[RESOLU]Proxy Squidguard - 2 utilisateurs avec accès différents



  • Bonjour,

    Je cherche à mettre en place une configuration toute simple de proxy, mais je ne suis pas sûr que squidguard me le permette.

    J'ai 2 utilisateurs :

    internet : accès aux url de la liste blanche uniquement
    vip : accès à tout le web

    Une telle configuration est elle faisable ? J'ai créé ces 2 utilisateues dans l'interface, j'ai activé l'authentification locale, mais je ne vois pas d' attribution particulière de profils…



  • hum c'est faisable mais pas de cette façon, il faut par exemple que tu interdises dans la black list tous les sites que tu veux bloquer pour la catégorie "internet", et pour les VIP tu renseignes leur IP dans la liste "Unrestricted IPs", ce qui fait que tu peux clairement distinguer les deux.

    Cette solution d'appoint résous ton problème pour ton utilisation actuelle :)



  • Bonjour,

    Pour l'utilisateur INTERNET

    acl {

    util internet

    Users_Whitelist {
    pass Whitelist none
    }

    Pour l'utilisateur VIP et les autres …

    default {
    pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
    log block.log
    }

    ou bien

    default {
    pass all
    log block.log
    }



  • Merci beaucoup.
    par contre je dois avouer que je suis un peu pommé sur le principe de fonctionnement du proxy squid.

    Si j'ai bien compris, squid est le serveur proxy et squidguard est le filtre URL.
    Peux t'on utiliser l'un sans l'autre ? comment interagissent t'il entre eux ?

    J'ai rajouter 2 3 url dans ma liste blanche, et sur mon pfsense, j'ai cherché partout et retrouvé aucun fichier du genre "whitelist" avec mes url dedans.

    Je sais que ce n'est pas un forum suqid mais si vous pouvez me filer des infos sur tout ça, je suis preneur.



  • Pour l'utilisateur INTERNET

    acl {

    util internet

    Users_Whitelist {
    pass Whitelist none
    }

    Pour l'utilisateur VIP et les autres …

    default {
    pass !in-addr !blk_blacklists_adult !blk_blacklists_aggressive !blk_blacklists_hacking !blk_blacklists_proxy !blk_blacklists_warez !dl_expressions all
    log block.log
    }

    ou bien

    default {
    pass all
    log block.log
    }

    J'ai bien compris qu'il s'agissait des règles, mais dans quel fichier se trouve la déclaration des utilisateurs ?
    Users_Whitelist est un fichier contenant mon utilisateur "internet" ?

    J'ai regardé la doc squid & co mais je ne vois rien concernant mes utilisateurs.
    Je ne vois que des configurations de blacklist mais pas ce qui m'intéresse…

    Un coup de main serait vraiment le bien venu
    Voici ou j'en suis :

    Obligé d'avoir un proxy de configuré dans le navigateur pour sortir sur le net
    Que je rentre comme utilisateur "vip" ou "internet", on accède à tout



  • J'ai toujours un problème pour utiliser la liste blanche.
    Actuellement : J'ai 2 comptes utilisateurs
    Le proxy me demande bien une authentification.

    Que je rentre le compte vip ou le compte internet, on accède à tout le web.

    L'utilisateur internet ne devrait avoir accès qu'à la whitelist…

    Mon squid.conf :

    Do not edit manually !

    http_port 192.168.1.1:8080
    icp_port 0

    pid_filename /var/run/squid.pid
    cache_effective_user proxy
    cache_effective_group proxy
    error_directory /usr/local/etc/squid/errors/French
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /var/squid/log/access.log
    cache_log /var/squid/log/cache.log
    cache_store_log none
    shutdown_lifetime 3 seconds

    Allow local network(s) on interface(s)

    acl localnet src  192.168.1.0/255.255.255.0
    uri_whitespace strip

    cache_mem 2 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir aufs /var/squid/cache 100 16 256
    minimum_object_size 0 KB
    maximum_object_size 1000 KB
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95

    No redirector configured

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563
    acl manager proto cache_object
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    acl allowed_subnets src 192.168.1.0/24
    cache deny dynamic
    http_access allow manager localhost
     
    http_access deny manager
    http_access deny !safeports
    http_access deny CONNECT !sslports

    Always allow localhost connections

    http_access allow localhost

    request_body_max_size 0 KB
    reply_body_max_size 0 allow all
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow all

    Always allow access to whitelist domains

    auth_param basic program /usr/local/libexec/squid/ncsa_auth /var/etc/squid.passwd
    auth_param basic children 5
    auth_param basic realm Proxy du Groupe Michel
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED
    acl utilisateur proxy_auth internet
    acl admin proxy_auth vip
    http_access allow utilisateur
    http_access allow admin
    http_access allow password localnet
    http_access allow password allowed_subnets

    Custom options

    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
    redirector_bypass on
    redirect_children 3

    Default block all to be sure

    http_access deny all

    mon squidGuard.conf :

    ============================================================

    SquidGuard configuration file

    This file generated automaticly with SquidGuard configurator

    (C)2006 Serg Dvoriancev

    email: dv_serg@mail.ru

    ============================================================

    #répertoire des logs
    logdir /var/squidGuard/log
    #répertoire de la base de données des listes
    dbhome /var/db/squidGuard

    définition du groupe d'utilisateurs étant admin

    src admin {
    user vip
    log block.log
    }
    #définition du groupe d'utilisateurs étant restreints
    src utilisateur {
    user internet
    log block.log
    }

    rew safesearch {
    s@(google../search?.q=.)@\1&safe=active@i
    s@(google..
    /images.q=.)@\1&safe=active@i
    s@(google../groups.q=.)@\1&safe=active@i
    s@(google..
    /news.q=.)@\1&safe=active@i
    s@(yandex../yandsearch?.text=.)@\1&fyandex=1@i
    s@(search.yahoo..
    /search.p=.)@\1&vm=r@i
    s@(search.live../.q=.)@\1&adlt=strict@i
    s@(search.msn..
    /.q=.)@\1&adlt=strict@i
    log block.log
    }
    #déclaration de la whitelist
    dest whitelist {
    domainlist whitelist/domains
    #urllist        whitelist/urls
        #expressionlist  whitelist/expressions
    }

    acl  {
    #Groupe privilégié accède à tout
    admin  {
    pass all
    log block.log
    }
    #Groupe restreint accède à liste blanche uniquement
    utilisateur {
    pass whitelist none
    log block.log
    }
    #On bloque tout par défaut
    default  {
    pass none
    redirect http://192.168.1.1:80/sgerror.php?url=403 Interdit&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    log block.log
    }
    }



  • ok tout est rentré dans l'ordre en utilisant l'interface web de pfsense.
    Je me suis acharné à vouloir éditer les fichiers de configuration à la main et je pense que c'est ce qui posait souci.

    Ne reste qu'un dernier point noir :

    Avec une liste blanche de plus de 300 URL, j'aimerai rajouter pour chaque url un petit commentaire, histoire de m'y retrouver…. en rajoutant des # cela ne marche pas.... si vous avez une solution...


Log in to reply