[RESOLU]Proxy Squidguard - 2 utilisateurs avec accès différents

bezourox

Bonjour,

Je cherche à mettre en place une configuration toute simple de proxy, mais je ne suis pas sûr que squidguard me le permette.

J'ai 2 utilisateurs :

internet : accès aux url de la liste blanche uniquement
vip : accès à tout le web

Une telle configuration est elle faisable ? J'ai créé ces 2 utilisateues dans l'interface, j'ai activé l'authentification locale, mais je ne vois pas d' attribution particulière de profils…

samus

hum c'est faisable mais pas de cette façon, il faut par exemple que tu interdises dans la black list tous les sites que tu veux bloquer pour la catégorie "internet", et pour les VIP tu renseignes leur IP dans la liste "Unrestricted IPs", ce qui fait que tu peux clairement distinguer les deux.

Cette solution d'appoint résous ton problème pour ton utilisation actuelle :)

maxiben

Bonjour,

Pour l'utilisateur INTERNET

acl {

util internet

Users_Whitelist {
pass Whitelist none
}

Pour l'utilisateur VIP et les autres …

default {
pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
log block.log
}

ou bien

default {
pass all
log block.log
}

bezourox

Merci beaucoup.
par contre je dois avouer que je suis un peu pommé sur le principe de fonctionnement du proxy squid.

Si j'ai bien compris, squid est le serveur proxy et squidguard est le filtre URL.
Peux t'on utiliser l'un sans l'autre ? comment interagissent t'il entre eux ?

J'ai rajouter 2 3 url dans ma liste blanche, et sur mon pfsense, j'ai cherché partout et retrouvé aucun fichier du genre "whitelist" avec mes url dedans.

Je sais que ce n'est pas un forum suqid mais si vous pouvez me filer des infos sur tout ça, je suis preneur.

bezourox

Pour l'utilisateur INTERNET

acl {

util internet

Users_Whitelist {
pass Whitelist none
}

Pour l'utilisateur VIP et les autres …

default {
pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
log block.log
}

ou bien

default {
pass all
log block.log
}

J'ai bien compris qu'il s'agissait des règles, mais dans quel fichier se trouve la déclaration des utilisateurs ?
Users_Whitelist est un fichier contenant mon utilisateur "internet" ?

J'ai regardé la doc squid & co mais je ne vois rien concernant mes utilisateurs.
Je ne vois que des configurations de blacklist mais pas ce qui m'intéresse…

Un coup de main serait vraiment le bien venu
Voici ou j'en suis :

Obligé d'avoir un proxy de configuré dans le navigateur pour sortir sur le net
Que je rentre comme utilisateur "vip" ou "internet", on accède à tout

bezourox

J'ai toujours un problème pour utiliser la liste blanche.
Actuellement : J'ai 2 comptes utilisateurs
Le proxy me demande bien une authentification.

Que je rentre le compte vip ou le compte internet, on accède à tout le web.

L'utilisateur internet ne devrait avoir accès qu'à la whitelist…

Mon squid.conf :

Do not edit manually !

http_port 192.168.1.1:8080
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/French
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
shutdown_lifetime 3 seconds

Allow local network(s) on interface(s)

acl localnet src  192.168.1.0/255.255.255.0
uri_whitespace strip

cache_mem 2 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir aufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 1000 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95

No redirector configured

Setup some default acls

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 192.168.1.0/24
cache deny dynamic
http_access allow manager localhost
 
http_access deny manager
http_access deny !safeports
http_access deny CONNECT !sslports

Always allow localhost connections

http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 allow all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

Always allow access to whitelist domains

auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwd
auth_param basic children 5
auth_param basic realm Proxy du Groupe Michel
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
acl utilisateur proxy_auth internet
acl admin proxy_auth vip
http_access allow utilisateur
http_access allow admin
http_access allow password localnet
http_access allow password allowed_subnets

Custom options

redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
redirector_bypass on
redirect_children 3

Default block all to be sure

http_access deny all

mon squidGuard.conf :

============================================================

SquidGuard configuration file

This file generated automaticly with SquidGuard configurator

(C)2006 Serg Dvoriancev

email: dv_serg@mail.ru

============================================================

#répertoire des logs
logdir /var/squidGuard/log
#répertoire de la base de données des listes
dbhome /var/db/squidGuard

définition du groupe d'utilisateurs étant admin

src admin {
user vip
log block.log
}
#définition du groupe d'utilisateurs étant restreints
src utilisateur {
user internet
log block.log
}

rew safesearch {
s@(google../search?.q=.)@\1&safe=active@i
s@(google../images.q=.)@\1&safe=active@i
s@(google../groups.q=.)@\1&safe=active@i
s@(google../news.q=.)@\1&safe=active@i
s@(yandex../yandsearch?.text=.)@\1&fyandex=1@i
s@(search.yahoo../search.p=.)@\1&vm=r@i
s@(search.live../.q=.)@\1&adlt=strict@i
s@(search.msn../.q=.)@\1&adlt=strict@i
log block.log
}
#déclaration de la whitelist
dest whitelist {
domainlist whitelist/domains
#urllist        whitelist/urls
    #expressionlist  whitelist/expressions
}

acl  {
#Groupe privilégié accède à tout
admin  {
pass all
log block.log
}
#Groupe restreint accède à liste blanche uniquement
utilisateur {
pass whitelist none
log block.log
}
#On bloque tout par défaut
default  {
pass none
redirect http://192.168.1.1:80/sgerror.php?url=403%20Interdit&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}
}

bezourox

ok tout est rentré dans l'ordre en utilisant l'interface web de pfsense.
Je me suis acharné à vouloir éditer les fichiers de configuration à la main et je pense que c'est ce qui posait souci.

Ne reste qu'un dernier point noir :

Avec une liste blanche de plus de 300 URL, j'aimerai rajouter pour chaque url un petit commentaire, histoire de m'y retrouver…. en rajoutant des # cela ne marche pas.... si vous avez une solution...