Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Appel à contributeurs pour la doc.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 20/04/2017, à 13:05

yannick-83

Mon squidguard ne flitre pas

Bonjour à tous,

Actuellement, j'ai installé squidguard pour une école,

en effet il ne filtre pas sur les ces règles que je lui demande.

Je fais appelle a vous car je suis a cours d'idée

Mes fichiers sont bien en proxy voir ci-dessous

-rw-r--r-- 1 proxy proxy    1547 déc.  25 20:15 errorpage.css
-rw-r--r-- 1 proxy proxy     421 déc.  25 20:15 msntauth.conf
-rw-r--r-- 1 proxy proxy 8653997 avril 18 19:21 blacklists.tar.gz
-rw-r--r-- 1 proxy proxy  206557 avril 19 14:21 squid.conf.old
-rw-r--r-- 1 proxy proxy    1212 avril 19 14:48 squidGuard.conf.old
lrwxrwxrwx 1 proxy proxy      31 avril 19 14:50 squidGuard.conf -> /etc/squidguard/squidGuard.conf
-rwxr-xr-x 1 proxy proxy     478 avril 19 16:51 update-site.sh
drwxr-xr-x 2 proxy proxy    4096 avril 19 16:52 blacklists
-rw-r--r-- 1 proxy proxy      20 avril 19 17:22 liste-sites.txt
-rw-r--r-- 1 proxy proxy    1881 avril 20 11:24 squid.conf

Mes processus sont bien en proxy

root     12875     1  0 12:45 ?        00:00:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf
proxy    12878 12875  0 12:45 ?        00:00:00 (squid) -YC -f /etc/squid3/squid.conf
proxy    12886 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12887 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12889 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12890 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12898 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12899 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12900 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12901 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12903 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12904 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12905 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12906 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf
proxy    12907 12878  0 12:45 ?        00:00:02 (squidGuard) -c /etc/squid3/squidGuard.conf

Et voici mon fichier de conf coté squid

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
#acl liste_url dstdomain "/etc/squid3/liste-sites.txt"
acl CONNECT method CONNECT
#acl LocalNet src 10.0.1.1/255.255.240.0
acl LocalNet src 10.0.0.0/255.255.240.0
http_access deny !Safe_ports
#http_access deny liste_url
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow LocalNet

http_access allow all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_mem 1500 MB
cache_dir ufs /var/cache/squid3 5000 16 256
minimum_object_size 3 KB
maximum_object_size 8 MB

cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
url_rewrite_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf
redirect_children 20
connect_timeout 30 seconds
request_timeout 30 seconds
persistent_request_timeout 30 seconds

read_timeout 2 minutes
ipcache_size 10240
fqdncache_size 10240
positive_dns_ttl 8 hours
negative_ttl 4 minutes

half_closed_clients off
server_persistent_connections off
client_persistent_connections on

client_lifetime 1 minutes
max_filedescriptors 4096
forwarded_for off

Et pour finir mon fichier de conf pour squidguard,

# Global variables
logdir	/var/log/squid3
dbhome	/var/lib/squidguard/db

# Time rules
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

# Source addresses

# Destination classes
dest adult {
	domainlist	adult/domains
	expressionlist	adult/very_restrictive_expression
	urllist	adult/urls
}
dest aggressif {
	domainlist	aggressive/domains
	urllist	aggressive/urls
}
dest agressif {
	domainlist	agressif/domains
	expressionlist	agressif/expressions
	urllist	agressif/urls
}
dest arjel {
	domainlist	arjel/domains
}
dest associations_religieuses {
	domainlist	associations_religieuses/domains
}
dest astrology {
	domainlist	astrology/domains
	urllist	astrology/urls
}
dest audio-video {
	domainlist	audio-video/domains
	urllist	audio-video/urls
}
dest bank {
	domainlist	bank/domains
}
dest bitcoin {
	domainlist	bitcoin/domains
	urllist	bitcoin/urls
}
dest blog {
	domainlist	blog/domains
	urllist	blog/urls
}
dest celebrity {
	domainlist	celebrity/domains
	urllist	celebrity/urls
}
dest chat {
	domainlist	chat/domains
	urllist	chat/urls
}
dest child {
	domainlist	child/domains
	urllist	child/urls
}
dest cleaning {
	domainlist	cleaning/domains
	urllist	cleaning/urls
}
dest cooking {
	domainlist	cooking/domains
}
dest dangerous_material {
	domainlist	dangerous_material/domains
	urllist	dangerous_material/urls
}
dest dating {
	domainlist	dating/domains
	urllist	dating/urls
}
dest ddos {
	domainlist	ddos/domains
}
dest dialer {
	domainlist	dialer/domains
}
dest download {
	domainlist	download/domains
	urllist	download/urls
}
dest drogue {
	domainlist	drogue/domains
	urllist	drogue/urls
}
dest educational_games {
	domainlist	educational_games/domains
	urllist	educational_games/urls
}
dest filehosting {
	domainlist	filehosting/domains
	urllist	filehosting/urls
}
dest financial {
	domainlist	financial/domains
	urllist	financial/urls
}
dest forums {
	domainlist	forums/domains
	expressionlist	forums/expressions
	urllist	forums/urls
}
dest gambling {
	domainlist	gambling/domains
	urllist	gambling/urls
}
dest games {
	domainlist	games/domains
	urllist	games/urls
}
dest hacking {
	domainlist	hacking/domains
	urllist	hacking/urls
}
dest jobsearch {
	domainlist	jobsearch/domains
}
dest lingerie {
	domainlist	lingerie/domains
	urllist	lingerie/urls
}
dest liste_blanche {
	domainlist	liste_blanche/domains
	urllist	liste_blanche/urls
}
dest liste_bu {
	domainlist	liste_bu/domains
	urllist	liste_bu/urls
}
dest malware {
	domainlist	malware/domains
	expressionlist	malware/expressions
	urllist	malware/urls
}
dest manga {
	domainlist	manga/domains
	urllist	manga/urls
}
dest marketingware {
	domainlist	marketingware/domains
	urllist	marketingware/urls
}
dest mixed_adult {
	domainlist	mixed_adult/domains
	urllist	mixed_adult/urls
}
dest mobile-phone {
	domainlist	mobile-phone/domains
	urllist	mobile-phone/urls
}
dest phishing {
	domainlist	phishing/domains
	urllist	phishing/urls
}
dest press {
	domainlist	press/domains
	urllist	press/urls
}
dest publicite {
	domainlist	publicite/domains
	expressionlist	publicite/expressions
	urllist	publicite/urls
}
dest radio {
	domainlist	radio/domains
	urllist	radio/urls
}
dest reaffected {
	domainlist	reaffected/domains
	urllist	reaffected/urls
}
dest redirector {
	domainlist	redirector/domains
	expressionlist	redirector/expressions
	urllist	redirector/urls
}
dest remote-control {
	domainlist	remote-control/domains
	urllist	remote-control/urls
}
dest sect {
	domainlist	sect/domains
	urllist	sect/urls
}
dest sexual_education {
	domainlist	sexual_education/domains
	urllist	sexual_education/urls
}
dest shopping {
	domainlist	shopping/domains
	urllist	shopping/urls
}
dest shortener {
	domainlist	shortener/domains
	urllist	shortener/urls
}
dest social_networks {
	domainlist	social_networks/domains
	urllist	social_networks/urls
}
dest special {
	domainlist	special/domains
	expressionlist	special/expressions
	urllist	special/urls
}
dest sports {
	domainlist	sports/domains
}
dest strict_redirector {
	domainlist	strict_redirector/domains
	expressionlist	strict_redirector/expressions
	urllist	strict_redirector/urls
}
dest strong_redirector {
	domainlist	strong_redirector/domains
	expressionlist	strong_redirector/expressions
	urllist	strong_redirector/urls
}
dest translation {
	domainlist	translation/domains
	urllist	translation/urls
}
dest sports {
	domainlist	sports/domains
}
dest strict_redirector {
	domainlist	strict_redirector/domains
	expressionlist	strict_redirector/expressions
	urllist	strict_redirector/urls
}
dest strong_redirector {
	domainlist	strong_redirector/domains
	expressionlist	strong_redirector/expressions
	urllist	strong_redirector/urls
}
dest translation {
	domainlist	translation/domains
	urllist	translation/urls
}
dest tricheur {
	domainlist	tricheur/domains
	urllist	tricheur/urls
}
dest update {
	domainlist	update/domains
}
dest warez {
	domainlist	warez/domains
	expressionlist	warez/expressions
	urllist	warez/urls
}
dest webmail {
	domainlist	webmail/domains
	urllist	webmail/urls
}

# Rewrite rules
rew safesearch {
	s@(google..*/search?.*q=.*)@
	s@(google..*/images.*q=.*)@
	s@(google..*/groups.*q=.*)@
	s@(google..*/news.*q=.*)@
	s@(yandex..*/yandsearch?.*text=.*)@
	s@(search.yahoo..*/search.*p=.*)@
	s@(search.live..*/.*q=.*)@
	s@(search.msn..*/.*q=.*)@
	s@(.bing..*/.*q=.*)@
	log block.log
}

# Policies
acl {
	default {
		pass	!adult !publicite !webmail all
		redirect	http://google.fr 
	}
}

Si vous avez des idées, je vous remercie par avance.

Hors ligne

#2 Le 22/04/2017, à 18:20

fprigent

Re : Mon squidguard ne flitre pas

que dit le log /var/log/squid3/squidGuard.log ? c'est lui le "juge de paix".

il faut vérifier que les bases de données ".db" sont bien créées dans le répertoire blacklists (c'est long, parfois 10-30 minutes) et qu'elles appartiennent bien à proxy:proxy (normalement les scripts que je vois doivent s'en charger).

Sinon dans ta configuration :
  - la section "rew" ne sert plus à rien avec le https sur google, bing et consorts.
  - rajoute le filtrage "redirector" si tu es en collège (en école c'est moins utile,).
  - rajoute le filtrage "malware", cela évite pas mal de surprises.

Hors ligne

#3 Le 24/04/2017, à 11:11

yannick-83

Re : Mon squidguard ne flitre pas

fprigent a écrit :

que dit le log /var/log/squid3/squidGuard.log ? c'est lui le "juge de paix".

il faut vérifier que les bases de données ".db" sont bien créées dans le répertoire blacklists (c'est long, parfois 10-30 minutes) et qu'elles appartiennent bien à proxy:proxy (normalement les scripts que je vois doivent s'en charger).

Sinon dans ta configuration :
  - la section "rew" ne sert plus à rien avec le https sur google, bing et consorts.
  - rajoute le filtrage "redirector" si tu es en collège (en école c'est moins utile,).
  - rajoute le filtrage "malware", cela évite pas mal de surprises.


Merci de ta réponse

Voici mes nouvelle ACL

acl {
        default {
                pass !adult !agressif !associations_religieuses !agressif !bitcoin !cleaning
                redirect /var/www/error/form.html
                }
        Lan     {
                pass !adult !webmail !redirector !malware !agressif !associations_religieuses !agressif !bitcoin !cleaning
                redirect /var/www/error/form.html
                }
}

Voici mes derniere log

2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/strong_redirector/urls.db
2017-04-24 11:10:39 [13186] init domainlist /var/lib/squidguard/db/translation/domains
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/translation/domains.db
2017-04-24 11:10:39 [13186] init urllist /var/lib/squidguard/db/translation/urls
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/translation/urls.db
2017-04-24 11:10:39 [13186] init domainlist /var/lib/squidguard/db/tricheur/domains
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/tricheur/domains.db
2017-04-24 11:10:39 [13186] init urllist /var/lib/squidguard/db/tricheur/urls
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/tricheur/urls.db
2017-04-24 11:10:39 [13186] init domainlist /var/lib/squidguard/db/update/domains
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/update/domains.db
2017-04-24 11:10:39 [13186] init domainlist /var/lib/squidguard/db/warez/domains
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/warez/domains.db
2017-04-24 11:10:39 [13186] init expressionlist /var/lib/squidguard/db/warez/expressions
2017-04-24 11:10:39 [13186] init urllist /var/lib/squidguard/db/warez/urls
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/warez/urls.db
2017-04-24 11:10:39 [13186] init domainlist /var/lib/squidguard/db/webmail/domains
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/webmail/domains.db
2017-04-24 11:10:39 [13186] init urllist /var/lib/squidguard/db/webmail/urls
2017-04-24 11:10:39 [13186] INFO: loading dbfile /var/lib/squidguard/db/webmail/urls.db
2017-04-24 11:10:39 [13186] INFO: squidGuard 1.5 started (1493025039.424)
2017-04-24 11:10:39 [13186] INFO: recalculating alarm in 45261 seconds
2017-04-24 11:10:39 [13186] INFO: squidGuard ready for requests (1493025039.547)

Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 24/04/2017, à 16:58)

Hors ligne

#4 Le 25/04/2017, à 06:14

fprigent

Re : Mon squidguard ne flitre pas

En théorie, tes acl n'autorisent rien (si je ne me trompe pas sur le fonctionnement par défaut). Il faut ajouter un "all" à la fin.

le log squidguard est bon, pas de "emergency mode", donc il prend en compte les bases.

redirect_children 20

n'a plus cours. il faut le remplacer par

url_rewrite_children 20 startup=10 idle=1 concurrency=0

tu as des règles inutiles dans les interdictions (la dernière englobe les 2 précédentes).

http_access allow localhost
http_access allow LocalNet

http_access allow all

Tes postes clients sont-ils bien repérés dans le access.log ? as-tu une trace de quelque chose qui devrait être filtré mais qui ne l'est pas ?

Hors ligne

#5 Le 25/04/2017, à 10:05

yannick-83

Re : Mon squidguard ne flitre pas

Pour le moment, je souhaiterais filtrer que les sites pornographie, et ensuite j'avise.

Voici la log,

De mon acces.log

roxy@srv-proxy:/etc/squidguard$ tail -f /var/log/squid3/access.log
1493106935.733      1 10.0.2.112 TCP_MISS/304 288 GET [url]http://10.0.0.103/smokeping/scriptaculous/dragdrop.js[/url] - DIRECT/10.0.0.103 -
1493106935.939      1 10.0.2.112 TCP_REFRESH_MODIFIED/200 22273 GET [url]http://10.0.0.103/smokeping/images/exterieur/Le-wan_last_10800.png[/url] - DIRECT/10.0.0.103 image/png
1493106935.957      2 10.0.2.112 TCP_REFRESH_UNMODIFIED/304 262 GET [url]http://10.0.0.103/smokeping/images/smokeping.png[/url] - DIRECT/10.0.0.103 -
1493106935.957      3 10.0.2.112 TCP_REFRESH_MODIFIED/200 32062 GET [url]http://10.0.0.103/smokeping/images/exterieur/Le-wan_last_108000.png[/url] - DIRECT/10.0.0.103 image/png
1493106935.957      3 10.0.2.112 TCP_REFRESH_MODIFIED/200 21144 GET [url]http://10.0.0.103/smokeping/images/exterieur/Le-wan_last_31104000.png[/url] - DIRECT/10.0.0.103 image/png
1493106935.957      3 10.0.2.112 TCP_REFRESH_MODIFIED/200 27764 GET [url]http://10.0.0.103/smokeping/images/exterieur/Le-wan_last_864000.png[/url] - DIRECT/10.0.0.103 image/png
1493106935.968      1 10.0.2.112 TCP_REFRESH_UNMODIFIED/304 261 GET [url]http://10.0.0.103/smokeping/images/rrdtool.png[/url] - DIRECT/10.0.0.103 -
1493106971.996  60334 10.0.1.73 TCP_MISS/200 671 CONNECT graph.facebook.com:443 - DIRECT/31.13.69.197 -
1493107067.969     89 10.0.2.112 TCP_MISS/200 927 POST [url]http://ocsp.digicert.com/[/url] - DIRECT/93.184.220.29 application/ocsp-response
1493107077.867    189 10.0.2.112 TCP_MISS/302 637 GET [url]http://www.google.fr/[/url] - DIRECT/172.217.19.227 text/html

Ce matin, je suis sur un site pornographie pour voir dans mon acces.log et justement on le voit pas ... C'est très curieux


Modération - Rappel : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 25/04/2017, à 15:13)

Hors ligne

#6 Le 26/04/2017, à 10:58

yannick-83

Re : Mon squidguard ne flitre pas

un tit up svp

car je vois qu'il y a 335 vu et il y a personne qui à une idée?

Hors ligne

#7 Le 09/05/2017, à 11:03

fprigent

Re : Mon squidguard ne flitre pas

Bonjour,

Tu as un problème au niveau de tes clients qui ne vont pas sur le proxy. Donc la question devient, comment imposes-tu le passage par proxy ? par configuration, ou par redirection transparente ? et dans ce dernier cas, quelle est la technique utilisée ?

Hors ligne