Besoin d'aide sur Squid ! - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 28-08-2014 à 08:06:39
Il nous faudrait un schéma de ton installation, et ta conf Squid pour pouvoir t'aider.
Marsh Posté le 28-08-2014 à 16:07:11
Bonjour,
Merci à tous les deux de votre réponse.
Je vais commencer par répondre à ShonGail. Oui, mon projet consiste à bloquer Facebook dans une entreprise de 200 employés par exemple. Mais le seul moyen est de continuer ce que j'ai déjà commencé, parce que derrière il faut réaliser une partie écrite et remettre tout en pratique.. Et il me reste 3 jours donc voila..
Pour still at work, eh bien je m'excuse déjà de mon schéma très basique, j'espère au moins que tu le comprendras car moi même je n'en suis pas sur
http://image.noelshack.com/fichier [...] -fdfdf.png
Bref, voila ma configuration squid, j'ai juste ajouté les lignes pour ma classe d'ip et bloquer facebook :
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24
acl localnet src 192.168.1.1/24
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl FACEBOOK url_regex -i *.facebook.com*
# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access deny FACEBOOK
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
# And finally deny all other access to this proxy
http_access deny all
Bref, si jamais vous voyez une erreur, faîtes moi signe parce que je ne comprends pas du tout d'où elle pourrait venir ..
Merci d'avance !
Marsh Posté le 28-08-2014 à 16:28:34
Est-ce que ton client ping ton serveur proxy ?
Enlève ça dans ton fichier conf :
acl localnet src 192.168.1.1/24
Sinon, il ne faut pas perdre de vue que si ton client décoche le proxy, il pourra accéder à Facebook. Donc l'idéal, serait de mettre un parefeu entre ton réseau et internet qui n'autoriserait que le proxy à sortir sur internet.
Marsh Posté le 28-08-2014 à 16:35:20
Tu n'as pas d'AD dans ton domaine ? Pourquoi installer le rôle serveur DNS/DHCP ?
Marsh Posté le 28-08-2014 à 17:35:53
Bonjour à tous les deux,
Pour still at work, mon client ping bien mon proxy, et est bien connecté à mon domaine.
Justement, j'ai créé une GPO qui oblige le client à passer par mon proxy et à ce qu'il ne puisse pas décocher l'option du proxy :
http://image.noelshack.com/fichier [...] -titre.png
Pour nebulios : Si, mon domaine a un AD, mais mon projet consiste à bloquer facebook pour une entreprise (200 utilisateurs) donc le service DHCP se voit d'être installé ..
A part ça, vous ne savez pas d'où viendrait mon erreur ? Problème DNS peut être ? 2 ème carte réseau ?
Merci à tous d'avance
Marsh Posté le 28-08-2014 à 17:57:13
Si l'objectif c'est de ne bloquer QUE facebook, il existe des solutions plus crades mais nettement plus simples :
- jouer sur le DNS (avec impossibilité de sortir sur des DNS externes)
- bloquer les IPs des serveurs de Facebook
Il est toujours utile de connaitre ce type de solution, ne serait-ce que pour souligner leurs limites.
Par contre, si tu passes par un proxy, il ne sert à rien si tu ne bloques pas le HTTP/HTTPS via firewall pour les postes clients.
Ce n'est pas une GPO sur IE qui va arrêter tes users, ni leurs programmes.
Il faut aussi penser à bloquer les redirectors, ces sites qui permettent d'accéder à d'autres sites.
En gros, il faut se baser sur des listes noires comme celles gérées par l'académie de Toulouse.
Marsh Posté le 28-08-2014 à 18:02:09
sev7n a écrit : |
Ca n'a rien à voir, si tu n'as pas déjà de DHCP le mettre en place c'est un projet en soit.
Quant à monter un serveur DNS alors que tu as un AD à côté pour une histoire de proxy, c'est aussi inutile que dangereux.
Marsh Posté le 28-08-2014 à 20:11:10
Je pense que la solution la plus rapide est de configuration une zone dns "facebook.com" avec un enregistrement qui pointe sur 127.0.0.1
Marsh Posté le 29-08-2014 à 09:11:28
Le service squid est lancé ? Tu redémarre le service après le changement de la conf ? Tu as enlevé ce que je te dit dans ton fichier conf ?
acl localnet src 192.168.1.1/24
Marsh Posté le 27-08-2014 à 23:16:00
Bonsoir à tous !
Depuis quelque temps maintenant, je traverse un problème que je n'arrive pas à résoudre.
Comme projet de fin d'études (BAC en France), il m'a été donné de pouvoir bloquer Facebook pour une entreprise de 300 employés.
Premièrement, j'ai acquis Windows server 2008 qui me permettra de gérer l'entreprise (Je sais, Squid sur Windows est rare mais je ne connais pas Linux).
J'ai paramétré mon proxy et l'ai testé sur le serveur, il marche. J'ai ensuite installé le service DHCP et DNS puis ai fait rejoindre une machine cliente dans le domaine pour faire descendre une stratégie de groupe qui limitera l'utilisateur à utiliser le proxy. Déjà, étant sur un serveur 2008 et ayant IE11, ma GPO ne descendait pas au niveau des paramètres du proxy.
J'ai donc fait un downgrade de IE jusqu'a la version 8, et la machine cliente passe bien par le proxy. Mon problème est maintenant que la machine cliente est connectée au réseau, mais dès que des paramètres proxy sont imposés dans IE, je ne peux accéder à aucun site (le proxy ne répond pas). Forcément, dès que j'enlève le proxy, j'ai accès à Internet mais aussi à Facebook ce qui m'est d'aucune utilité..
http://www.tuto-express.info/tutos [...] t4.html#p4
Voici le site Internet qui m'a aidé, vous pouvez aller le consulter si vous avez du mal à me comprendre. Si vous y aller, je suis allé jusqu’a la fin de la partie 4 sans problèmes mais elle ne fonctionne pas concrètement.
Voici un petit screen shot pour résumer la situation :
http://image.noelshack.com/fichier [...] -titre.png <= connexion au réseau mais pas internet.
J'utilise une seule carte réseau, serait-ce un éventuel problème ?
Si vous pouvez, s'il vous plaît, prendre quelques minutes à vous intéresser à mon problème, ce serait très gentil. Vous avez en quelque sorte mon avenir entre les mains ..
Sur ce, je vous remercie déjà tous d'avance !