SlideShare una empresa de Scribd logo

Cours 8 squid.pdf

F
FayalBougherbal

cours sécurité informatique

Tecnología
1 de 32
Descargar para leer sin conexión
• Proxy WEB
Plan ● Introduction ● Protocole HTTP ● Serveur de Web –Statique –Dynamique ● Serveur Apache ● Cryptage du contenu HTTP ● Proxy Web
Protocole HTTP ● HTTP : HyperText Transfer Protocol ● HTTP est un protocole de la couche application pour accéder à des ressources localisées sur des serveurs. ● Fonctionner sur n'importe quelle connexion fiable –TCP 80 → HTTP –TCP 443 → HTTPs ● HTTP a été développé conjointement avec le langage HTML et les URL pour créer le WWW (Word Wide Web)
Protocole HTTP –Dans le protocole HTTP, une méthode est une commande spécifiant un type de requête –Demande au serveur d'effectuer une action sur une ressource identifiée par l'URL qui suit le nom de la méthode. –Commandes les plus utilisées –GET : Demander une ressource. ●Une requête GET est sans effet sur la ressource ●Possibilité de répéter la requête sans effet. –POST : Utilisée pour transmettre des données en vue d'un traitement à une ressources
Get vs POST ● Get : –Simple : Paramètres sont dans l’URL –Taille limitée (2 KB) –Format des paramètres est limités aux caractères autorisés sans une URL ● Post: –Paramètres sont cachée –Pas de limité de la taillé –Transfert de n’importe quel type de données
Serveur Web Statiques vs Dynamique ● Deux types de serveur WEB : Statique et Dynamique ● Statique : –Fournit à des client HTTP des contenus (page HTML), prédéfinies ● Dynamique : –Fournit à des client HTTP des contenus (page HTML) construit au moment de la réception de la requête –Le code HTML est généré dynamiquement –Le serveur fait appel à –des interpréteurs (PHP, JSP, … etc) –Base de données
Serveur Dynamique Client HTTP Serveur HTTP Interpréteur (Ex. PHP) Base de Données (Ex. MySQL) 1 2 3 4 5 6 1)Le client envoie une commande GET ou POST + paramètre au serveur HTTP 2)Le serveur HTTP appel l’interpréteur approprié et lui transmet la raquette HTTP 3)L’interpréteur récupère les paramètres de la requête GET ou POST 4)L’interpréteur récupère éventuellement des information de la base de données 5)L’interpréteur génère du code HTML et le transmet au serveur 6)Le serveur envoie le code HTML généré au client 7)Le client affiche le code HTML reçu 7
Serveurs Web populaires ● Apache –De la fondation apache –Open Source ● IIS –De Microsoft –Propriétaire ● Ngnix
Serveurs Web populaires
Le serveur Apache ● Serveur Web open source ● Populaire (Le plus utilisé dans Internet) ● Principe de fonctionnement –Prefork → un processus pour chaque connexion –Worker → Un nombre limité de thread, chacun gère une connexion. ● Une connexion est géré par 1 thread –Event → Un nombre limité de thread, chacun une tâche ● Une connexion peut être plusieurs thread.
Le serveur Apache ● Installation de Apache –sudo apt-get install apache2 ● Configuration : –/etc/apache2/apache2.conf –/var/www/html
Le serveur Apache Exemple configuration d’un serveur statique –Enregister le code HTML suivant dans /var/www/html/mypage.html <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>Page test</title> </head> <body> Hello World ! </body>
Le serveur Apache
Le serveur Apache
Serveur Web dynamique –Exemple : Apache/PHP –Nécessité d’installer des modules supplémentaire : ●sudo apt-get install php7.0 ●sudo apt-get install libapache2-mod-php7.0
Serveur Web dynamique /var/www/html/get.html
Serveur Web dynamique /var/www/html/get-actionphp
Gestion de site virtuels –Possibilité de gérer plusieurs site Web au niveau du même serveur apache. –Configuration des site virtuels dans ● /etc/apache2/sites-available/ – A2ensite → Permet de créer un lien de /etc/apache2/sites-available/ vers /etc/apache2/sites-enabled/
Proxy Web
Proxy Web ● Serveur mandataire ● Serveur Intermédiaire pour accéder à Internet –Sécurité –Filtrage –Performance : Cache
Proxy Web: squid ● Installation sudo apt-get install squid ● Par défault, squid écoute sur le port 3128 ● Fichier de configuration → /etc/squid/squid.conf ● Fichier log → /var/log/squid/access.log ● Utilise ACL → Acess list
Squid et filtrage d’URL ● Avant tout cp /etc/squid3/squid.conf etc/squid3/squid.conf.old ● # Squid écoute sur le port 3128 et qu'il s'attendra à recevoir des requêtes redirigées sans que le client en ait conscience http_port 3128 transparent ● # affichera le nom de PC spécifié lors des messages d'erreurs visible_hostname squid.test.local ● # Access List. crée un groupe qui sera utilisé pour gérer l'IP source des clients qui utiliserons le proxy. ● acl localnet src 192.168.2.0/24
Squid et filtrage d’URL ● Squid fonctionne comme Iptables. La première règle qui est rancontrée sera utilisée et n'ira pas plus loin. ● l’ACL qui regroupe les ip du lan autorisées, les autres refusées http_access allow localnet http_access deny all ● Spécifie le chemin vers les logs créé pour chaque page visitée access_log /var/log/squid3/access.log ● Indique à Squid d'attendre 4 secondes avant de se couper quand on essaye de le stopper ou de le redémarrer. shutdown_lifetime 4 secondes /etc/init.d/squid3 restart
Squid et filtrage d’URL • On a une interface vers internet et une vers le lan. • Pour que internet puisse répondre aux requêtes qui ne viennent pas du proxy, donc celle du Lan avec une IP 192.168.2.0/24, il faudra faire du nat. – iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE • Pour que le requêtes vers le proxy arrivent en transparent, il faut rediriger le port 80 vers le port 3128 quand elles arrivent. – iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 • De cette façon, toutes les requêtes vers un site en http depuis le Lan vers le Wan passerons par le proxy. • Utilisez les règles iptables persistantes
Squid et filtrage d’URL • Il existe une multitude d'acl existante pour filtrer non pas juste ip source : – IP destination, – Le domaine de destination, – L'url, – MAC, – Heure de connexion – Les jours.
ACL • acl aclname acltype string[string2] • http_access allow|deny [!]aclname • src : indication de IP client adresse/masque. ou sous la forme adresse_IP_debut-adresse_IP_fin • dst : comme src, mais on vise l'adresse IP de l'ordinateur cible. • srcdomain : Le domaine du client • dstdomain : Le domaine de destination. • url_regex : Une chaîne dans l'URL (on peut utiliser un fichier). • urlpath_regex : Une chaîne comparée avec le chemin de l'URL proto : Pour le protocole.
Exemple 1:Interdire l'accès à un domaine • acl veuxpas dstdomain pas_beau.fr • http_access deny veuxpas • http_access allow all # On accepte tout La dernière ligne ne doit exister qu'une fois dans le fichier squid.conf.
Exemple 2: interdire l'accès aux pages contenant le mot jeu • acl jeu url_regex jeu • http_access deny jeu • http_access allow all Attention url_regex est sensible aux majuscules/minuscules. Pour interdire JEU, il faut aussi ajouter JEU dans votre ACL. Il n'est pas besoin de réécrire toute l'ACL. On peut ajouter JEU derrière jeu en laissant un blanc comme séparation (cela correspond à l'opérateur logique OU). On peut placer un nom de fichier à la place d'une série de mots ou d'adresses, pour cela donner le nom de fichier entre guillemets. Chaque ligne de ce fichier doit contenir une entrée.
Exemple 3: utilisation d'un fichier • # URL interdites • acl url_interdites url_regex "/etc/squid/denied_url" • http_access deny url_interdites • Des produits associés à Squid (redirecteurs) permettent un contrôle plus simple. SquidGuard, par exemple, permet d'interdire des milliers de sites. Le site d'information est référencé plus loin dans la rubrique “ liens ”. Pensez, si vous utilisez SquidGuard, à configurer la ligne suivante dans le fichier squid.conf : redirect_program /usr/local/squid/bin/SquidGuard
Exemple 4: qui a le droit d'utiliser squid • acl si_OK src 192.168.0.0/255.255.0.0 • http_access allow localhost • http_access allow site_OK • http_access deny all
Authentification des Users • Deux solutions : • Contrôler en fonction des individus, à partir de (APM, LDAP, NCSA auth, SMB...). • Une méthode simple :utiliser une méthode similaire au fichier .htaccess d'Apache. authenticate_program /usr/lib/ncsa_auth /etc/squid/passwd acl foo proxy_auth REQUIRED acl all src 0/0 http_access allow foo http_access deny all
La journalisation • access.log: les informations sur les requêtes qui ont transité par Squid. • cache.log : l'état du serveur lors de son démarrage. • store.log : les objets stockés dans le cache. • Les dates dans le fichier access.log indique le temps en secondes depuis le 1 janvier 1970 (format epoch),. Un petit script en perl, permet de recoder les dates : • #! /usr/bin/perl -p • s/^d+.d+/localtime $&/e;

Recomendados

Apache server configuration & sécurisation -
Apache server configuration & sécurisation -Apache server configuration & sécurisation -
Apache server configuration & sécurisation -achraf_ing
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur webNoël
 
Drupal 8, symfony
Drupal 8, symfonyDrupal 8, symfony
Drupal 8, symfonyjeUXdiCode
 
Serveurs
ServeursServeurs
ServeursDoha Smaili
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSLAnouar Loukili
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)Noël
 
Le Réseau et Java
Le Réseau et JavaLe Réseau et Java
Le Réseau et JavaKorteby Farouk
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1easyopenerp
 

Recomendados

Apache server configuration & sécurisation -
Apache server configuration & sécurisation -Apache server configuration & sécurisation -
Apache server configuration & sécurisation -achraf_ing
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur webNoël
 
Drupal 8, symfony
Drupal 8, symfonyDrupal 8, symfony
Drupal 8, symfonyjeUXdiCode
 
Serveurs
ServeursServeurs
ServeursDoha Smaili
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSLAnouar Loukili
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)Noël
 
Le Réseau et Java
Le Réseau et JavaLe Réseau et Java
Le Réseau et JavaKorteby Farouk
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1easyopenerp
 
technologie web
technologie webtechnologie web
technologie webBenoît Simard
 
Communications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHPCommunications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHPjulien pauli
 
spring.pdf
spring.pdfspring.pdf
spring.pdfBouaggadAmine
 
technologie web - part3
technologie web - part3technologie web - part3
technologie web - part3Benoît Simard
 
intro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdfintro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdfCoumbaLaobNdiaye1
 
Java EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdfJava EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdfColombieColombie
 
APACHE HTTP
APACHE HTTPAPACHE HTTP
APACHE HTTPRachid NID SAID
 
Serveur Web (2)
Serveur Web (2)Serveur Web (2)
Serveur Web (2)Saïd Radhouani
 
PHP et PHP Framework
PHP et PHP FrameworkPHP et PHP Framework
PHP et PHP FrameworkJérémie Campari
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Olivier Le Goaër
 
Controller_Rest.pptx
Controller_Rest.pptxController_Rest.pptx
Controller_Rest.pptxManalAg
 
Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?Steven VAN POECK
 
Introduction au web cours.pdf
Introduction au web cours.pdfIntroduction au web cours.pdf
Introduction au web cours.pdfElomyakobi
 
58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pagesilbahi
 
Installation Et Configuration De Nutch
Installation Et Configuration De NutchInstallation Et Configuration De Nutch
Installation Et Configuration De NutchMohamed Ben Bouzid
 
Support de cours angular
Support de cours angularSupport de cours angular
Support de cours angularENSET, Université Hassan II Casablanca
 
serveur ftp administration reseau sous linux
serveur ftp administration reseau sous linuxserveur ftp administration reseau sous linux
serveur ftp administration reseau sous linuxS4m1rSecur1ty
 
Openstack framework Iaas
Openstack framework IaasOpenstack framework Iaas
Openstack framework IaasNoureddine BOUYAHIAOUI
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCATRachid NID SAID
 
Presentation
PresentationPresentation
Presentationbois
 

Más contenido relacionado

Similar a Cours 8 squid.pdf

Communications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHPCommunications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHPjulien pauli
 
technologie web - part3
technologie web - part3technologie web - part3
technologie web - part3Benoît Simard
 
intro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdfintro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdfCoumbaLaobNdiaye1
 
Java EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdfJava EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdfColombieColombie
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Olivier Le Goaër
 
Controller_Rest.pptx
Controller_Rest.pptxController_Rest.pptx
Controller_Rest.pptxManalAg
 
Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?Steven VAN POECK
 
Introduction au web cours.pdf
Introduction au web cours.pdfIntroduction au web cours.pdf
Introduction au web cours.pdfElomyakobi
 
58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pagesilbahi
 
Installation Et Configuration De Nutch
Installation Et Configuration De NutchInstallation Et Configuration De Nutch
Installation Et Configuration De NutchMohamed Ben Bouzid
 
serveur ftp administration reseau sous linux
serveur ftp administration reseau sous linuxserveur ftp administration reseau sous linux
serveur ftp administration reseau sous linuxS4m1rSecur1ty
 
Presentation
PresentationPresentation
Presentationbois
 

Similar a Cours 8 squid.pdf (20)

technologie web
technologie webtechnologie web
technologie web
 
Communications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHPCommunications Réseaux et HTTP avec PHP
Communications Réseaux et HTTP avec PHP
 
spring.pdf
spring.pdfspring.pdf
spring.pdf
 
technologie web - part3
technologie web - part3technologie web - part3
technologie web - part3
 
intro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdfintro-tech-web-lp3-jan-21-slides-1-a-9.pdf
intro-tech-web-lp3-jan-21-slides-1-a-9.pdf
 
Java EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdfJava EE _ Servlet et vue (1).pdf
Java EE _ Servlet et vue (1).pdf
 
APACHE HTTP
APACHE HTTPAPACHE HTTP
APACHE HTTP
 
Serveur Web (2)
Serveur Web (2)Serveur Web (2)
Serveur Web (2)
 
PHP et PHP Framework
PHP et PHP FrameworkPHP et PHP Framework
PHP et PHP Framework
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !
 
Controller_Rest.pptx
Controller_Rest.pptxController_Rest.pptx
Controller_Rest.pptx
 
Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?Etes vous prêts pour le succes ?
Etes vous prêts pour le succes ?
 
Introduction au web cours.pdf
Introduction au web cours.pdfIntroduction au web cours.pdf
Introduction au web cours.pdf
 
58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages
 
Installation Et Configuration De Nutch
Installation Et Configuration De NutchInstallation Et Configuration De Nutch
Installation Et Configuration De Nutch
 
Support de cours angular
Support de cours angularSupport de cours angular
Support de cours angular
 
serveur ftp administration reseau sous linux
serveur ftp administration reseau sous linuxserveur ftp administration reseau sous linux
serveur ftp administration reseau sous linux
 
Openstack framework Iaas
Openstack framework IaasOpenstack framework Iaas
Openstack framework Iaas
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCAT
 
Presentation
PresentationPresentation
Presentation
 

Cours 8 squid.pdf

  • 2. Plan ● Introduction ● Protocole HTTP ● Serveur de Web –Statique –Dynamique ● Serveur Apache ● Cryptage du contenu HTTP ● Proxy Web
  • 3. Protocole HTTP ● HTTP : HyperText Transfer Protocol ● HTTP est un protocole de la couche application pour accéder à des ressources localisées sur des serveurs. ● Fonctionner sur n'importe quelle connexion fiable –TCP 80 → HTTP –TCP 443 → HTTPs ● HTTP a été développé conjointement avec le langage HTML et les URL pour créer le WWW (Word Wide Web)
  • 4. Protocole HTTP –Dans le protocole HTTP, une méthode est une commande spécifiant un type de requête –Demande au serveur d'effectuer une action sur une ressource identifiée par l'URL qui suit le nom de la méthode. –Commandes les plus utilisées –GET : Demander une ressource. ●Une requête GET est sans effet sur la ressource ●Possibilité de répéter la requête sans effet. –POST : Utilisée pour transmettre des données en vue d'un traitement à une ressources
  • 5. Get vs POST ● Get : –Simple : Paramètres sont dans l’URL –Taille limitée (2 KB) –Format des paramètres est limités aux caractères autorisés sans une URL ● Post: –Paramètres sont cachée –Pas de limité de la taillé –Transfert de n’importe quel type de données
  • 6. Serveur Web Statiques vs Dynamique ● Deux types de serveur WEB : Statique et Dynamique ● Statique : –Fournit à des client HTTP des contenus (page HTML), prédéfinies ● Dynamique : –Fournit à des client HTTP des contenus (page HTML) construit au moment de la réception de la requête –Le code HTML est généré dynamiquement –Le serveur fait appel à –des interpréteurs (PHP, JSP, … etc) –Base de données
  • 7. Serveur Dynamique Client HTTP Serveur HTTP Interpréteur (Ex. PHP) Base de Données (Ex. MySQL) 1 2 3 4 5 6 1)Le client envoie une commande GET ou POST + paramètre au serveur HTTP 2)Le serveur HTTP appel l’interpréteur approprié et lui transmet la raquette HTTP 3)L’interpréteur récupère les paramètres de la requête GET ou POST 4)L’interpréteur récupère éventuellement des information de la base de données 5)L’interpréteur génère du code HTML et le transmet au serveur 6)Le serveur envoie le code HTML généré au client 7)Le client affiche le code HTML reçu 7
  • 8. Serveurs Web populaires ● Apache –De la fondation apache –Open Source ● IIS –De Microsoft –Propriétaire ● Ngnix
  • 10. Le serveur Apache ● Serveur Web open source ● Populaire (Le plus utilisé dans Internet) ● Principe de fonctionnement –Prefork → un processus pour chaque connexion –Worker → Un nombre limité de thread, chacun gère une connexion. ● Une connexion est géré par 1 thread –Event → Un nombre limité de thread, chacun une tâche ● Une connexion peut être plusieurs thread.
  • 11. Le serveur Apache ● Installation de Apache –sudo apt-get install apache2 ● Configuration : –/etc/apache2/apache2.conf –/var/www/html
  • 12. Le serveur Apache Exemple configuration d’un serveur statique –Enregister le code HTML suivant dans /var/www/html/mypage.html <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>Page test</title> </head> <body> Hello World ! </body>
  • 15. Serveur Web dynamique –Exemple : Apache/PHP –Nécessité d’installer des modules supplémentaire : ●sudo apt-get install php7.0 ●sudo apt-get install libapache2-mod-php7.0
  • 18. Gestion de site virtuels –Possibilité de gérer plusieurs site Web au niveau du même serveur apache. –Configuration des site virtuels dans ● /etc/apache2/sites-available/ – A2ensite → Permet de créer un lien de /etc/apache2/sites-available/ vers /etc/apache2/sites-enabled/
  • 20. Proxy Web ● Serveur mandataire ● Serveur Intermédiaire pour accéder à Internet –Sécurité –Filtrage –Performance : Cache
  • 21. Proxy Web: squid ● Installation sudo apt-get install squid ● Par défault, squid écoute sur le port 3128 ● Fichier de configuration → /etc/squid/squid.conf ● Fichier log → /var/log/squid/access.log ● Utilise ACL → Acess list
  • 22. Squid et filtrage d’URL ● Avant tout cp /etc/squid3/squid.conf etc/squid3/squid.conf.old ● # Squid écoute sur le port 3128 et qu'il s'attendra à recevoir des requêtes redirigées sans que le client en ait conscience http_port 3128 transparent ● # affichera le nom de PC spécifié lors des messages d'erreurs visible_hostname squid.test.local ● # Access List. crée un groupe qui sera utilisé pour gérer l'IP source des clients qui utiliserons le proxy. ● acl localnet src 192.168.2.0/24
  • 23. Squid et filtrage d’URL ● Squid fonctionne comme Iptables. La première règle qui est rancontrée sera utilisée et n'ira pas plus loin. ● l’ACL qui regroupe les ip du lan autorisées, les autres refusées http_access allow localnet http_access deny all ● Spécifie le chemin vers les logs créé pour chaque page visitée access_log /var/log/squid3/access.log ● Indique à Squid d'attendre 4 secondes avant de se couper quand on essaye de le stopper ou de le redémarrer. shutdown_lifetime 4 secondes /etc/init.d/squid3 restart
  • 24. Squid et filtrage d’URL • On a une interface vers internet et une vers le lan. • Pour que internet puisse répondre aux requêtes qui ne viennent pas du proxy, donc celle du Lan avec une IP 192.168.2.0/24, il faudra faire du nat. – iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE • Pour que le requêtes vers le proxy arrivent en transparent, il faut rediriger le port 80 vers le port 3128 quand elles arrivent. – iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 • De cette façon, toutes les requêtes vers un site en http depuis le Lan vers le Wan passerons par le proxy. • Utilisez les règles iptables persistantes
  • 25. Squid et filtrage d’URL • Il existe une multitude d'acl existante pour filtrer non pas juste ip source : – IP destination, – Le domaine de destination, – L'url, – MAC, – Heure de connexion – Les jours.
  • 26. ACL • acl aclname acltype string[string2] • http_access allow|deny [!]aclname • src : indication de IP client adresse/masque. ou sous la forme adresse_IP_debut-adresse_IP_fin • dst : comme src, mais on vise l'adresse IP de l'ordinateur cible. • srcdomain : Le domaine du client • dstdomain : Le domaine de destination. • url_regex : Une chaîne dans l'URL (on peut utiliser un fichier). • urlpath_regex : Une chaîne comparée avec le chemin de l'URL proto : Pour le protocole.
  • 27. Exemple 1:Interdire l'accès à un domaine • acl veuxpas dstdomain pas_beau.fr • http_access deny veuxpas • http_access allow all # On accepte tout La dernière ligne ne doit exister qu'une fois dans le fichier squid.conf.
  • 28. Exemple 2: interdire l'accès aux pages contenant le mot jeu • acl jeu url_regex jeu • http_access deny jeu • http_access allow all Attention url_regex est sensible aux majuscules/minuscules. Pour interdire JEU, il faut aussi ajouter JEU dans votre ACL. Il n'est pas besoin de réécrire toute l'ACL. On peut ajouter JEU derrière jeu en laissant un blanc comme séparation (cela correspond à l'opérateur logique OU). On peut placer un nom de fichier à la place d'une série de mots ou d'adresses, pour cela donner le nom de fichier entre guillemets. Chaque ligne de ce fichier doit contenir une entrée.
  • 29. Exemple 3: utilisation d'un fichier • # URL interdites • acl url_interdites url_regex "/etc/squid/denied_url" • http_access deny url_interdites • Des produits associés à Squid (redirecteurs) permettent un contrôle plus simple. SquidGuard, par exemple, permet d'interdire des milliers de sites. Le site d'information est référencé plus loin dans la rubrique “ liens ”. Pensez, si vous utilisez SquidGuard, à configurer la ligne suivante dans le fichier squid.conf : redirect_program /usr/local/squid/bin/SquidGuard
  • 30. Exemple 4: qui a le droit d'utiliser squid • acl si_OK src 192.168.0.0/255.255.0.0 • http_access allow localhost • http_access allow site_OK • http_access deny all
  • 31. Authentification des Users • Deux solutions : • Contrôler en fonction des individus, à partir de (APM, LDAP, NCSA auth, SMB...). • Une méthode simple :utiliser une méthode similaire au fichier .htaccess d'Apache. authenticate_program /usr/lib/ncsa_auth /etc/squid/passwd acl foo proxy_auth REQUIRED acl all src 0/0 http_access allow foo http_access deny all
  • 32. La journalisation • access.log: les informations sur les requêtes qui ont transité par Squid. • cache.log : l'état du serveur lors de son démarrage. • store.log : les objets stockés dans le cache. • Les dates dans le fichier access.log indique le temps en secondes depuis le 1 janvier 1970 (format epoch),. Un petit script en perl, permet de recoder les dates : • #! /usr/bin/perl -p • s/^d+.d+/localtime $&/e;