
acl SSL_CERT url_regex -i ^<a href="http://crl.godaddy.com/" target="_blank">http://crl.godaddy.com/</a>
acl SSL_CERT url_regex -i .*\.verisign\.com
## ACL BlockMSN 1 a 3
# Il necessite trois type different d'ACL pour bloquer MSN Messenger
acl BlockMSN1 url_regex -i gateway.edge.messenger.live.com
acl BlockMSN2 req_mime_type -i ^application/x-msn-messenger$
acl BlockMSN3 url_regex -i gateway.dll
## ACL Updates Sites
# Donne acces a certains sites de mises a jour a tout le monde
acl UPDATE_SITES url_regex -i "/etc/squid3/ACLs/Update_Sites.txt"
## Configuration recommandé par Squid
http_access allow manager localhost
http_access deny manager
http_access deny BlockMSN1
http_access deny BlockMSN2
http_access deny BlockMSN3
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
###
## Définition des accès
# Comme les accès sont définis ligne par ligne,
# nous débutons avec le groupe le plus strict
# Excepter le groupe Restreint, tous les autres sont autorise
# au reseau interne et a valider des certificats SSL
http_access allow RESEAU_LOCAL all
http_access allow SSL_CERT all
http_access allow UPDATE_SITES all
# Nous bloquons MSN
http_access deny BlockMSN1
http_access deny BlockMSN2
http_access deny BlockMSN3
###
http_access deny SBS_InternetAcces0 !AllowIA0
http_access deny DenyIA4
http_access allow SBS_InternetAcces4 AllowIA4
http_access deny DenyIA3
http_access allow SBS_InternetAcces3 AllowIA3
http_access deny DenyIA2
http_access allow SBS_InternetAcces2 AllowIA2
http_access deny DenyIA1
http_access allow SBS_InternetAcces1 AllowIA1
# lignes d'accès, nous refusons l'accès
http_access allow all
# Puisque le protocole ICP n'est pas utilisé,
# nous refusons toute communication ICP
icp_port 0
## Configuration recommandé par Squid
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
###
# Ajout du domaine puisque Squid n'utilise
# pas l'entrée search du fichier /etc/resolv.conf
append_domain .ashton.local
# N'inclus pas l'adresse IP ou le nom de machine
# dans les requêtes HTTP
forwarded_for off
coredump_dir /var/spool/squid3 |
Partager