Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 1 sur 13 La configuration de Squid se fait sous /etc/squid/squid.conf A) Par défaut Par défaut tous les réseaux sont interdits de navigation sur le web : B) Accès pour notre réseau Pour la partie Recommended minimum configuration ajouter la ligne acl LANLEG src 192.168.1.0/24 LANLEG est juste un nom d’acl, vous pouvez donner le nom de votre choix. Ainsi que plus bas la ligne http_access allow LANLEG pour autoriser le réseau LANLEG à aller sur internet 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 2 sur 13 Reconfiguration de Squid : Test sur le poste Client passant par le Proxy: C) Restriction horaires EXEMPLE : Accès internet interdit le samedi et dimanche ainsi que tous les jours de : 22h à 6h30 Pour la partie Recommended minimum configuration ajouter les lignes acl HORAIRES time A-S acl HORAIRES time 0:00-6:30 acl HORAIRES time 22:00-23:59 2006/2008 ARE06 # Samedi et Dimanche # de 0h00 a 6h30 # de 22h00 a 23h59 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 3 sur 13 Ainsi que plus bas la ligne http_access deny HORAIRES pour interdire les horaires indiqués ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG sinon les horaires ne seront pas pris en compte. Reconfiguration de Squid : Test sur le poste Client passant par le Proxy à 22h13 : OK 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 4 sur 13 D) Blocage des extensions Créer un fichier exts sous /etc/squid/ Renseigner dans celui ci la liste des extensions à bloquer : en minuscule et majuscule Pour la partie Recommended minimum configuration ajouter les lignes acl EXTS urlpath_regex "/etc/squid/exts" # Extensions Ainsi que plus bas la ligne http_access deny EXTS pour interdire les extensions ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG sinon LANLEG pourra voir ces extensions. 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 5 sur 13 Reconfiguration de Squid : Test sur le poste Client passant par le Proxy voulant visualiser un fichier .exe : OK Ne bloque pas l’installation active x flash… 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 6 sur 13 E) Accès aux administrateurs Pour la partie Recommended minimum configuration ajouter la ligne acl ADMIN src 192.168.1.150 # IP poste Mael Le Clech Nous pouvons ajoutez plusieurs adresses …. acl ADMIN src 192.168.1.152 # IP poste admin 2 Ainsi que plus bas la ligne http_access allow ADMIN pour autoriser les IP ADMIN ATTENTION bien mettre cette ligne avant toutes les autres pour ne pas être bloqué par aucunes restrictions Reconfiguration de Squid : Test sur le poste Client ADMIN passant par le Proxy à 22h56 : OK 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 7 sur 13 F) Donner accès au téléchargement à un client Pour la partie Recommended minimum configuration ajouter la ligne # Pour les postes qui ont besoin de télécharger acl DOWNLOAD src 192.168.1.131 # PC du RH Nous pouvons ajoutez plusieurs adresses …. acl DOWNLOAD src 192.168.1.136 # IP poste 2 Ainsi que plus bas la ligne http_access allow DOWNLOAD pour autoriser les IP définies à télécharger sans être bloquées par les extensions mais toujours avec une restriction Horaire. ATTENTION il va falloir apporter une modification à l’ordre des http_access comme suit : http_access http_access http_access http_access http_access allow ADMIN deny HORAIRES allow DOWNLOAD deny EXTS allow LANLEG Car si nous avions mis le DOWNLOAD avant HORAIRES il n’y aurait pas eu de tranches HORAIRES d’accès interdit http_access http_access http_access http_access http_access allow ADMIN allow DOWNLOAD deny EXTS deny HORAIRES allow LANLEG Reconfiguration de Squid : Test sur le poste Client RH d’un téléchargement : 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 8 sur 13 G) Pour interdire l’accès internet à un poste Exemple pour interdire l’accès internet d’un poste Pour la partie Recommended minimum configuration ajouter la ligne acl LANLEGDENY src 192.68.1.12 # Pas d acces internet Ainsi que plus bas la ligne http_access deny LANLEGDENY pour interdire l’accès internet du poste définit par l’acl LANLEGDENY ATTENTION il faut mettre cette http_access en tête pour être sur de bloquer l’IP quelque soit les autres paramètres Reconfiguration de Squid : Test sur le poste Client : 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 9 sur 13 H) Changer la langue des messages d’erreurs Par défaut la langue des messages d’erreur est l’anglais Pour mettre la langue en français ajouter cette ligne : error_directory /usr/share/squid/errors/French Reconfiguration de Squid : Test sur le poste Client : Si vous avez besoin de personnaliser ces pages allez sous /usr/share/squid/errors/French 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 10 sur 13 I) Erreur Windows Update Après avoir installé le Squid vous pouvez rencontrer des problèmes lors de l’accès au site Windows Update de Microsoft. On arrive sur le site Microsoft et la recherche de mise à jour prend des heures et ne marche pas. Le problème vient d’un BUG de Windows référencé chez Microsoft. a) Utilisation de refresh_pattern : La directive refresh_pattern permet de fixer les variables correspondante à l'algorithme de gestion du rafraichissement. Ajoutez les lignes suivantes : Si vous ne trouver pas l’emplacement faites une recherche sur refresh_pattern dans le fichier # Pour les mises a jour windows update etc refresh_pattern http://.*\.windowsupdate\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://office\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://windowsupdate\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://w?xpsp[0-9]\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://w2ksp[0-9]\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://download\.microsoft\.com/ 4320 80% 43200 refresh_pattern http://download\.macromedia\.com/ 4320 80% 43200 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 11 sur 13 b) Autoriser les sites Windows Update à ne pas subir le filtrage SQUID (extensions …) et à être utilisé sans authentification Pour la partie Recommended minimum configuration ajouter les lignes # Pour la mise à jour Windows Update acl WINDOWS dstdomain .windowsupdate.com .update.microsoft.com always_direct allow WINDOWS http_access allow WINDOWS Reconfiguration de Squid : Test sur le poste Client : 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 12 sur 13 c) Pour les mises à jour automatiques XP - 2000 Si vous utilisez les mises à jour automatiques il va vous falloir configurer PROXYCFG sous Windows Pour cela, ouvrez sur le Windows une fenêtre Dos Tapez proxycfg, ici vous remarquez que l’accès est en direct Pour ajoutez votre proxy tapez proxycfg –p 192.168.1.160 :3128 Si besoin d’annulation tapez proxycfg –d comme direct Si besoin d’ajouter une exception exemple *.vlf.fr tapez proxycfg –p 192.168.1.160 :3128 *.vlf.fr Attention, cette configuration de proxy ne sait pas faire d’authentification. Se qui implique sur le squid de mettre une acl sans authentification pour les sites de Windowsupdate. C’est aussi pour cela que nous avons ajouté dans le fichier squid.conf ceci : acl microsoftupd dstdomain .microsoft.com .windowsupdate.com http_access allow microsoftupd Sur Windows 2000 - Pas de proxycfg de base Copiez dans C :\winnt\system32 le fichier proxycfg.exe récupéré sur un Windows XP et suivre le même procédure que XP. 2006/2008 ARE06 Mr LE CLECH Maël Rapport Formation ARE 2006-2008 9 - Configuration de SQUID.doc Page N° 13 sur 13 J) Autoriser à toutes machines les mises à jour utiles Exemple pour la mise à jour Office, Java, Acrobat, VirusScan, Flash Player Pour la partie Recommended minimum configuration ajouter les lignes # Pour la mise a jour OFFICE acl OFFICE dstdomain .office.microsoft.com http_access allow OFFICE # Pour la mise a jour JAVA acl JAVA dstdomain .java.com .sun.com http_access allow JAVA # Pour la mise a jour ACROBAT ADOBE acl ADOBE dstdomain .swupdl.adobe.com .ardownload.adobe.com http_access allow ADOBE # Pour la mise a jour VIRUS SCAN acl NAI dstdomain .update.nai.com http_access allow NAI # Pour la mise a jour FLASH PLAYER acl FP dstdomain .fpdownload.macromedia.com http_access allow FP Reconfiguration de Squid : 2006/2008 ARE06 Mr LE CLECH Maël
© Copyright 2024 ExpyDoc