Un serveur proxy avec squid / squidguard / clamav

Un serveur proxy est un serveur mandataire qui joue le rôle d’intermédiaire dans les échanges pour accéder à internet.
Il permet à l’administrateur de surveiller et restreindre les échanges entre un réseau local et internet. Il permet aussi d’optimiser la bande passante utilisé par les utilisateurs par la biais de la mise en cache

Pour ce tutoriel nous allons utiliser :
Squid : Le serveur proxy
Squidguard : Filtrage URL avec utilisation de blacklists
Clamav : Antivirus

J’ai réalisé cette installation sur Debian 7, je vous conseille d’utiliser les mêmes dépôts que moi

nano /etc/apt/sources.list

1	nano /etc/apt/sources.list

deb http://http.debian.net/debian wheezy main
deb-src http://http.debian.net/debian wheezy main

deb http://http.debian.net/debian wheezy-updates main
deb-src http://http.debian.net/debian wheezy-updates main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
deb http://backports.debian.org/debian-backports squeeze-backports main

deb http://http.debian.net/debian wheezy main

deb-src http://http.debian.net/debian wheezy main

deb http://http.debian.net/debian wheezy-updates main

deb-src http://http.debian.net/debian wheezy-updates main

deb http://security.debian.org/ wheezy/updates main

deb-src http://security.debian.org/ wheezy/updates main

deb http://backports.debian.org/debian-backports squeeze-backports main

apt-get update
apt-get upgrade

1 2	apt-get update apt-get upgrade

Etape 1 : Installation et configuration de squid

Pour installer notre serveur proxy un simple apt suffit :

apt-get install squid3

1	apt-get install squid3

 vi /etc/squid3/squid.conf

1	vi /etc/squid3/squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT
acl LocalNet src 192.168.1.0/24

http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow LocalNet

http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_mem 1500 MB
cache_dir ufs /var/cache/squid/ 5000 16 256
minimum_object_size 3 KB
maximum_object_size 8 MB
cache_store_log /var/log/squid3/store.log

connect_timeout 30 seconds
request_timeout 30 seconds
persistent_request_timeout 30 seconds

read_timeout 2 minutes
ipcache_size 10240
fqdncache_size 10240
positive_dns_ttl 8 hours
negative_ttl 4 minutes

half_closed_clients off
server_persistent_connections off
client_persistent_connections on

client_lifetime 1 minutes
max_filedescriptors 4096

acl manager proto cache_object

acl localhost src 127.0.0.1/32 ::1

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

acl LocalNet src 192.168.1.0/24

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow LocalNet

http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid3

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

cache_mem 1500 MB

cache_dir ufs /var/cache/squid/ 5000 16 256

minimum_object_size 3 KB

maximum_object_size 8 MB

cache_store_log /var/log/squid3/store.log

connect_timeout 30 seconds

request_timeout 30 seconds

persistent_request_timeout 30 seconds

read_timeout 2 minutes

ipcache_size 10240

fqdncache_size 10240

positive_dns_ttl 8 hours

negative_ttl 4 minutes

half_closed_clients off

server_persistent_connections off

client_persistent_connections on

client_lifetime 1 minutes

max_filedescriptors 4096

On redémarre maintenant squid pour prendre en compte la configuration :

/etc/init.d/squid3 restart

1	/etc/init.d/squid3 restart

Si vous obtenez cette erreur au redémarrage de squid c’est parce que le dossier contenant le cache n’est pas créé.

Starting Squid HTTP Proxy 3.x: squid3/etc/init.d/squid3: 72: cd: can’t cd to /var/cache/squid/
. ok

On crée le dossier et on redémarre squid :

mkdir /var/cache/squid/
chown proxy:proxy /var/cache/squid/
squid3 -z
/etc/init.d/squid3 restart

mkdir /var/cache/squid/

chown proxy:proxy /var/cache/squid/

squid3 -z

/etc/init.d/squid3 restart

On peut voir que le proxy est bien lancé avec la commande suivante :

netstat -antp | grep squid

1	netstat -antp \| grep squid

Voici les informations nécessaires à la configuration du proxy sous votre navigateur :

192.168.0.30 : Correspond à l’adresse ip de votre proxy à modifier en fonction de votre configuration

3128 : Correspond au port sur lequel squid écoute

Essayez d’ouvrir un site web si vous avez cette erreur :

vous devez modifier la ligne acl LocalNet src 192.168.1.0/24 dans le fichier /etc/squid3/squid.conf en remplaçant 192.168.1.0/24 par le réseau de votre client.

Cela va autoriser le poste qui est sur votre réseau à se connecter au proxy.

Je vais maintenant prendre le temps de détailler les différentes directives du fichier de configuration de squid :

Pour rappel cette ACL suivi de sa réglè permet aux utilisateurs du réseau 192.168.1.0/24 de se connecter au proxy:

acl LocalNet src 192.168.1.0/24
http_access allow LocalNet

1 2	acl LocalNet src 192.168.1.0/24 http_access allow LocalNet

Etape 2 : Installation de SquidGuard

SquidGuard est un plugin qui va nous permettre de gérer les blacklists pour notre proxy, il vient se greffer sur squid.

apt-get install squidguard

1	apt-get install squidguard

On modifie le fichier squid.conf pour charger la configuration de squidguard au lancement

vi /etc/squid3/squid.conf

1	vi /etc/squid3/squid.conf

rajouter les deux lignes suivantes à la fin du fichier :

url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
url_rewrite_children 5

1 2	url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf url_rewrite_children 5

On configure basiquement squidguard pour nous autoriser à nous connecter.

vi /etc/squidguard/squidGuard.conf

1	vi /etc/squidguard/squidGuard.conf

dbhome /var/lib/squidguard/db/blacklists
logdir /var/log/squid3/

src admin {
ip 192.168.0.10
}

acl {
admin {
pass  any
}               }

dbhome /var/lib/squidguard/db/blacklists

logdir /var/log/squid3/

src admin {

ip 192.168.0.10

}

acl {

admin {

pass any

} }

On va maintenant rajouter la page qui s’affichera dans le navigateur lorsqu’un site sera bloqué.

Remplacez 192.168.0.10 par l’ip de votre poste client

cp /etc/squidguard/squidGuard.cgi /usr/lib/cgi-bin/squidGuard.cgi
chmod 777 /usr/lib/cgi-bin/squidGuard.cgi

1 2	cp /etc/squidguard/squidGuard.cgi /usr/lib/cgi-bin/squidGuard.cgi chmod 777 /usr/lib/cgi-bin/squidGuard.cgi

On relance squid pour prendre en compte la nouvelle configuration

/etc/init.d/squid3 restart

1	/etc/init.d/squid3 restart

Etape 3 : Installation de l’antivirus

On va maintenant coupler un antivirus avec squid, il aura pour but d’analyser les données transmises en http, identifier les menaces et les bloquer en amont des utilisateurs.

apt-get install clamav

1	apt-get install clamav

on lance l’update de la base de signature de virus

freshclam

freshclam

apt-get install clamav-daemon

1	apt-get install clamav-daemon

apt-get install gcc make curl libcurl4-gnutls-dev c-icap libicapapi-dev

1	apt-get install gcc make curl libcurl4-gnutls-dev c-icap libicapapi-dev

On récupére l’installation du plugin squidclamav

wget http://www.ophyde.com/wp-content/uploads/2014/02/squidclamav-6.10.tar.gz

1	wget http://www.ophyde.com/wp-content/uploads/2014/02/squidclamav-6.10.tar.gz

et on le compile :

tar zxvf squidclamav-6.10.tar.gz
cd squidclamav-6.10
./configure --with-c-icap
make
make install

tar zxvf squidclamav-6.10.tar.gz

cd squidclamav-6.10

./configure --with-c-icap

make

make install

On modifie le fichier de configuration icap pour qu’il démarre automatiquement

vi /etc/default/c-icap

1	vi /etc/default/c-icap

START=yes

START=yes

Ajoutez la ligne suivante dans le fichier c-icap.conf :

vi /etc/c-icap/c-icap.conf

1	vi /etc/c-icap/c-icap.conf

Service squidclamav squidclamav.so

1	Service squidclamav squidclamav.so

Rajoutez les lignes suivantes dans la configuration de squid pour qu’il prenne en compte le module que nous venons de rajouter

vi /etc/squid3/squid.conf

1	vi /etc/squid3/squid.conf

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Authenticated-User
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

icap_enable on

icap_send_client_ip on

icap_send_client_username on

icap_client_username_header X-Authenticated-User

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav

adaptation_access service_req allow all

icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav

adaptation_access service_resp allow all

On va maintenant rajouter la page qui s’affichera dans le navigateur lorsqu’un virus sera détecté.

 vi /etc/squidclamav.conf

1	vi /etc/squidclamav.conf

Modifier la ligne suivante :

# When a virus is found then redirect the user to this URL
redirect http://localhost/cgi-bin/clwarn.cgi.fr_FR

1 2	# When a virus is found then redirect the user to this URL redirect http://localhost/cgi-bin/clwarn.cgi.fr_FR

Modifier localhost par l’ip de votre serveur.

Nous allons installer la cgi en français dans le répertoire /usr/lib/cgi-bin/

mv /usr/local/libexec/squidclamav/clwarn.cgi.fr_FR /usr/lib/cgi-bin/clwarn.cgi.fr_FR
chmod 755 /usr/lib/cgi-bin/clwarn.cgi.fr_FR

1 2	mv /usr/local/libexec/squidclamav/clwarn.cgi.fr_FR /usr/lib/cgi-bin/clwarn.cgi.fr_FR chmod 755 /usr/lib/cgi-bin/clwarn.cgi.fr_FR

On redémarre les services pour la prise en compte de la configuration :

/etc/init.d/squid3 restart
/etc/init.d/c-icap restart
/etc/init.d/clamav-daemon restart

/etc/init.d/squid3 restart

/etc/init.d/c-icap restart

/etc/init.d/clamav-daemon restart

Pour tester le bon fonctionnement de l’antivirus rendez-vous sur le site suivant : http://securite-informatique.info/virus/eicar/
et essayer de télécharger un des fichiers nommés Eicar qui contient une signature inoffensive permettant de tester le bon fonctionnement des antivirus, vous devriez voir cette page apparaitre dans votre navigateur

Par défaut l’antivirus scan tout ce qui transite par le proxy vous pouvez affiner la configuration de squidclamav en modifiant le fichier /etc/squidclamav.conf.

Etape 4 : Configuration des blacklists de SquidGuard

Nous allons maintenant configurer SquidGuard pour qu’il utilise les blacklists et bloque les sites que nous souhaitons en fonction de l’ip de l’utilisateur.

L’administrateur défini par l’ip 192.168.0.10 ne subira pas de restriction.
Les utilisateurs définis par la plage ip 192.168.1.0/24 n’auront pas accès au site web défini dans la configuration de SquidGuard par nos blacklists.
Je vous mets à dispositions mon fichier de configuration de SquidGuard, les principales blacklists y sont utilisées.

Modifiez le fichier de configuration de squidGuard et copiez la configuration ci-dessous en tachant de modifier les IPs en fonction de vos plans d’adressages

dbhome /var/lib/squidguard/db/blacklists
logdir /var/log/squid3/

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
# Du 24 au 25 démbre de 21h00 àh00 ok pour tout
time SpecialsDays {
date *.12.24 21:00 - 00:00
date *.12.25 00:00 - 05:00
date *.08.31 00:00 - 23:59
}

time workhours {
weekly mtwhf 08:00 - 19:00
}

src admin {
ip 192.168.0.30
}

src workers {
ip 192.168.1.0/24
}

dest adult {
urllist adult/urls
domainlist adult/domains
expressionlist adult/very_restrictive_expression
logfile /var/log/squid3/adult.log
}

dest cooking {
domainlist cooking/domains
logfile /var/log/squid3/cooking.log
}

dest hacking {
urllist hacking/urls
domainlist hacking/domains
expressionlist hacking/usage
logfile /var/log/squid3/hacking.log
}

dest sect {
urllist sect/urls
domainlist sect/domains
expressionlist sect/usage
logfile /var/log/squid3/sect.log
}
dest manga {
urllist manga/urls
domainlist manga/domains
expressionlist manga/usage
logfile /var/log/squid3/manga.log
}

dest educational_games {
domainlist educational_games/domains
logfile /var/log/squid3/educational_games.log
}

dest aggressive {
urllist aggressive/urls
domainlist aggressive/domains
logfile /var/log/squid3/aggressive.log
}

dest arjel {
domainlist arjel/domains
logfile /var/log/squid3/arjel.log
}

dest astrology {
urllist astrology/urls
domainlist astrology/domains
expressionlist astrology/usage
logfile /var/log/squid3/astrology.log
}

dest ads {
urllist ads/urls
domainlist ads/domains
logfile /var/log/squid3/ads.log
}

dest audio-video {
urllist audio-video/urls
domainlist audio-video/domains
logfile /var/log/squid3/audio-video.log
}

dest cleaning {
urllist cleaning/urls
domainlist cleaning/domains
}

dest social_networks {
urllist social_networks/urls
domainlist social_networks/domains
logfile /var/log/squid3/social_networks.log
}

dest filehosting {
urllist filehosting/urls
domainlist filehosting/domains
logfile /var/log/squid3/filehosting.log
}
dest porn {
urllist porn/urls
domainlist porn/domains
logfile /var/log/squid3/porn.log
}
dest drugs {
urllist drugs/urls
domainlist drugs/domains
logfile /var/log/squid3/drugs.log
}

dest phishing {
urllist phishing/urls
domainlist phishing/domains
logfile /var/log/squid3/phishing.log
}

dest marchands_de_guerre {
urllist marketingware/urls
domainlist marketingware/domains
logfile /var/log/squid3/marchands_de_guerre.log
}

dest malware {
urllist malware/urls
domainlist malware/domains
logfile /var/log/squid3/malware.log
}

dest violence {
urllist violence/urls
domainlist violence/domains
# expressionlist violence/usage
logfile /var/log/squid3/violence.log
}

dest dangerous_material {
urllist dangerous_material/urls
domainlist dangerous_material/domains
expressionlist dangerous_material/usage
logfile /var/log/squid3/dangerous_material.log
}

dest financial {
urllist financial/urls
domainlist financial/domains
expressionlist financial/usage
logfile /var/log/squid3/financial.log
}

dest redirector {
urllist redirector/urls
domainlist redirector/domains
#expressionlist redirector/usage
logfile /var/log/squid3/redirector.log
}
dest warez {
urllist warez/urls
domainlist warez/domains
#expressionlist warez/usage
logfile /var/log/squid3/warez.log
}

dest jobsearch {
domainlist jobsearch/domains
#expressionlist jobsearch/usage
logfile /var/log/squid3/jobsearch.log
}
dest marketingware {
urllist marketingware/urls
domainlist marketingware/domains
#expressionlist marketingware/usage
logfile /var/log/squid3/marketingware.log
}

dest proxy {
urllist proxy/urls
domainlist proxy/domains
#expressionlist proxy/usage
logfile /var/log/squid3/proxy.log
}

dest remote-control {
urllist remote-control/urls
domainlist remote-control/domains
#expressionlist remote-control/usage
logfile /var/log/squid3/remote-control.log
}

dest strict_redirector {
urllist strict_redirector/urls
domainlist strict_redirector/domains
#expressionlist strict_redirector/usage
logfile /var/log/squid3/strict_redirector.log
}

dest celebrity {
urllist celebrity/urls
domainlist celebrity/domains
logfile /var/log/squid3/celebrity.log
#expressionlist celebrity/usage
}

dest dating {
urllist dating/urls
domainlist dating/domains
logfile /var/log/squid3/dating.log
#expressionlist dating/usage
}
dest lingerie {
urllist lingerie/urls
domainlist lingerie/domains
logfile /var/log/squid3/lingerie.log
#expressionlist lingerie/usage
}
dest mixed_adult {
urllist mixed_adult/urls
domainlist mixed_adult/domains
#expressionlist mixed_adult/usage
logfile /var/log/squid3/mixed_adult.log
}

dest publicite {
urllist publicite/urls
domainlist publicite/domains
#expressionlist publicite/usage
logfile /var/log/squid3/publicite.log
}

dest strong_redirector {
urllist strong_redirector/urls
domainlist strong_redirector/domains
#expressionlist strong_redirector/usage
logfile /var/log/squid3/strong_redirector.log
}

dest chat {
urllist chat/urls
domainlist chat/domains
logfile /var/log/squid3/chat.log
# expressionlist chat/usage
}
dest agressif {
urllist agressif/urls
domainlist agressif/domains
expressionlist agressif/usage
logfile /var/log/squid3/agressif.log
}

dest drogue {
urllist drogue/urls
domainlist drogue/domains
expressionlist drogue/usage
logfile /var/log/squid3/drogue.log
}

dest gambling {
urllist gambling/urls
domainlist gambling/domains
#expressionlist gambling/usage
logfile /var/log/squid3/gambling.log
}
dest liste_bu {
urllist liste_bu/urls
domainlist liste_bu/domains
expressionlist liste_bu/usage
}
dest mobile-phone {
urllist mobile-phone/urls
domainlist mobile-phone/domains
#expressionlist mobile-phone/usage
logfile /var/log/squid3/mobile-phone.log
}
dest radio {
urllist radio/urls
domainlist radio/domains
#expressionlist radio/usage
logfile /var/log/squid3/radio.log
}

dest sexual_education {
urllist sexual_education/urls
domainlist sexual_education/domains
logfile /var/log/squid3/sexual_education.log
#expressionlist sexual_education/usage
}

dest translation {
urllist translation/urls
domainlist translation/domains
logfile /var/log/squid3/translation.log
}

dest child {
urllist child/urls
domainlist child/domains
#expressionlist child/usage
logfile /var/log/squid3/child.log
}

dest games {
urllist games/urls
domainlist games/domains
logfile /var/log/squid3/games.log
#expressionlist games/usage
}

dest shopping {
urllist shopping/urls
domainlist shopping/domains
logfile /var/log/squid3/shopping.log
# expressionlist shopping/usage
}

dest tricheur {
urllist tricheur/urls
domainlist tricheur/domains
logfile /var/log/squid3/tricheur.log
}

dest reaffected {
urllist reaffected/urls
domainlist reaffected/domains
logfile /var/log/squid3/reaffected.log
}

acl {
admin {
pass any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;clientname=%n&amp;clientident=%i&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}

workers within workhours {
pass !shopping !tricheur !ads !audio-video !educational_games !malware !porn !reaffected !social_networks !violence !adult !cooking !filehosting !hacking !manga !redirector !warez !aggressive !dangerous_material !financial !jobsearch !marketingware !proxy !remote-control !strict_redirector !agressif !celebrity !dating !lingerie !mixed_adult !publicite !sect !strong_redirector !arjel !chat !drogue !gambling !mobile-phone !radio !sexual_education !astrology !child !drugs !games !phishing any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;clientname=%n&amp;clientident=%i&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}
else {
pass !ads !educational_games !malware !porn !reaffected !violence !adult !cooking !filehosting !hacking !manga !redirector !warez !aggressive !dangerous_material !financial !marketingware !proxy !remote-control !strict_redirector !agressif !celebrity !dating !lingerie !mixed_adult !publicite !sect !strong_redirector !arjel !chat !drogue !gambling !mobile-phone !sexual_education !astrology !child !drugs !phishing any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;clientname=%n&amp;clientident=%i&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}

default {
pass none
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}
}

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

dbhome /var/lib/squidguard/db/blacklists

logdir /var/log/squid3/

# TIME RULES:

# abbrev for weekdays:

# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

# Du 24 au 25 démbre de 21h00 àh00 ok pour tout

time SpecialsDays {

date *.12.24 21:00 - 00:00

date *.12.25 00:00 - 05:00

date *.08.31 00:00 - 23:59

}

time workhours {

weekly mtwhf 08:00 - 19:00

}

src admin {

ip 192.168.0.30

}

src workers {

ip 192.168.1.0/24

}

dest adult {

urllist adult/urls

domainlist adult/domains

expressionlist adult/very_restrictive_expression

logfile /var/log/squid3/adult.log

}

dest cooking {

domainlist cooking/domains

logfile /var/log/squid3/cooking.log

}

dest hacking {

urllist hacking/urls

domainlist hacking/domains

expressionlist hacking/usage

logfile /var/log/squid3/hacking.log

}

dest sect {

urllist sect/urls

domainlist sect/domains

expressionlist sect/usage

logfile /var/log/squid3/sect.log

}

dest manga {

urllist manga/urls

domainlist manga/domains

expressionlist manga/usage

logfile /var/log/squid3/manga.log

}

dest educational_games {

domainlist educational_games/domains

logfile /var/log/squid3/educational_games.log

}

dest aggressive {

urllist aggressive/urls

domainlist aggressive/domains

logfile /var/log/squid3/aggressive.log

}

dest arjel {

domainlist arjel/domains

logfile /var/log/squid3/arjel.log

}

dest astrology {

urllist astrology/urls

domainlist astrology/domains

expressionlist astrology/usage

logfile /var/log/squid3/astrology.log

}

dest ads {

urllist ads/urls

domainlist ads/domains

logfile /var/log/squid3/ads.log

}

dest audio-video {

urllist audio-video/urls

domainlist audio-video/domains

logfile /var/log/squid3/audio-video.log

}

dest cleaning {

urllist cleaning/urls

domainlist cleaning/domains

}

dest social_networks {

urllist social_networks/urls

domainlist social_networks/domains

logfile /var/log/squid3/social_networks.log

}

dest filehosting {

urllist filehosting/urls

domainlist filehosting/domains

logfile /var/log/squid3/filehosting.log

}

dest porn {

urllist porn/urls

domainlist porn/domains

logfile /var/log/squid3/porn.log

}

dest drugs {

urllist drugs/urls

domainlist drugs/domains

logfile /var/log/squid3/drugs.log

}

dest phishing {

urllist phishing/urls

domainlist phishing/domains

logfile /var/log/squid3/phishing.log

}

dest marchands_de_guerre {

urllist marketingware/urls

domainlist marketingware/domains

logfile /var/log/squid3/marchands_de_guerre.log

}

dest malware {

urllist malware/urls

domainlist malware/domains

logfile /var/log/squid3/malware.log

}

dest violence {

urllist violence/urls

domainlist violence/domains

# expressionlist violence/usage

logfile /var/log/squid3/violence.log

}

dest dangerous_material {

urllist dangerous_material/urls

domainlist dangerous_material/domains

expressionlist dangerous_material/usage

logfile /var/log/squid3/dangerous_material.log

}

dest financial {

urllist financial/urls

domainlist financial/domains

expressionlist financial/usage

logfile /var/log/squid3/financial.log

}

dest redirector {

urllist redirector/urls

domainlist redirector/domains

#expressionlist redirector/usage

logfile /var/log/squid3/redirector.log

}

dest warez {

urllist warez/urls

domainlist warez/domains

#expressionlist warez/usage

logfile /var/log/squid3/warez.log

}

dest jobsearch {

domainlist jobsearch/domains

#expressionlist jobsearch/usage

logfile /var/log/squid3/jobsearch.log

}

dest marketingware {

urllist marketingware/urls

domainlist marketingware/domains

#expressionlist marketingware/usage

logfile /var/log/squid3/marketingware.log

}

dest proxy {

urllist proxy/urls

domainlist proxy/domains

#expressionlist proxy/usage

logfile /var/log/squid3/proxy.log

}

dest remote-control {

urllist remote-control/urls

domainlist remote-control/domains

#expressionlist remote-control/usage

logfile /var/log/squid3/remote-control.log

}

dest strict_redirector {

urllist strict_redirector/urls

domainlist strict_redirector/domains

#expressionlist strict_redirector/usage

logfile /var/log/squid3/strict_redirector.log

}

dest celebrity {

urllist celebrity/urls

domainlist celebrity/domains

logfile /var/log/squid3/celebrity.log

#expressionlist celebrity/usage

}

dest dating {

urllist dating/urls

domainlist dating/domains

logfile /var/log/squid3/dating.log

#expressionlist dating/usage

}

dest lingerie {

urllist lingerie/urls

domainlist lingerie/domains

logfile /var/log/squid3/lingerie.log

#expressionlist lingerie/usage

}

dest mixed_adult {

urllist mixed_adult/urls

domainlist mixed_adult/domains

#expressionlist mixed_adult/usage

logfile /var/log/squid3/mixed_adult.log

}

dest publicite {

urllist publicite/urls

domainlist publicite/domains

#expressionlist publicite/usage

logfile /var/log/squid3/publicite.log

}

dest strong_redirector {

urllist strong_redirector/urls

domainlist strong_redirector/domains

#expressionlist strong_redirector/usage

logfile /var/log/squid3/strong_redirector.log

}

dest chat {

urllist chat/urls

domainlist chat/domains

logfile /var/log/squid3/chat.log

# expressionlist chat/usage

}

dest agressif {

urllist agressif/urls

domainlist agressif/domains

expressionlist agressif/usage

logfile /var/log/squid3/agressif.log

}

dest drogue {

urllist drogue/urls

domainlist drogue/domains

expressionlist drogue/usage

logfile /var/log/squid3/drogue.log

}

dest gambling {

urllist gambling/urls

domainlist gambling/domains

#expressionlist gambling/usage

logfile /var/log/squid3/gambling.log

}

dest liste_bu {

urllist liste_bu/urls

domainlist liste_bu/domains

expressionlist liste_bu/usage

}

dest mobile-phone {

urllist mobile-phone/urls

domainlist mobile-phone/domains

#expressionlist mobile-phone/usage

logfile /var/log/squid3/mobile-phone.log

}

dest radio {

urllist radio/urls

domainlist radio/domains

#expressionlist radio/usage

logfile /var/log/squid3/radio.log

}

dest sexual_education {

urllist sexual_education/urls

domainlist sexual_education/domains

logfile /var/log/squid3/sexual_education.log

#expressionlist sexual_education/usage

}

dest translation {

urllist translation/urls

domainlist translation/domains

logfile /var/log/squid3/translation.log

}

dest child {

urllist child/urls

domainlist child/domains

#expressionlist child/usage

logfile /var/log/squid3/child.log

}

dest games {

urllist games/urls

domainlist games/domains

logfile /var/log/squid3/games.log

#expressionlist games/usage

}

dest shopping {

urllist shopping/urls

domainlist shopping/domains

logfile /var/log/squid3/shopping.log

# expressionlist shopping/usage

}

dest tricheur {

urllist tricheur/urls

domainlist tricheur/domains

logfile /var/log/squid3/tricheur.log

}

dest reaffected {

urllist reaffected/urls

domainlist reaffected/domains

logfile /var/log/squid3/reaffected.log

}

acl {

admin {

pass any

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%u

}

workers within workhours {

pass !shopping !tricheur !ads !audio-video !educational_games !malware !porn !reaffected !social_networks !violence !adult !cooking !filehosting !hacking !manga !redirector !warez !aggressive !dangerous_material !financial !jobsearch !marketingware !proxy !remote-control !strict_redirector !agressif !celebrity !dating !lingerie !mixed_adult !publicite !sect !strong_redirector !arjel !chat !drogue !gambling !mobile-phone !radio !sexual_education !astrology !child !drugs !games !phishing any

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%u

}

else {

pass !ads !educational_games !malware !porn !reaffected !violence !adult !cooking !filehosting !hacking !manga !redirector !warez !aggressive !dangerous_material !financial !marketingware !proxy !remote-control !strict_redirector !agressif !celebrity !dating !lingerie !mixed_adult !publicite !sect !strong_redirector !arjel !chat !drogue !gambling !mobile-phone !sexual_education !astrology !child !drugs !phishing any

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%u

}

default {

pass none

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u

}

Détails du fichier de configuration squidGuard.conf
Ici on défini la localisation des blacklists et des logs :

dbhome /var/lib/squidguard/db/blacklists
logdir /var/log/squid3/

1 2	dbhome /var/lib/squidguard/db/blacklists logdir /var/log/squid3/

Ici on défini nos groupes d’utilisateurs :

src admin {
ip 192.168.0.30
}

src workers {
ip 192.168.1.0/24
}

src admin {

ip 192.168.0.30

}

src workers {

ip 192.168.1.0/24

}

On peut aussi définir des périodes comme ceci :

time workhours {
weekly mtwhf 08:00 - 19:00
}

time weekend {
weekly as 00:00 - 23:59

time workhours {

weekly mtwhf 08:00 - 19:00

}

time weekend {

weekly as 00:00 - 23:59

On déclare nos blacklists dans la configuration de squid :

dest games {
urllist games/urls
domainlist games/domains
logfile /var/log/squid3/games.log
#expressionlist games/usage
}

dest games {

urllist games/urls

domainlist games/domains

logfile /var/log/squid3/games.log

#expressionlist games/usage

}

On ajoute les acl pour les règles de filtrages de contenu entre la balise: acl { } :

acl {
workers within workhours {
pass !games !violence any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;clientname=%n&amp;clientident=%i&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}
else {
pass !violence any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&amp;clientname=%n&amp;clientident=%i&amp;srcclass=%s&amp;targetclass=%t&amp;url=%u
}
}

acl {

workers within workhours {

pass !games !violence any

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%u

}

else {

pass !violence any

redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url=%u

}

Dans l’exemple ci-dessus :
Pendant les heures de travail (workhours) pour le réseau 192.168.1.0/24 (workers) on bloque les jeux (!games) et la violence (!violence) et on laisse passer le reste (any).

En dehors des heures de travail (else) on laisse tout passer (any) pour le réseau (192.168.1.0/24) hormis ce qui touche à la violence.

Nous allons utiliser les blacklists fournies par l’université de Toulouse.
Nous allons les télécharger dans le répertoire de squidguard dédié aux blacklists

cd /var/lib/squidguard/db
wget -q http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
tar zxvf blacklists.tar.gz
chown proxy:proxy -R /var/lib/squidguard/db/blacklists

cd /var/lib/squidguard/db

wget -q http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz

tar zxvf blacklists.tar.gz

chown proxy:proxy -R /var/lib/squidguard/db/blacklists

Nous redémarrons squid3 pour qu’il prenne en compte la nouvelle configuration de squidguard et nous créons une base de données des blacklists défini dans squidGuard.conf ce qui aura pour effet d’améliorer les temps d’accès .

/etc/init.d/squid3 restart
squidGuard -C all -d

1 2	/etc/init.d/squid3 restart squidGuard -C all -d

Vous pouvez suivre le bon déroulement des opérations grâce au fichier de log de squidGuard :

 tail -f /var/log/squid3/squidGuard.log

1	tail -f /var/log/squid3/squidGuard.log

2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/shopping/urls.db
2014-02-17 08:52:04 [14599] init domainlist /var/lib/squidguard/db/blacklists/shopping/domains
2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/shopping/domains.db
2014-02-17 08:52:04 [14599] init urllist /var/lib/squidguard/db/blacklists/tricheur/urls
2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/tricheur/urls.db
2014-02-17 08:52:04 [14599] init domainlist /var/lib/squidguard/db/blacklists/tricheur/domains
2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/tricheur/domains.db
2014-02-17 08:52:04 [14599] INFO: squidGuard 1.5 started (1392623501.021)
2014-02-17 08:52:04 [14599] INFO: db update done

2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/shopping/urls.db

2014-02-17 08:52:04 [14599] init domainlist /var/lib/squidguard/db/blacklists/shopping/domains

2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/shopping/domains.db

2014-02-17 08:52:04 [14599] init urllist /var/lib/squidguard/db/blacklists/tricheur/urls

2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/tricheur/urls.db

2014-02-17 08:52:04 [14599] init domainlist /var/lib/squidguard/db/blacklists/tricheur/domains

2014-02-17 08:52:04 [14599] INFO: create new dbfile /var/lib/squidguard/db/blacklists/tricheur/domains.db

2014-02-17 08:52:04 [14599] INFO: squidGuard 1.5 started (1392623501.021)

2014-02-17 08:52:04 [14599] INFO: db update done

Voici ce que vous obtiendrez lorsque vous accéderez à un site inclus dans une blacklist :

Dans l’optique d’automatiser la mise à jour des blacklists voici un script que j’ai découvert ici :

#!/bin/bash -x
cd /var/lib/squidguard/db
if [ -f blacklists.tar.gz ]
then
rm -f blacklists.tar.gz
fi
wget -q http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
tar zxvf blacklists.tar.gz
/usr/bin/squidGuard -C all -d
chown proxy:proxy * -R
service squid3 reload

#!/bin/bash -x

cd /var/lib/squidguard/db

if [ -f blacklists.tar.gz ]

then

rm -f blacklists.tar.gz

wget -q http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz

tar zxvf blacklists.tar.gz

/usr/bin/squidGuard -C all -d

chown proxy:proxy * -R

service squid3 reload

Créez le fichier blacklist.sh et copiez le code ci-dessus.

touch /home/user/blacklist.sh
chmod 755 /home/user/blacklist.sh

1 2	touch /home/user/blacklist.sh chmod 755 /home/user/blacklist.sh

On va maintenant ajouter une entrée au crontab pour automatiser le fonctionnement du script.

crontab -e

1	crontab -e

et ajoutez l’entrée suivante :

00 6 * * 1 /home/user/blacklist.sh

1	00 6 * * 1 /home/user/blacklist.sh

On redémarre cron pour la prise en compte de l’opération:

/etc/init.d/cron restart

1	/etc/init.d/cron restart

Les blacklists se mettrons à jour tous les lundi à 6 heures du matin.

Etape 5 : Détails des fichiers de log

Plusieurs sites mon aidé à réaliser ce tutoriel, les voici :

http://irp.nain-t.net/doku.php/220squid:020_squid
http://www.server-world.info/en/note?os=Debian_7.0&p=clamav
http://www.server-world.info/en/note?os=Debian_7.0&p=squid&f=2
http://www.dsfc.net/logiciel-libre/squid/squid-script-mise-a-jour-blacklist-squidguard/

7 réflexions au sujet de « Un serveur proxy avec squid / squidguard / clamav »

Fef dit :

décembre 27, 2014 à 12 h 46 min

Bonjour à toi.
J’ai suivi ton tuto et il fonctionne bien cependant j’ai quelques soucis.
J’ai rajouté des acl pour la pornographie. Jusqu’à la tout va bien. Je bloque bien les sites pornographiques ainsi que les jeux.
J’ai voulu poussé l’expérience plus loin et j’ai rajouté des acl pour la drogue, le phishing et la violence. J’ai tout déclaré de la même façon, tout devrait fonctionner et la … Hic ! Marche pas ! Pourtant j’ai bien tapé la commande :

/etc/init.d/squid3 restart
squidGuard -C all -d

Mais rien n’y fait … Alors j’ai fouiné un peu dans les fichiers et il se trouve que dans /var/lib/squidguard/db/blacklists/porn il y a un fichier usage ( pas que là, dans tous) qui contient 3 lignes :
black
porn
adult

Alors je me suis demandé pourquoi il y avait ces lignes. Je me suis empressé de regarder dans le répertoire /games et il y a ce même fichier mais sans les 2 dernieres lignes. C’est a dire :

black

Je ne comprends absolument pas pourquoi ça fonctionne avec porn, adult et games et pas avec drugs par exemple. Peux-tu m’éclairer ?

Merci à toi.
Bonnes fêtes
Cordialement

Répondre
1. Ophyde dit :
  
  décembre 27, 2014 à 14 h 05 min
  
  Salut,
  
  As-tu fais attention au fait que mon fichier de configuration utilisé l’heure et le jour de la semaine pour bloquer certaines catégories et pas d’autres ?
  C’est expliqué dans l’étape 4 :-)
  
  Ophyde
  
  Répondre
Fef dit :

décembre 27, 2014 à 14 h 14 min

J’y ai fait attention. Cependant je n’utilise pas vraiment le même fichier que le tien. Voici le mien que j’ai hébergé sur un site : http://image.noelshack.com/fichiers/2014/52/1419685980-sans-titre.png

Si je suis exactement le même principe mais pour la catégorie “Violence” par exemple, ça ne fonctionne pas … Même avec :
/etc/init.d/squid3 restart
squidGuard -C all -d

As-tu une idée ?

Répondre
1. Ophyde dit :
  
  décembre 28, 2014 à 14 h 52 min
  
  Ce que je ne comprend pas c’est que dans ton fichier de configuration, je ne vois nul par la configuration des catégories drogue, phishing et violence ?!
  Peux tu me fournir les logs de SquidGuard ?
  
  Ophyde
  
  Répondre
Fef dit :

décembre 28, 2014 à 15 h 31 min

C’est bon, problème resolu.
Le problème venait du fait que lors de la commande squidGuard -c all -d, je créais les fichiers domains.db et urls.db. Il fallait simplement réattribuer les droits d’accès a l’utilisateur “pi”.
Merci encore !

Répondre
joimel dit :

mars 14, 2016 à 12 h 01 min

En tout cas bravo pour ton tuto, je vais bientot le tester car il m’interesse
Je souhaite installer un squid en debian 7 avec clamav en plus
Que du bonheur.
Continue .

Répondre
1. Ophyde dit :
  
  mars 14, 2016 à 16 h 27 min
  
  Salut !
  
  Merci beaucoup :-)
  N’hésite pas à revenir en cas de soucis !
  
  Ophyde
  
  Répondre

www.ophyde.com

Tutoriaux Informatiques

Un serveur proxy avec squid / squidguard / clamav

Etape 1 : Installation et configuration de squid

Etape 2 : Installation de SquidGuard

Etape 3 : Installation de l’antivirus

Etape 4 : Configuration des blacklists de SquidGuard

7 réflexions au sujet de « Un serveur proxy avec squid / squidguard / clamav »

Laisser un commentaire Annuler la réponse.