How To de squidGuard-Addon 1.4.2, interface d’administration de squidGuard sur IPCop 1.4
 |
Avertissement | |
A ce jour,les mises à jour de IPCop doivent être faites préalablement à l’installation du présent addon, sous peine d'écrasement de celui-ci par les mises à jour.
Les anciennes versions d'IPCop ne sont plus supportées. Il faut un IPCop 1.4.10 ou supérieur!
L'accès à Internet depuis un réseau interne nécessite quelques précautions d'usage tant dans la qualité de la liaison que sa sécurité et ce, en entrée comme en sortie.
C'est pourquoi il est essentiel de contrôler et restreindre les informations qui parviendront au réseau interne afin de garantir une fiabilité et une sécurité accrue. La stratégie consiste donc à ne donner qu'un accès restreint à la seule information jugée nécessaire pour l'utilisateur du réseau.
Cette politique s'appuie sur deux outils complémentaires implémentés dans IPCop : le serveur Proxy Squid mettant en cache localement les informations fréquemment demandées qui permet ainsi une navigation accélérée et l'analyseur de requête squidGuard analysant les demandes issues du réseau interne afin de les transmettre éventuellement au serveur proxy selon les règles établies.
squidGuard-Addon est un addon écrit par Franck78 qui rajoute une interface d'administration à celle d'IPCop qui permet ainsi de gérer le service squidGuard.
Retour au Sommaire
| Retour au Sommaire |
Télécharger squidGuard-Addon sur le site http://franck78.ath.cx/.
Transférer le fichier dans un répertoire temporaire sur la machine IPCop à l'aide d'un utilitaire de type Putty ou Winscp.
Se connecter sur la console (tip: ssh utilise le port 222).
Décompresser l'addon par un classique, "tar -xzf squidGuard-X.Y.Z.tgz",
Lancer l'installation par la commande "./setup". Vous pouvez suivre l'installation qui se fait automatiquement avant de se terminer par un « Enjoy ! ».
"setup" détecte une version installée de squidGuard et propose une simple réparation. Cette réparation copie et réinstalle les permissions sur les fichiers de l'addon sans toucher la database actuelle et sans toucher la configuration
Un second choix propose de compiler la base avec une base 'adult' vide pour gagner en temps d'installation. La base 'adult' normale sera installée à la prochaine mise à jour programmée.
Retour au Sommaire
Une fois l'installation effectuée, il est nécessaire de se connecter à l'interface d'administration d'IPCop (http://@IPCop:445 où @IPCop est à remplacer par l'adresse IP de votre serveur IPCop) pour constater l'ajout dans le menu Service du choix SquidGuard qui va servir à la configuration des différentes options.
L'interface est en français, les listes interdites (noires) sont regroupées en thèmes aussi divers que variés et utilisent les blacklist de l'université de Toulouse. Cocher la case dans la colonne A pour appliquer les interdictions d'accès au sites de la liste. Vous pouvez consulter le contenu de la liste en cliquant dessus. Eviter de consultez la base 'adult' qui sollicite beaucoup de ressources!
Par ailleurs, il est tout à fait possible d'ajouter ses propres listes locales qui restent aisément modifiables car éditables, ce sont "Blanche locale " et "Noire locale" dont le contenu est prioritaire sur les listes normales. Cette méthode complète efficacement la mise à jour automatique.
La liste publicité de base n'est pas très active, du moins à la date d'écriture du programme. C'est pourquoi deux autres listes peuvent venir utilement la compléter: Peter Lowe & Mike Meyer.
- Colonne A cochée : Cette liste sera filtrée, et donc inaccessible.
- Colonne B cochée : Cette liste sera filtrée pendant les jours travaillés, mais sera accessible pendant les jours de repos. (Intéressant pour filtrer la liste "Jeux" et en permettre l'accès pendant les vacances)
Pour la configuration des Jours de repos voir la section 04.3._Gestion_des_Horaires_daccèsIl s'agit ensuite de configurer au mieux les différentes options qui vont régir les règles à appliquer au réseau d'une part et à squidGuard d'autre part.
| Retour au Sommaire |
Ici, il convient de rentrer le/les plages autorisées du réseau auxquelles s'appliquent les règles.
On peut écrire soit une adresse IP soit une plage d'adresses séparée par un espace
Les notations suivantes sont acceptées:
- 192.168.0.1-192.168.0.255
- 192.168.0.0/24
- 192.168.0.0/255.255.255.0
Si on laisse ce champ vide, alors seules les listes blanches cochées sont passantes et tout le reste est bloqué.1' : Plage IP autorisée sans horaire d'accès
Ici, on indiquera la/les plages autorisées du réseau auxquelles s'appliquent les règles mais pour la/lesquelles aucune gestion des horaires d'accès ne sera imposée.
Ce champ apparait lorsque la case 13 'Activer la gestion des horaires d'accès' est cochée.2 : Plage IP privilégiée
Dans cette zone seront saisies le/les adresses IP auxquelles ne s'appliquent pas les règles.3 : Mail de l'administrateur
En renseignant le mail de l'administrateur (obligatoire), cela lui permet éventuellement d'être avisé d'une requête contrevenant aux règles mais cela peut autoriser également les utilisateurs à contacter l'administrateur pour demander un accès à une page spécifique qui serait inaccessible à cause des règles en vigueur.4 : Page de redirection utilisée
Il est possible de diriger les requêtes qui n'aboutissent pas (car contraire à la politique en vigueur) sur une page spécifique (locale ou sur le net) autre que celle proposée par défaut.5 : Nombre de redirecteur
Indiquez ici le nombre de processus squidGuard lancé par Squid pour traiter les redirections. Plus le nombre de clients connectés augmente, plus il est nécessaire d'augmenter le nombre de redirecteurs pour garantir des performances optimales.
On peut considérer qu'un redirecteur est suffisant par tranche de 10 à 15 clients, avec un minimum de deux redirecteurs.
| Retour au Sommaire |
6 : Utiliser CRON pour vérifier les mises à jour
En cochant cet item, le demon CRON est activé et va vérifier les mises à jour selon l'horaire défini.7 : Horaire de maj (0 10 * * 0)
l'horaire s'écrit selon le protocole propre à crontab sous la forme suivante:
| | | | |
| | | | +----- Jour de la semaine (0 - 6) (Dimanche= 0 lundi = 1, ...)
| | | +--------- Mois (1 - 12 ou * pour tous)
| | +------------- Jour du mois (1 - 31 ou * pour tous)
| +----------------- Heure (0 - 23 ou * pour toutes)
+--------------------- Minute (0 - 59 ou * pour toutes)
d'après l'exemple (0 10 * * 0) :à la minute 0 (0) de l'heure 10 (10 ) tous les jours du mois (*) tous les mois (*) le Dimanche (0) le service de mise à jour sera lancé.
Remarque
Effectuer la mise à jour une fois par semaine est largement suffisant!
L'université de Toulouse ne met pas à jour cette liste toutes les dix minutes.8 : Lance/Relance squidGuard
Permet de lancer/Relancer le service squidGuard.
Remarque Importante
CHAQUE modification de squid par le GUI désactive squidguard.
voir 10 et 11 ci dessous.
Après un changement dans Squid, Il faut systématiquement relancer le service.Menu Services / Serveur Mandataire (Proxy)
Menu Etats / Etat du Sytème
9 : Mise à de la liste (Univ Toulouse)
Lance manuellement une maj de la liste .
Attention, ce service peut se révéler assez long suivant la configuration matérielle de la machine sur laquelle est installé IPCop, c'est pourquoi il est fortement recommandé de faire appel aux mises à jour automatisées.
| Retour au Sommaire |
Le but de cette section est d'attribuer des horaires d'accès spécifique pour la plage ip autorisée définie à la section 1.
Il faut cocher la case 'Activer la gestion des horaires d'accès'.
Remarque Importante
squidGuard ne filtrant que les contenus web (HTTP),
vous n'interdirez pas totalement l'accès à Internet, seul l'accès au web sera contrôlé.
Il existe deux catégories de jour: le jour travaillé et le jour repos (férié). Chaque jour appartient obligatoirement à l'une d'elle. Les options suivantes permettent de facilement attribuer un jour à telle ou telle catégorie.
Pour chacune des catégories de jour, un horaire est applicable. La plage de 24 heures est interdite de naviguation et peut être entrecoupées de deux périodes autorisées, par exemple le matin puis l'après-midi.
14 : Jour de Repos Hebdomadaire
Sélectionnez ici le ou les jours de la semaine qui seront systématiquement gérés comme des jours de repos.15 : Horaires D'accès
Sélectionnez ici la ou les plages horaires qui seront appliqués en fonction des jours Travaillés ou de Repos.
Vous pouvez définir des horaires d'accès différents suivant que le jour en question est un jour de repos ou non.16 : Jour Fériés
Cette section vous propose des jours fériés connus ou calculés automatiquement par le programme.
Par exemple, la plupart des fêtes catholique dépendent du jour de pâques qui varie d'une année sur l'autre.
D'autres jours fériés seront rajoutés ulltérieurement.17 : Calendrier
Sélectionnez ici le ou les jours de l'année qui seront gérés comme des jours de repos.
Ce calendrier ne prenant pas en compte les années, il reste valable d'une année sur l'autre.
Les initiales des jours placés à droite de chaque date sont par contre calculées en fonction de l'année en cours18 : Enregistrer
Le bouton -Enregistrer- vous permet de sauvegarder votre configuration afin de la récupérer après une ré-installation par exemple.
| Retour au Sommaire |
La dernière partie concerne la page de redirection implémentée dans SquidGuard.
On peut ainsi, personnaliser le message que lira l'utilisateur lors d'une réponse négative à sa requête (20 : WHAT et WHY), identifier le poste « contrevenant » grace à son IP, connaître l'adresse du site bloqué, identifier la source du réseau, connaître la règle activée, autoriser l'utilisateur à demander la permission pour un site particulier, changer l'illustration ainsi que la couleur de fond.
Avant tout enregistrement, on peut néanmoins tester les pages (Tester pour l'accès interdit et Tester (acl) pour l'accès hors plages horaire) (21 ). Le fait de laisser un champ vide recharge sa valeur par défaut.Vous pouvez maintenant vérifier que votre addon fonctionne en essayant d'accèder à un site interdit depuis un de vos postes.
Si vous avez bien configuré squidGuard-addon,
lors de l'accès à la page interdite, le navigateur client devrait afficher une page du style de celle ci-dessous
lors d'un accès en dehors des plages horaires définies, le navigateur client devrait afficher une page du style de celle ci-dessous
de plus les sites interdits sont enregistrés dans les logs et consultables via le menu Journaux / squidGuard.
Cette page permet d'attribuer une redirection particulière à chaque liste. Elle prime sur la page par défaut (4). La aussi quelques substitutions sont possibles:
- %u: l'url répérée
- %a: IP de la machine
- %i: l'interface (adresse IP) de cet IPCop
| Retour au Sommaire |
Il ne s'agit pas vraiment d'éditer les listes car les mises à jour seraient inutilement complexifiées! L'idée est de copier les entrées que l'on veut débloquer vers la whitelist.
Le bouton ajouter est affiché régulièrement pour éviter les longs défilements de verticaux. La couleur verte indique un site autorisé. Pour interdire de nouveau un site, il suffit de supprimer son entrée de la whitelist.
Ouvrir une liste, cocher les sites voulu et ajouter.
Lancer/relancer squidGuard pour activer les changements.
| Retour au Sommaire |
Certaines listes sont très remplies comme celles concernant la publicité. Quelques filtres permettent d'extraire plus finement l'information recherchée.
Pour apparaitre ici, la case 'Log individuel des listes' doit être activées.
| Retour au Sommaire |
Q1 - squidGuard ne semble pas fonctionner !
A1 - vérifier dans le menu Services / Serveur mandataire (Proxy) que squidGuard est bien En Fonction, dans le cas contraire, relancer squidGuard.Q2 - squidGuard est bien En Fonction mais j'arrive toujours à accèder à des sites interdits.
A2 - Vérifier dans le menu Services / Serveur mandataire (Proxy) que la case proxy Mode transparent Green est bien cochée.
A2' - si vous ne voulez pas utiliser le mode transparent, vérifier que les navigateurs de vos postes clients sont bien configurés pour utiliser le proxy sur IPCop.Sous Firefox Menu Outils/Options puis Général, cliquer sur le bouton [Paramètres de Connexion...]
Q3 - Rien ne marche...
A3 - Un problème commun est la base de données qui est endommagée (mauvaise compilation par exemple). Vérifier le contenu des deux fichiers log de squidGuard:
- /var/log/squidGuard/squidGuard.log
- /var/log/squiGuard/log/squidGuard.log
Si une base est endommagée, effacer le fichier .db correspondant et recompilez le par
- squidGuard -C all
- squidGuard -C adult
Q4 - Faut-il désinstaller la précédente version de l'addon avant mise à jour ?
- non pour une mise à jour de l'addon
- préférable avant une mise à jour d'IPCop
| Retour au Sommaire |
HowTo squidGuard-Addon 1.4.2 wrote <--SG_contrib-->
