Conversation
precedente ou
suivante
Squid et des ACL controlées en fonction de l'heure
Envoyé par:
zoummuoz
Bonjour a tous,
J'ai sur squid un certain nombre de regles. Je bloque en particulier msn. Mais mes users ont la volonter de l'utiliser. Il faut donc que j'autorise msn a certaines periode de la journée.
J'ai fait des essais avec la config ci jointe, mais pas de resultat concluant.
Pouvez vous me conseiller ou m'indiquer ou est mon erreur.
Par avance merci de vos conseils ou remarques.
MA CONFIG :
#Default:
http_port 3128
# Ici mettez le nom de votre machine
visible_hostname intranet-inb.com
#Default:
cache_mem 32 MB
maximum_object_size_in_memory 8 KB
#On utilise 500Mo de cache pour notre proxy
cache_dir ufs /var/spool/squid 500 16 256
store_avg_object_size 15 KB
# TAG: client_netmask
# A netmask for client addresses in logfiles and cachemgr output.
# Change this to protect the privacy of your cache clients.
# A netmask of 255.255.255.0 will log all IP's in that range with
# the last digit set to '0'.
client_netmask 255.255.255.0
#proxy transparent avec IPTABLES
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#httpd_accel_single_host off
httpd_accel_port 80
#Autentification :
#creer un fichier utilisateurs vide
#utiliser htpasswd -b /etc/squid/users steph tartanpion
#pour le remplir (users est le fichier de pass).
auth_param basic children 5
auth_param basic realm Authentification sur le domaine Inb.com
auth_param basic credentialsttl 2 hour
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs
authenticate_ip_ttl 30 minute
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#authentification requise.
acl utilisateurs proxy_auth REQUIRED
#Ne pas "cacher" les données des formulaires
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#Seul les adresses ci dessous peuvent acceder a internet.
acl our_networks src 192.168.0.0/255.255.255.0
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 21
acl CONNECT method CONNECT
# Refuse l'accès aux domaines écrit dans ce fichier.
# le -i indique pas "sensible à la case"
# mettre un domaine par ligne sous cette forme :
# .microsoft.com
# .sco.com
acl bad_domain dstdomain -i "/etc/squid/interdit.txt"
acl sexURL url_regex -i sex teen anal porn sexy porno porn
# Refuse l'accès aux extensions suivantes :
acl url_mp3 url_regex -i \.mp3$
acl url_avi url_regex -i \.avi$
acl url_mpeg url_regex -i \.mpeg$
acl url_mpg url_regex -i \.mpg$
acl url_mov url_regex -i \.mov$
acl url_exe url_regex -i \.exe$
acl url_exe url_regex -i \.rm$
#blocage de MSN
#Règles pour le mime-type "application/x-msn-messenger"
acl reqmsn req_mime_type -i ^application/x-msn-messenger
# Règle pour détecter WebMessenger
# Règle pour bloquer l'authentication de msn
# et n'importe quel url qui contient gateway.dll
acl webmessenger dstdomain webmessenger.msn.com
acl msnauth url_regex -i gateway.dll
#Les horaires
acl heure time 10:00-10:30
acl heure time 12:00-13:30
acl heure time 18:00-21:00
#REGLE DE REJET OU D'ACCEPTATION
# -----------------------------------------------------------------------------
#regles particulieres sur les fichiers :
http_access deny bad_domain
# Interdit tous les ports sauf SSL
http_access deny !Safe_ports
http_access deny url_mp3
http_access deny url_avi
http_access deny url_mpeg
http_access deny url_mpg
http_access deny url_mov
http_access deny url_exe
#Autorise MSN aux heures voulues
http_access allow our_networks heure reqmsn
http_access allow our_networks heure webmessenger
http_access allow our_networks heure msnauth
#Interdit a our_networks l'acces a MSN.
http_access deny our_networks reqmsn
http_access deny our_networks msnauth
http_access deny our_networks webmessenger
#interdit l'acces au url sex.
http_access deny sexURL
#regle finales :
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access deny manager
http_access deny !utilisateurs
http_access allow localhost
http_access allow our_networks
http_access deny all
#CACHE SQUID
# -----------------------------------------------------------------------------
#pour le cache et les fichiers de logs.
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log off
#Messages d'erreurs en FR
error_directory /usr/share/squid/errors/French
J'ai sur squid un certain nombre de regles. Je bloque en particulier msn. Mais mes users ont la volonter de l'utiliser. Il faut donc que j'autorise msn a certaines periode de la journée.
J'ai fait des essais avec la config ci jointe, mais pas de resultat concluant.
Pouvez vous me conseiller ou m'indiquer ou est mon erreur.
Par avance merci de vos conseils ou remarques.
MA CONFIG :
#Default:
http_port 3128
# Ici mettez le nom de votre machine
visible_hostname intranet-inb.com
#Default:
cache_mem 32 MB
maximum_object_size_in_memory 8 KB
#On utilise 500Mo de cache pour notre proxy
cache_dir ufs /var/spool/squid 500 16 256
store_avg_object_size 15 KB
# TAG: client_netmask
# A netmask for client addresses in logfiles and cachemgr output.
# Change this to protect the privacy of your cache clients.
# A netmask of 255.255.255.0 will log all IP's in that range with
# the last digit set to '0'.
client_netmask 255.255.255.0
#proxy transparent avec IPTABLES
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#httpd_accel_single_host off
httpd_accel_port 80
#Autentification :
#creer un fichier utilisateurs vide
#utiliser htpasswd -b /etc/squid/users steph tartanpion
#pour le remplir (users est le fichier de pass).
auth_param basic children 5
auth_param basic realm Authentification sur le domaine Inb.com
auth_param basic credentialsttl 2 hour
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/utilisateurs
authenticate_ip_ttl 30 minute
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#authentification requise.
acl utilisateurs proxy_auth REQUIRED
#Ne pas "cacher" les données des formulaires
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#Seul les adresses ci dessous peuvent acceder a internet.
acl our_networks src 192.168.0.0/255.255.255.0
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 21
acl CONNECT method CONNECT
# Refuse l'accès aux domaines écrit dans ce fichier.
# le -i indique pas "sensible à la case"
# mettre un domaine par ligne sous cette forme :
# .microsoft.com
# .sco.com
acl bad_domain dstdomain -i "/etc/squid/interdit.txt"
acl sexURL url_regex -i sex teen anal porn sexy porno porn
# Refuse l'accès aux extensions suivantes :
acl url_mp3 url_regex -i \.mp3$
acl url_avi url_regex -i \.avi$
acl url_mpeg url_regex -i \.mpeg$
acl url_mpg url_regex -i \.mpg$
acl url_mov url_regex -i \.mov$
acl url_exe url_regex -i \.exe$
acl url_exe url_regex -i \.rm$
#blocage de MSN
#Règles pour le mime-type "application/x-msn-messenger"
acl reqmsn req_mime_type -i ^application/x-msn-messenger
# Règle pour détecter WebMessenger
# Règle pour bloquer l'authentication de msn
# et n'importe quel url qui contient gateway.dll
acl webmessenger dstdomain webmessenger.msn.com
acl msnauth url_regex -i gateway.dll
#Les horaires
acl heure time 10:00-10:30
acl heure time 12:00-13:30
acl heure time 18:00-21:00
#REGLE DE REJET OU D'ACCEPTATION
# -----------------------------------------------------------------------------
#regles particulieres sur les fichiers :
http_access deny bad_domain
# Interdit tous les ports sauf SSL
http_access deny !Safe_ports
http_access deny url_mp3
http_access deny url_avi
http_access deny url_mpeg
http_access deny url_mpg
http_access deny url_mov
http_access deny url_exe
#Autorise MSN aux heures voulues
http_access allow our_networks heure reqmsn
http_access allow our_networks heure webmessenger
http_access allow our_networks heure msnauth
#Interdit a our_networks l'acces a MSN.
http_access deny our_networks reqmsn
http_access deny our_networks msnauth
http_access deny our_networks webmessenger
#interdit l'acces au url sex.
http_access deny sexURL
#regle finales :
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access deny manager
http_access deny !utilisateurs
http_access allow localhost
http_access allow our_networks
http_access deny all
#CACHE SQUID
# -----------------------------------------------------------------------------
#pour le cache et les fichiers de logs.
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log off
#Messages d'erreurs en FR
error_directory /usr/share/squid/errors/French
Poste le Friday 31 August 2007 23:24:17
Ce forum !
Squid et des ACL controlées en fonction de l'heure
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons