Squid / SquidGuard / dansguardian

De Wiki des Responsables Techniques du 85
Révision datée du 29 juin 2016 à 13:51 par Alexandre (discussion | contributions) (Installation de Squid/SquidGuard/DANSguardian)
Aller à : navigation, rechercher

Squid2.gif

Présentation

  • Squid est un logiciel serveur permettant de faire passerelle et cache mémoire des connexions Internet
  • SquidGuard est un autre logiciel qui couplé a Squid permet de faire du filtrage des connexions Internet
  • dansguardian a le même rôle que SquidGuard

Installation de Squid/SquidGuard/DANSguardian

Installer Squid avec votre gestionnaire de paquet

apt-get install squid

Installer Samba

apt-get install samba

Configuration

Pour une meilleure sécurité il y a deux modes opératoire :

  • Un "multi-patte" deux réseaux distinct ( vlan ) dansguardian ecoute sur un vlan1 "qui ne route pas !!!" sur le port 8080, valide la recherche suivant les règles et transmet la requête à squid sur l'adresse loopback ( 127.0.0.1 ) qui lui peut sortir sur le vlan2 vers internet.
  • Un seul réseau ou plusieurs avec routage, même topo dansguardian écoute sur le port 8080 transmet a squid en loopback qui lui est le seul à pouvoir passer le firewall pour l’accès à internet.


Bloquer le réseaux TOR

Bloquer les blocs d'IP TOR connues

On peut essayer de bloquer le réseau TOR sur son réseau avec squid3.

Le premier essai est concluant:

  • 1 - On récupère la liste des ip tor via ce lien :
 https://www.dan.me.uk/torlist/
  • 2 - On les stock dans un fichier
/etc/squid3/iptor
  • 3 - On créer notre acl dans :
/etc/squid3/squid.conf:
  • 4 - et on ajoute l'acl avec le http_acces qui va avec :
acl tor dst "/etc/squid3/torlist"
http_access deny tor

Très efficace, par contre TOR essaiera de passer par des port de votre firewall , il faut donc tout bloquer correctement et ne laisser sortir que le serveur proxy sur internet :

proxysortie

Bloquer le surf ip

Cela signifie que l'utilisateur ne pourra pas surfer en tapant directement d'adresse ip : http://92.222.29.147 par exemple

Attention cela peut entraîner d'autre soucis

Configuration SquidGuard

Sous squidguard il vous suffit il vous suffit de rajouter !in-addr a votre acl, comme ceci : Dans le fichier :

   
   /etc/squidguard/squidguard.conf

    profs {
                pass !in-addr !autresitebloquer all
                redirect http://172.21.254.254/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientident=%i+srcclass=%s+targetclass=%t+url=%u
    }


Configuration DansGuardian

Dans le fichier :

   /etc/dansguardian/lists/bannedsitelist


Dé-commenter les ligne comme ceci:

   #Blanket IP Block.  To block all sites specified only as an IP,
   #remove the # from the next line to leave only a '*ip':
   *ip

   #Blanket SSL/CONNECT IP Block.  To block all SSL and CONNECT
   #tunnels to sites specified only as an IP,
   #remove the # from the next line to leave only a '*ips':
   *ips


Pour bloquer la liste des ip du réseau tor (comme expliquer plus haut) vous pouvez également la faire avec dansguardian a ajoutant comme ceci toujours dans le fichier :

   /etc/dansguardian/lists/bannedsitelist

    # Bloc IP TOR
   .Include</etc/squid3/torlist>