Configuration squid

rabi29 · May 14, 2009, 8:55 AM

Bonjour

j ai installer squid et squidgard sur pfsense(d ailleurs c'est un bonheur de pouvoir instller des package aussi simplement pour moi qui ne connais pas linux).
Mon problème c'est comme je l ai dis je connais pas linux et que je ne connais pas squid non plus.

1)Log store directory: je ne sais pas quoi mettre, la j ai mis/var mais bon c'est du pif
2)Quand je fais un test proxy , ca marche mais j ai un message d'erreur :

acces interdit. le controle acces interdit la requete d être accepter a cette heure.
Bon le message est clair mais je n'ai pas trouvé l onglet pour le planning horraire..

merci de votre aide
a+

ccnet · May 14, 2009, 9:17 AM

Squid et squidgard n'ont rien à faire sur le firewall même si les package existent.
Pfsense n'est pas sur Linux mais FreeBSD.
Connaître Linux (ou FreeBSD) n'a pas vraiment de rapport avec le paramétrage de Squid. Celui est disponible pour Windows aussi, il est donc indépendant de l'OS.
Pour vous aider consultez squid-cache.org. Vous y trouvez le lien pour Squidguard.

rabi29 · May 14, 2009, 9:31 AM

Bonjour
Merci pour la réponse mais pourquoi le firewall et et squid ne peuvent être ensemble??

Comme je test pfsense comme portail captif ,avec firewall pour bloquer tous les port sauf les courants.
Et je souhaite qu il y ai un blacklistage des sites , d ou mes tests squid et squidgarde.

Mais j ai peut etre mal compris §§
ca m arrive souvant :D
a+

ccnet · May 14, 2009, 9:54 AM

La question a déjà été abordée ici même plusieurs fois. Un firewall est un élément important dans la mise en ouvre de la sécurité. Souvent même critique. Or nous savons que statistiquement plus une machine exécute de process plus elle est vulnérable. La question n'est pas de savoir si tous les process exécutés sont sûrs. La réponse est qu'il ne ne le sont probablement pas. Plus le nombre de lignes de code mise en oeuvre est important plus a probabilité de failles est grande. Sur un élément aussi sensible qu'un firewall il est donc critique de diminuer au maximum la probabilité d'exploitation d'une faille. Il se pose ensuite des questions liées à la charge cpu, ram, disque, générée par la présence d'un proxy. La charge est loin d'être négligeable, surtout avec SquidGuard. Or nous ne tenons pas à voir les débits de notre firewall chuter du fait de cette charge.
Le fonctionnement d'un proxy implique la présence de très nombreux "objets" en mémoires, une connectivité supplémentaire si le proxy n'est pas en mode transparent, et le stockage des logs pour des raisons légales. Bref autant de choses qui vont générer des risques pour notre firewall. Ce qui est le contraire de ce que nous cherchons.

rabi29 · May 14, 2009, 11:29 AM

Salut
je comprend bien ;)

mais dans mon cas je ne peux me permettre d avoir x machine a tache dédié, et puis bon comme je test le produit, autant il aller a fond.

Je souhaite quand même savoir se que je dois mettre dans le log et mon probleme d acces interdie par heure, j ai cherche un peu partout mais rien que de la ligne de cmd , et comme pfsense dispose d un GUI pour squid, je souhaiterai savoir ou paramettre ca..
merci
a+

cisco31 · May 14, 2009, 1:10 PM

si ce n'est que ce problème ;)

Squid créé lui même son répertoire de log à l'install… normallement : /var/squid/log

jdh · May 14, 2009, 1:14 PM

Il y a de la contrepèterie dans l'air : ce ne serait pas plutôt /var/log/squid ?

cisco31 · May 14, 2009, 2:54 PM

Effectivement, mais les 2 sont de bonnes réponses…. selon que l'on utilise en plus "lightsquid report" :

"Note after installation:
On the first - enable log in squid package with "/var/squid/log" path.
On the second - press Refresh button for create lightsquid reports, else you will have error diagnostic page.
"

rabi29 · May 14, 2009, 4:33 PM

Merci
Et pour la configuration de squid??

Il y pas un petit tuto dans le coin car je galère grave.

des que je met le proxy sur mon browser ben j ai toujours le message cite plus haut..

Apparemment c'est l accès liste mais je ne sais pas quoi mettre..

merci
a+

rabi29 · May 18, 2009, 8:14 AM

toujours personne pour squid
a+

jdh · May 18, 2009, 1:56 PM

Ne le prends pas mal, mais moi je trouve en quelques minutes :

http://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy

(J'ai suivi : pfsense -> documentation -> wiki -> howto -> Setup Squid …)

Bien sur, le choix de faire ou non un proxy transparent est un choix délicat.
D'autant que ccnet indique que le proxy ne devrait pas se trouver sur le firewall. Appréciation que je partage à partir d'une certaine taille (disons 20-30 pers.).

rabi29 · May 18, 2009, 2:45 PM

Merci
non je le prend pas mal tu as raison j aurai du fouiller plus sur le site
a+