[RESOLU]Proxy Squidguard - 2 utilisateurs avec accès différents
-
Bonjour,
Je cherche à mettre en place une configuration toute simple de proxy, mais je ne suis pas sûr que squidguard me le permette.
J'ai 2 utilisateurs :
internet : accès aux url de la liste blanche uniquement
vip : accès à tout le webUne telle configuration est elle faisable ? J'ai créé ces 2 utilisateues dans l'interface, j'ai activé l'authentification locale, mais je ne vois pas d' attribution particulière de profils…
-
hum c'est faisable mais pas de cette façon, il faut par exemple que tu interdises dans la black list tous les sites que tu veux bloquer pour la catégorie "internet", et pour les VIP tu renseignes leur IP dans la liste "Unrestricted IPs", ce qui fait que tu peux clairement distinguer les deux.
Cette solution d'appoint résous ton problème pour ton utilisation actuelle :)
-
Bonjour,
Pour l'utilisateur INTERNET
acl {
util internet
Users_Whitelist {
pass Whitelist none
}Pour l'utilisateur VIP et les autres …
default {
pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
log block.log
}ou bien
default {
pass all
log block.log
} -
Merci beaucoup.
par contre je dois avouer que je suis un peu pommé sur le principe de fonctionnement du proxy squid.Si j'ai bien compris, squid est le serveur proxy et squidguard est le filtre URL.
Peux t'on utiliser l'un sans l'autre ? comment interagissent t'il entre eux ?J'ai rajouter 2 3 url dans ma liste blanche, et sur mon pfsense, j'ai cherché partout et retrouvé aucun fichier du genre "whitelist" avec mes url dedans.
Je sais que ce n'est pas un forum suqid mais si vous pouvez me filer des infos sur tout ça, je suis preneur.
-
Pour l'utilisateur INTERNET
acl {
util internet
Users_Whitelist {
pass Whitelist none
}Pour l'utilisateur VIP et les autres …
default {
pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
log block.log
}ou bien
default {
pass all
log block.log
}J'ai bien compris qu'il s'agissait des règles, mais dans quel fichier se trouve la déclaration des utilisateurs ?
Users_Whitelist est un fichier contenant mon utilisateur "internet" ?J'ai regardé la doc squid & co mais je ne vois rien concernant mes utilisateurs.
Je ne vois que des configurations de blacklist mais pas ce qui m'intéresse…Un coup de main serait vraiment le bien venu
Voici ou j'en suis :Obligé d'avoir un proxy de configuré dans le navigateur pour sortir sur le net
Que je rentre comme utilisateur "vip" ou "internet", on accède à tout -
J'ai toujours un problème pour utiliser la liste blanche.
Actuellement : J'ai 2 comptes utilisateurs
Le proxy me demande bien une authentification.Que je rentre le compte vip ou le compte internet, on accède à tout le web.
L'utilisateur internet ne devrait avoir accès qu'à la whitelist…
Mon squid.conf :
Do not edit manually !
http_port 192.168.1.1:8080
icp_port 0pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/French
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.1.0/255.255.255.0
uri_whitespace stripcache_mem 2 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir aufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 1000 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95No redirector configured
Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 192.168.1.0/24
cache deny dynamic
http_access allow manager localhost
http_access deny manager
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
reply_body_max_size 0 allow all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allAlways allow access to whitelist domains
auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwd
auth_param basic children 5
auth_param basic realm Proxy du Groupe Michel
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
acl utilisateur proxy_auth internet
acl admin proxy_auth vip
http_access allow utilisateur
http_access allow admin
http_access allow password localnet
http_access allow password allowed_subnetsCustom options
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
redirector_bypass on
redirect_children 3Default block all to be sure
http_access deny all
mon squidGuard.conf :
============================================================
SquidGuard configuration file
This file generated automaticly with SquidGuard configurator
(C)2006 Serg Dvoriancev
email: dv_serg@mail.ru
============================================================
#répertoire des logs
logdir /var/squidGuard/log
#répertoire de la base de données des listes
dbhome /var/db/squidGuarddéfinition du groupe d'utilisateurs étant admin
src admin {
user vip
log block.log
}
#définition du groupe d'utilisateurs étant restreints
src utilisateur {
user internet
log block.log
}rew safesearch {
s@(google../search?.q=.)@\1&safe=active@i
s@(google../images.q=.)@\1&safe=active@i
s@(google../groups.q=.)@\1&safe=active@i
s@(google../news.q=.)@\1&safe=active@i
s@(yandex../yandsearch?.text=.)@\1&fyandex=1@i
s@(search.yahoo../search.p=.)@\1&vm=r@i
s@(search.live../.q=.)@\1&adlt=strict@i
s@(search.msn../.q=.)@\1&adlt=strict@i
log block.log
}
#déclaration de la whitelist
dest whitelist {
domainlist whitelist/domains
#urllist whitelist/urls
#expressionlist whitelist/expressions
}acl {
#Groupe privilégié accède à tout
admin {
pass all
log block.log
}
#Groupe restreint accède à liste blanche uniquement
utilisateur {
pass whitelist none
log block.log
}
#On bloque tout par défaut
default {
pass none
redirect http://192.168.1.1:80/sgerror.php?url=403%20Interdit&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log
}
} -
ok tout est rentré dans l'ordre en utilisant l'interface web de pfsense.
Je me suis acharné à vouloir éditer les fichiers de configuration à la main et je pense que c'est ce qui posait souci.Ne reste qu'un dernier point noir :
Avec une liste blanche de plus de 300 URL, j'aimerai rajouter pour chaque url un petit commentaire, histoire de m'y retrouver…. en rajoutant des # cela ne marche pas.... si vous avez une solution...