lancement de 2 instances Squid [Ubuntu 8.10 serveur] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-02-2009 à 12:42:16
tu peux peut-être regarder du côté des acl's.
http://wiki.squid-cache.org/SquidFaq/SquidAcl
Marsh Posté le 03-02-2009 à 17:35:31
j'ai déjà regardé de ce coté mais j'arrive pas a différencier mes utilisateur " libre" d'accés mais limité dans leur URL possible, par rapport a mes utilisateur devant s'identifier pour un accés total ....
Marsh Posté le 03-02-2009 à 17:54:33
mickael1er a écrit : Bonjour, |
à détailler
si on part du principe que chaque $user ouvre une session individuelle, il faut créer des groupes d'utilisateurs.
(éventuellement couplé à un ldap, cela permettra au serveur de savoir qui est qui)
en dernier recours :
si ton parc n'est pas trop grand <=6, faut faire au cas par cas avec un script?
mais c'est bof comme méthode
Marsh Posté le 03-02-2009 à 18:34:31
ReplyMarsh Posté le 04-02-2009 à 12:30:27
mickael1er a écrit : memaster62 : je filtre les accés par IP des postes en faite |
une ip == un pc
un pc == plusieurs utilisateurs <== c'est la que tu as besoin de définir des groupes
si tu ne sais pas qui doit faire quoi, tu es déjà mal barré
Marsh Posté le 04-02-2009 à 13:47:19
non un pc == un utilisateur !
pour cela que je prefére définir par IP
je poste mon squid demain
Marsh Posté le 05-02-2009 à 09:19:27
Bonjour
comme dit hier voici mon squid, j'ai changer les IP pour les faire correspondre a rien rassurez vous lol
#portd'ecoute du proxy
http_port 8181
#type de page a ne pas garder dans le cache
acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3 \.asp
#espace en Mo allouer à squid
cache_mem 16 MB
#pourcentage de cache utilisé avant de vidé
cache_swap_low 75
cache_swap_high 90
#taille maximum des objects a prendre en mémoire
maximum_object_size 4096 KB
#espace disque en Mo allouer a squid 200Mb de cache
#16 et 256 represente les sous-repertoire dans le 1er niveau et suivant
cache_dir ufs /var/spool/squid 200 16 256
#repertoire des fichiers log de controle d'acces à internet
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
#temps de sauvegarde des logs
#reference_age 10 days
#
#
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
#
#
# ACL : les acl permettent de spécifier les autorisations
# d'accès sur certains ports, et pour les ip des stations
# Attention l'ordre donné ici est important !
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
#
acl serveur src 132.147.102.55
#
#acl tous src 132.147.0.1-132.147.0.20 132.147.0.30-132.147.0.50 132.147.0.80-132.147.0.250 132.147.100.0-132.147.100.1 132.147.100.3-132.147.100.254 132.147.102.0-132.147.102.54 132.147.102.56-132.147.102.254
acl tous src 132.147.0.1-132.147.0.254 132.147.100.1-132.147.100.74 132.147.100.76-132.147.100.254 132.147.102.1-132.147.102.254
#
acl paie src 132.147.0.22-132.147.0.25 132.147.100.76
#
acl kalirisk src 132.147.0.51-132.147.0.56 132.147.0.44
#
acl resp_factu src 132.147.0.18
#
acl resp_compta src 132.147.0.34 132.147.0.31
#
acl resp_secr src 132.147.100.2
#
acl urgence src 132.147.102.4
#
acl moi proxy_auth REQUIRED src 132.147.100.75
#acl moi src 132.147.100.75 proxy_auth REQUIRED
#
acl pharma src 132.147.0.41 132.147.0.42 132.147.100.28
#
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 #https
acl Safe_ports port 563 # ssl https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 25 # SMTP
acl Safe_ports port 110 # POP3
acl Safe_ports port 304
acl Safe_ports port 403
#
#teste moi
#http_access allow LocalNet moi
acl moi proxy_auth REQUIRED
#
acl purge method PURGE
acl CONNECT method CONNECT
#autorisation du fichier url_rh et nom des sites
#
acl url_rh url_regex net-entreprises urssaf pagesjaunes pagesblanches assedic dsij.ext.cnamts entreprise.april-solutions kalirisk kalipanne
#
acl url_kalirisk url_regex kalirisk kalipanne
#
acl url_factu url_regex ameli pagesjaunes atih.sante le-pmsi hpnp sesam-vitale kalirisk kalipanne
#
acl url_compta url_regex kalirisk kalipanne ameli pagesjaunes atih.sante le-pmsi hpnp sesam-vitale revuefiduciaire.grouperf.com vaubanhumanis plancomptable club-comptable declaration.urssaf net-entreprises tva.dgi.minefi.gouv impots.gouv cpam94-si cpam95-si cpam75-si inforcreances.com02 infor-creances.ovh.org infor-creances.ovh.org aggeweb.fr octa-srp.fr fongecif-idf.fr formahp.com jm-bruneau.fr orange formahp assedic compte.orange espaceclient.orange static.hp.fti insee
#
acl url_resp_secr url_regex ameli pagesjaunes atih.sante le-pmsi hpnp sesam-vitale kalirisk kalipanne 62.160.76.107
#
acl url_urgence url_regex urgences-serveur sfmu prescrire sfar srlf
#
acl url_tous url_regex secure.medisysteme
#
acl url_pharma url_regex ftp.clubha.net webmailcluster.1and1.fr
#
#acl url_autorised url_regex "/etc/squid/noms_autorised"
#affichage des erreur en francais dans l'explorateur
error_directory /usr/share/squid/errors/French
#
#url Autorisé
#
#service RH
acl url_autorise url_regex "/etc/squid/url_rh"
http_access allow paie url_rh
#
#service déclaration evenements indésirable et panne
acl url_kalirisk url_regex "/etc/squid/url_kalirisk"
http_access allow kalirisk url_kalirisk
#
#responsable factu
acl url_factu url_regex "/etc/squid/url_factu"
http_access allow resp_factu url_factu
#
#responsable compta
acl url_compta url_regex "/etc/squid/url_compta"
http_access allow resp_compta url_compta
#
#responsable secretaire
acl url_resp_secr url_regex "/etc/squid/url_resp_secr"
http_access allow resp_secr url_resp_secr
#
#Urgentistes
acl url_urgence url_regex "/etc/squid/url_urgence"
http_access allow urgence url_urgence
#
#tous utilisateur intranet
acl url_compta url_regex "/etc/squid/url_tous"
http_access allow tous url_tous
#
# pharmacie
acl url_pharma url_regex "/etc/squid/url_pharma"
http_access allow tous url_pharma
#
#
#regles d'acces
http_access allow serveur
http_access allow moi
#http_access allow localhost
#http_access allow localnet
#http_access allow PURGE localhost
http_access deny PURGE
#acces refusé sur les port non definit
http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
#proxy transparent pour les utilisateurs
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#httpd_accel_single_host off
#on refuse tous ce qui n'est pas definit
http_access deny all
Avec cette config je pensé ne devoir se faire authéntifier que l'ip 132.147.100.75 alors que non tout le monde doit s'identifier ... snif
help
Marsh Posté le 03-02-2009 à 09:38:54
Bonjour,
j'ai créer un serveur proxy sous ubuntu afin de limiter l'accès à certains site pour certaine personne de mon entreprise, mais mon directeur voudrais aussi que pour certaine personne l'accès soit totalement libre mais limité par un mot de passe ...
je ne vois pas comment faire pour qu'une parti de mes utilisateurs soit juste restreint a certain site et une autre accès libre par mot de passe sans utiliser 2 instances squid ...
Si quelqu'un a une idée ou sait comment faire je suis entièrement preneur de solution
merci par avance