Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Squidguard ne filtre pas

kbvz

Bonjour,

je risque d'assaillir de demandes...

Mon squid+squiguard sont actifs...
squid relaie bien le net quand il est réglé dans le navigateur mais il ne il ne semble pas filtrer

-Mon squidguard ne bloque pas youporn et pornhub alors que j'ai le filtre porn dans le fichier de conf
-->livejasmin qui est un site que j'ai trouvé dans le fichier de blacklist, n'est pas bloqué non plus...

- Dois je refaire les bases de données (squidGuard -C) si je modifie les fichiers sources des blacklists ?

-je n'ai pas vu, mais ca doit s'automatiser cela ? (la maj des listes ?)

- Est ce que tout bêtement, dans squidguard, je peux creer repertoire et fichiers avec ce que je veux dedans ?
en gros je creer ma catégorie que j'appellerais "petitsmalins" et je mettrais des domains et des urls dans des fichiers respectifs

merci pour vos réponses

NicoApi73

Bonjour,

Donne entre balises code et séparemment le retour des 2 commandes suivantes :

sudo cat /etc/squid/squid.conf | grep -v '^#' | grep -n '.'

sudo cat /etc/squidguard/squidGuard.conf | grep -v '^#' | grep -n '.'

A ma connaissance, oui tu dois reconstruire la base de données de filtrage à chaque modification. Par contre, règle un problème l'un après l'autre : ne modifie pas ta configuration, tes bases et encore d'autres choses en même temps

kbvz

Alors ca semble fonctionner car les premiers resultats porn dans bing ne s'ouvrent pas
-Mais certains on le message type avec le symbole squid et d'autres se mettent juste en erreur dns je crois

Voici le resultat de la premiere commande(les ip sont modifiées)


1:acl localnet src *.*.*.0/24 # RFC1918 possible internal network
2:acl SSL_ports port 443
3:acl Safe_ports port 80		# http
4:acl Safe_ports port 21		# ftp
5:acl Safe_ports port 443		# https
6:acl Safe_ports port 70		# gopher
7:acl Safe_ports port 210		# wais
8:acl Safe_ports port 1025-65535	# unregistered ports
9:acl Safe_ports port 280		# http-mgmt
10:acl Safe_ports port 488		# gss-http
11:acl Safe_ports port 591		# filemaker
12:acl Safe_ports port 777		# multiling http
13:acl CONNECT method CONNECT
14:acl lan src *.*.*.0/24
15:http_access eny !Safe_ports
16:http_access allow localhost manager
17:http_access allow lan
18:http_access deny manager
19:http_access allow localhost
20:http_port 3128 #transparent
21:http_access allow all
22:maximum_object_size 1 MB
23:cache_dir ufs /var/spool/squid 100 16 256
24:cache_swap_high 70
25:coredump_dir /var/spool/squid
26:refresh_pattern ^ftp:		1440	20%	10080
27:refresh_pattern ^gopher:	1440	0%	1440
28:refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
29:refresh_pattern .		0	20%	4320
30:cache_effective_user proxy
31:cache_effective_group proxy
32:acl to_ipv6 dst ipv6
34:http_access deny to_ipv6 !all
36:tcp_outgoing_address *.*.*.95 !to_ipv6
37:tcp_outgoing_address dead:beef::1 to_ipv6
39:dns_nameservers 8.8.8.8 *.*.*.245 *.*.*.2
41:url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf

Le résultat de la seconde

2:dbhome /var/lib/squidguard/db
3:logdir /var/log/squidguard
6:time workhours {
7:	weekly smtwhfa 07:00 - 12:30
8:	weekly smtwhfa 14:00 - 18:30
9:	date *-*-01  07:00 - 18:30
10:}
13:src admin {
14:	ip  		*.*.*.0/24  #1.2.3.5
15:	user		root  OSB
16:	within		workhours
17:}
21:src OSB-clients {
22:       ip              *.*.*.0/24
23:}
33:dest games {
34:        domainlist      games/domains
35:        urllist         games/urls
36:}
40:dest adult {
41:	domainlist	adult/domains
42:	urllist		adult/urls
43:	expressionlist	adult/expressions
44:	redirect https://***
46:}
49: #       domainlist      porn/domains
50:  #      urllist         porn/urls
53:acl {
54:	admin {
55:		pass	 !adult !games #all
56:	}
59:	default {
60:		pass	!adult  #local #none #!porn 
61:				redirect https://***
62:	}
64: OSB-clients within workhours {
65:               pass    !adult !games
66:	    redirect   https://***
68:}
71:}

NicoApi73

Je ne vois pas de problème.

Par contre tu utilises 2 utilisateurs dans squidguard (root et OSB) alors que tu n'as pas de méthode d'authentification dans squid. Donc je ne suis pas sûr que admin serve à quoique ce soit...

kbvz

En effet ça fonctionne, entre temps j'ai ouvert le fichier dans notepad++ c'est plus clair que vim.
Par la suite il sera adossé à un AD et au domaine.

Par contre la redirection marche pas, pourtant le site est autorisé par le proxy...tenter avec un site Web simple ?

Il ne bloque pas porno mais porn...
Pourtant c'est une db française.
Du coup l automatisation de la maj des db peut-être intéressante.

NicoApi73

Je n'ai jamais mis en place de mise à jour automatique des bases de données...

kbvz

Ca doit être possible à la mano..en mettant une regle dans la crontab

Je maitrise pas bien mais je verrais l'execution d'un script basique en root d'alller chercher les bases, les extraires puis relancer la construction des bases et un reload de squid

en gros, refaire regulierement l'étape de chercher les bases à la constructions des DB (avec de nouveau la modif des droits sur /var/lib/squidguard/ )...

Avec un peu de maitrise ca doit etre envisageable...

kbvz

Bon, de nouveau, il ne filtre plus..
meme avec des couleurs, là je en vois pas le soucis..
squid.conf

1:acl localnet src 10.17.208.0/24 # RFC1918 possible internal network
2:acl SSL_ports port 443
3:acl Safe_ports port 80		# http
4:acl Safe_ports port 21		# ftp
5:acl Safe_ports port 443		# https
6:acl Safe_ports port 70		# gopher
7:acl Safe_ports port 210		# wais
8:acl Safe_ports port 1025-65535	# unregistered ports
9:acl Safe_ports port 280		# http-mgmt
10:acl Safe_ports port 488		# gss-http
11:acl Safe_ports port 591		# filemaker
12:acl Safe_ports port 777		# multiling http
13:acl CONNECT method CONNECT
14:acl lan src *.*.*.0/24
15:http_access eny !Safe_ports
16:http_access allow localhost manager
17:http_access allow lan
18:http_access deny manager
19:http_access allow localhost
20:http_port 3128 #transparent
21:http_access allow all
22:maximum_object_size 1 MB
23:cache_dir ufs /var/spool/squid 100 16 256
24:cache_swap_high 70
25:coredump_dir /var/spool/squid
26:refresh_pattern ^ftp:		1440	20%	10080
27:refresh_pattern ^gopher:	1440	0%	1440
28:refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
29:refresh_pattern .		0	20%	4320
30:cache_effective_user proxy
31:cache_effective_group proxy
32:acl to_ipv6 dst ipv6
34:http_access deny to_ipv6 !all
36:tcp_outgoing_address *.*.*.95 !to_ipv6
37:tcp_outgoing_address dead:beef::1 to_ipv6
39:dns_nameservers 8.8.8.8 *.*.*.245 *.*.*.2
41:url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf

squiguard.conf

2:dbhome /var/lib/squidguard/db
3:logdir /var/log/squidguard
6:time workhours {
7:	weekly smtwhfa 07:00 - 12:30
8:	weekly smtwhfa 14:00 - 18:30
9:	date *-*-01  07:00 - 18:30
10:}
13:src admin {
14:	ip  		*.*.*.0/24  #1.2.3.5
15:	user		root  OSB
16:	within		workhours
17:}
21:src OSB-clients {
22:       ip              *.*.*.0/24
23: 	within          workhours
24:}
34:dest games {
35:        domainlist      games/domains
36:        urllist         games/urls
37:}
41:dest adult {
42:	domainlist	adult/domains
43:	urllist		adult/urls
44:	expressionlist	adult/expressions
45:	redirect https:**
47:}
49:dest social_networks {
50:	domainlist      social_networks/domains
51:        urllist         social_networks/urls
52:	redirect https:**
53:}
57: #       domainlist      porn/domains
58:  #      urllist         porn/urls
61:acl {
62:	admin {
63:		pass	 !adult !games !social_networks
64:	}
67:	default {
68:		pass !adult !social_networks
69: #local #none #!porn 
70:				redirect https:**
71:	}
73: OSB-clients within workhours {
74:               pass    !adult !games !social_networks
75:	    redirect   https:**
77:}
80:}

il filtre rien, c'est open bar...

NicoApi73

Bonsoir,

Dans ta configuration de squid, il faut que tu modifies cette ligne (21) :

http_access allow all

http_access deny all

La ligne 15 du même fichier contient une erreur :

http_access deny !Safe_ports

Comment es tu sûr que tu passes bien par le proxy?

kbvz

Je sais que je passe par le proxy car la connexion est plus lente, du moins l'affichage...
parce que tracert ne m'indique rien et je ne vois pas comment verifier sur le client...
sur le serveur quand je regarde les logs en temps réel de squid, j'ai bien l'ip du client qui s'affiche avec les sites qu'il consulte..
Les filtres fonctionnent, avec leurs failles mais ca marche...Par contre j'ai perdu l'accès ssh depuis ma machine en vpn suite aux bidouilles dnas le fichier de conf de squid..j'ai pourtant repassé les lignes en allow et restart le service, sans resultat...
sur un pc physiquement sur le meme reseau, pas de soucis mais en vpn c'est mort...
Sinon, j'ai vu un tuto,je ne sais pas ce qu'il vaux (ca date un peu), pour faire une cron pour la maj des bases..
https://michauko.org/blog/squidguard-filtre-durl-et-listes-a-jour-le-plus-dur-313/

kbvz

Si j'ai compris la logique:

http_access deny !Safe_ports

on refuse tout accès aux ports non safe ?
--Comment il détermine le safe (soit je le sais et je vais encore me dire oh M***, soit j'ai raté un truc)?

http_access deny all

on interdit tout accès http
Du coup, seul ce qui est autorisé passera, est cela ?

NicoApi73

Tu as ceci :

14:acl lan src *.*.*.0/24
[...]
17:http_access allow lan

Sur ces 2 lignes tu autorises toutes les machines de ton LAN. En mettant ensuite

http_access deny all

Tu interdis tout le reste.

J'ai procédé différemment, je demande aux utilisateurs de s'identifier et j'autorise ceux qui sont identifiés, avec des règles de filtrage qui leur sont propres.
Tu as commencé à le faire avec :

13:src admin {
14:	ip  		*.*.*.0/24  #1.2.3.5
15:	user		root  OSB
16:	within		workhours
17:}

sauf que tu n'identifies jamais root et OSB. La seule identification que tu fais est ici :

21:src OSB-clients {
22:       ip              *.*.*.0/24
23: 	within          workhours
24:}

et c'est fait au travers du réseau (adresse IP)

Pour obliger à passer par le proxy, tu as plusieurs possibilités :
- Forcer le traffic à passer par un noeud pour pouvoir accéder à la box, noeud qui rejette tout ce qui ne va pas vers le proxy (au moins pour les ports 80 et 443). Ca nécessite une machine avec 2 ports réseaux physiques (2 cartes réseau)
- N'accepter sur ta box que le traffic venant du proxy. Il te faudra dans ce cas probablement mettre un serveur DHCP indépendant de ta box.

Explique ce que tu cherches à faire. Que veux tu filtrer, pour quel type d'utilisateur? Laisses tu la possibilité aux utilisateurs de contourner le proxy?

kbvz

Le but, à terme est de filtrer tous les utilisateurs et de l'adosser à active directory et de fait un domain.
Il n'est pas impossible qu'il faille faire des expressions pour des logiciels métiers ou autres, je pense donc rajouter une whitelist dans squidguard.
Pour le moment, il n'est prévu de bosser que sur raspberry, et à terme on envisagera peut être une VM (qui aurait ma préférence). De fait, il n'y pas de 2 pattes réseaux sur ces appareils.
Virtuellement tout le monde est sur le même réseau (boucle mpls), de fait je n'ai peut etre pas besoin de différencier osb et admin ?

Thks

NicoApi73

Bonjour,

Sur le RPI, tu peux rajouter un port ethernet USB. Puis tu configures ton RPI en bridge. La même chose est envisageable avec une autre machine.

Je ne maitrise pas du tout active directory. J'ai fait une authent simple (basic_ncsa_auth).

Pour tester le comportement de squidguard :

echo "http://www.sexe.fr / - - GET" | squidGuard -c /etc/squidguard/squidGuard.conf -d

source : http://squidguard.org/Doc/verify.html
La redirection ne fonctionnera dans squid qu'avec des sites http. Pour les sites en https, l'utilisateur aura un message d'erreur.

kbvz

J'ai réfléchi a ta question hier et en fait, on va passer par un fichier de conf, un fichier .pac. J'avais oublié ce détail ^^
Ca va passer par une GPO pour diffusion du fichier, c'est comme ca que le navigateur sera obligé de passer par le prxy

Sinon
resultat echo

NicoApi73

Le seul moyen d'empêcher (ou du moins de compliquer) l'accès en dehors du proxy est avec un pare-feu.

Sur le résultat de la commande, on voit bien que squidguard filtre (il redirige bien vers le site que tu souhaites. Tu peux completer les tests avec cette commande en ajoutant une adresse IP et un utilisateur :
test avec adresse IP :

echo "http://www.sexe.fr 192.168.1.10/ - - GET" | squidGuard -c /etc/squidguard/squidGuard.conf -d

test avec adresse IP et utilisateur toto :

echo "http://www.sexe.fr 192.168.1.10/ toto - GET" | squidGuard -c /etc/squidguard/squidGuard.conf -d

Les problèmes que j'ai rencontrés étaient le plus souvent dus à un problème de droit/propriété de fichiers/répertoires

kbvz

Hmm oui il faut rajouter une regle dans le parefeu...

je ne vois aucun changement avec les 2 nouvelles commandes, telles quelles...cette ip et ce user n'existent pas, il aurait du passer en erreur 🙁

resultat

NicoApi73

Si, ça fonctionne, la redirection est bien faite.

Dans le premier cas, il n'y a pas d'adresse IP, dans le second tu as une adresse IP qui n'est pas connue et dans le 3ième, l'adresse IP n'est pas connue, ni l'utilisateur. A chaque fois, tu tombes dans la règle par défaut, qui est

67:	default {
68:		pass !adult !social_networks
69: #local #none #!porn 
70:				redirect https:**

Essaie avec une adresse ip connue, puis avec une adresse IP et un utilisateur correspondant à admin et tu devrais voir la différence.

Si possible, merci de donner les retours en texte, entre balises code.

kbvz

Alors désolé, je suis pas mal occupé 😉
J'ai fait une c******** à nouveau et il filtre plus mais jvais bien trouver ^^

Sinon, j'ai tenté un nvo groupe, un nouvel user et des acl pour ce user, ils sont identifiés only par l'ip exacte et pas le réseau de la machine, sans resultat...
De toute facon, étant donné que la src admin et osb sont sur le meme réseau, ca ne doit pas changer grand chose de preciser les 2..
Si j'arrive à adosser la machine dans le domaine, puis la synchro avec l'active directory, je dois peut etre pour de filtrer au niveau user ou groupe ?

thks

NicoApi73

Je n'ai jamais utilisé Active Directory. L'identification que je fais est au niveau utilisateur. Je ne peux t'aider plus sur ce sujet.

Page suivante »