Discussion :

[Spriurm]

Bonjour,

Je sais qu'en aillant fait des recherches sur internet, de nombreux forum ont déjà débattu sur cette question,
mais après plusieurs recherches sur des forums ou des tutos, je n'ai pas réussi à trouver des réponses à ce que je voulais.

C'est pour cela que je vous demande comment configurer un Proxy Squid pour que tout Internet soit bloqué sauf un site particulier.

Pour l'instant j'ai configuré mon fichier squid.conf comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
http_port 3128
acl LocalNet src 192.168.200.0/24
http_access allow LocalNet

Ce qui me permet d'avoir accès à Internet.

Merci,

[BufferBob]

salut,

tout Internet soit bloqué sauf un site particulier

c'est ce qu'on appelle une liste blanche ou whitelist, par opposition à la liste noire où seuls certains sites sont bloqués explicitement

une rapide recherche semble indiquer que c'est assez facile :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
acl toto src 192.168.200.0/24
acl toto dstdomain "/etc/squid/whitelist.txt"
http_access allow toto

de ce que je comprends l'utilisation d'un fichier pour la liste blanche est juste une facilité, on pourrait très bien mettre les noms de domaines à autoriser directement sur la ligne de l'acl dstdomain, par contre il ne faut évidemment pas oublier de reload Squid à chaque fois qu'on rajoute/enlève un site pour que ce soit bien pris en compte

[Spriurm]

Merci, tu m'as mis sur la voie, je ne sais pas pourquoi je n'ai pas du tout eu l'idée de faire des recherches avec le mot clé "whitelist"...

J'ai donc eu plusieurs erreurs, avec que tu m'avais donné de base, grâce à de nouvelles recherches, j'ai réussi à faire ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
http_port 3128
acl LocalNet src 192.168.200.0/24
acl whitelist dstdomain "/etc/squid/whitelist.txt"
http_access allow LocalNet !whitelist

Mais la blague maintenant, c'est que j'ai accès à tous les sites sauf celui que j'ai mis dans le fichier whitelist


[EDIT :]

Problème résolu, j'ai maintenant accès qu'au site que j'ai renseigné dans "whitelist.txt"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
http_port 3128
acl LocalNet src 192.168.200.0/24
acl whitelist dstdomain "/etc/squid/whitelist.txt"
http_access deny LocalNet !whitelist

[BufferBob]

Mais la blague maintenant, c'est que j'ai accès à tous les sites sauf celui que j'ai mis dans le fichier whitelist

oui, parce qu'en toute logique en mettant !toto tu en as fais non plus une liste blanche mais le contraire, c'est à dire une liste noire, exactement le contraire de ce que tu voulais donc...

au flair je dirais qu'il enlever le point d'exclamation, et essayer de comprendre les erreurs que sort Squid

[Spriurm]

oui, parce qu'en toute logique en mettant !toto tu en as fais non plus une liste blanche mais le contraire, c'est à dire une liste noire, exactement le contraire de ce que tu voulais donc...

au flair je dirais qu'il enlever le point d'exclamation, et essayer de comprendre les erreurs que sort Squid

j'ai édité mon précédent message, en mettant "deny" à la 4ème ligne cela fonctionne.

[Spriurm]

Mais j'ai donc un nouveau problème désormais, est-il possible que Squid détecte la version de Firefox utilisée ?

C'est à dire que j'ai deux versions de Firefox sur le parc, mon exemple :

[Flodelarab]

Bonjour

est-il possible que Squid détecte la version de Firefox utilisée ?

Houlala.

"Chaque logiciel fait une chose, et il le fait bien"

Pour quelle obscure raison squid devrait-il contrôler la version de Firefox ?
Que se passe-t-il si l'utilisateur n'utilise pas Firefox ?

[BufferBob]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
acl LocalNet src 192.168.200.0/24
acl whitelist dstdomain "/etc/squid/whitelist.txt"
http_access deny LocalNet !whitelist

je trouve ça un peu étrange, ça veut dire que Squid laisse tout passer par défaut ?
la doc semble dire le contraire :

Default Value: Deny, unless rules exist in squid.conf.

Mais j'ai donc un nouveau problème désormais, est-il possible que Squid détecte la version de Firefox utilisée ?

techniquement ça doit être faisable, mais ça n'est pas du tout fiable, la seule façon qu'a le proxy de connaitre la version du navigateur c'est de regarder le champs User-Agent de la requête, mais ça se modifie comme qui rigole donc en faire un mécanisme de sécurité serait une erreur grossière

c'est néanmoins faisable techniquement via la directive browser (comme "src" ou "dstdomain")
http://www.squid-cache.org/Doc/config/acl/ :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
	acl aclname browser [-i] regexp ...
	  # pattern match on User-Agent header (see also req_header below) [fast]

[Spriurm]

Bonjour

Houlala.

Pour quelle obscure raison squid devrait-il contrôler la version de Firefox ?
Que se passe-t-il si l'utilisateur n'utilise pas Firefox ?

Donc, actuellement, je suis en stage, mon travail été de virtualiser Firefox 24.6.0 ESR (ils l'utilisent pour une application métier en ligne, mais elle présente des failles de sécurité), j'ai réussi la virtualisation avec ThinApp, ce qui m'a permis de créer une application indépendante du système d'exploitation avec sa propre base de registres etc...

Puis une version récente de Firefox non virtualisée pour surfer sur Internet.

Le couic est que l'entreprise où je suis possède déjà un serveur proxy Squid, avec une configuration, ils préfèrent donc utiliser ce serveur pour qu'il puisse maintenant différencier ces deux versions de Firefox pour que la vieille version soit bloquée qu'à accéder à un unique site (l'application métier en ligne) et que la version plus récente puisse accéder à Internet avec la configuration de filtrage déjà en place.

[Spriurm]

je trouve ça un peu étrange, ça veut dire que Squid laisse tout passer par défaut ?
la doc semble dire le contraire : Default Value: Deny, unless rules exist in squid.conf.

Je trouve ça également étrange, mais pourtant, je n'ai pas d'autres lignes de configurations dans mon fichier squid.conf.

Je vais étudier la méthode que tu m'as donnée pour la version du navigateur, merci.

[Spriurm]

Mais ou sinon je me disais, il n'y a pas moyen de mettre deux ports différents dans la configuration de Squid avec chacun sa configuration ?
Ce serait peut-être plus simple ?

[Spriurm]

Problème résolu !

Le filtrage entre les versions 58 et 24 sont fonctionnels, dans le fichier de configuration suivant, la version 58 a un total accès sur Internet, puis la version 24 est quant-à elle restreinte à la whitelist.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
http_port 3128
acl LocalNet src 192.168.200.0/24
acl version58 browser Firefox\/58
http_access allow LocalNet version58
acl version24 browser Firefox\/24
acl whitelist dstdomain "/etc/squid/whitelist.txt"
http_access deny LocalNet !whitelist version24

Merci de votre aide, je passe le post en résolu !


J'ai fait une petite doc ! https://kgrall.wordpress.com/2018/01...r-proxy-squid/