9 - Configuration de SQUID.doc La configuration de Squid

Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 1 sur 13
La configuration de Squid se fait sous /etc/squid/squid.conf
A) Par défaut
Par défaut tous les réseaux sont interdits de navigation sur le web :
B) Accès pour notre réseau
Pour la partie Recommended minimum configuration ajouter la ligne
acl LANLEG src 192.168.1.0/24
LANLEG est juste un
nom d’acl, vous pouvez
donner le nom de votre
choix.
Ainsi que plus bas la ligne http_access allow LANLEG pour autoriser le
réseau LANLEG à aller sur internet
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 2 sur 13
Reconfiguration de Squid :
Test sur le poste Client passant par le Proxy:
C) Restriction horaires
EXEMPLE : Accès internet interdit le samedi et dimanche ainsi que tous les jours de : 22h à
6h30
Pour la partie Recommended minimum configuration ajouter les lignes
acl HORAIRES time A-S
acl HORAIRES time 0:00-6:30
acl HORAIRES time 22:00-23:59
2006/2008 ARE06
# Samedi et Dimanche
# de 0h00 a 6h30
# de 22h00 a 23h59
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 3 sur 13
Ainsi que plus bas la ligne http_access deny HORAIRES pour interdire les
horaires indiqués
ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG
sinon les horaires ne seront pas pris en compte.
Reconfiguration de Squid :
Test sur le poste Client passant par le Proxy à 22h13 : OK
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 4 sur 13
D) Blocage des extensions
Créer un fichier exts sous /etc/squid/
Renseigner dans celui ci la liste des extensions à bloquer : en minuscule et
majuscule
Pour la partie Recommended minimum configuration ajouter les lignes
acl EXTS urlpath_regex "/etc/squid/exts"
# Extensions
Ainsi que plus bas la ligne http_access deny EXTS pour interdire les
extensions
ATTENTION bien mettre cette ligne avant la ligne http_access allow LANLEG
sinon LANLEG pourra voir ces extensions.
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 5 sur 13
Reconfiguration de Squid :
Test sur le poste Client passant par le Proxy voulant visualiser un fichier .exe :
OK
Ne bloque pas l’installation active x flash…
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 6 sur 13
E) Accès aux administrateurs
Pour la partie Recommended minimum configuration ajouter la ligne
acl ADMIN src 192.168.1.150
# IP poste Mael Le Clech
Nous pouvons ajoutez plusieurs adresses ….
acl ADMIN src 192.168.1.152 # IP poste admin 2
Ainsi que plus bas la ligne http_access allow ADMIN pour autoriser les IP
ADMIN
ATTENTION bien mettre cette ligne avant toutes les autres pour ne pas être
bloqué par aucunes restrictions
Reconfiguration de Squid :
Test sur le poste Client ADMIN passant par le Proxy à 22h56 : OK
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 7 sur 13
F) Donner accès au téléchargement à un client
Pour la partie Recommended minimum configuration ajouter la ligne
# Pour les postes qui ont besoin de télécharger
acl DOWNLOAD src 192.168.1.131
# PC du RH
Nous pouvons ajoutez plusieurs adresses ….
acl DOWNLOAD src 192.168.1.136
# IP poste 2
Ainsi que plus bas la ligne http_access allow DOWNLOAD pour autoriser
les IP définies à télécharger sans être bloquées par les extensions mais
toujours avec une restriction Horaire.
ATTENTION il va falloir apporter une modification à l’ordre des http_access
comme suit :
http_access
http_access
http_access
http_access
http_access
allow ADMIN
deny HORAIRES
allow DOWNLOAD
deny EXTS
allow LANLEG
Car si nous avions mis le DOWNLOAD avant HORAIRES il n’y aurait pas eu de
tranches HORAIRES d’accès interdit
http_access
http_access
http_access
http_access
http_access
allow ADMIN
allow DOWNLOAD
deny EXTS
deny HORAIRES
allow LANLEG
Reconfiguration de Squid :
Test sur le poste Client RH d’un téléchargement :
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 8 sur 13
G) Pour interdire l’accès internet à un poste
Exemple pour interdire l’accès internet d’un poste
Pour la partie Recommended minimum configuration ajouter la ligne
acl LANLEGDENY src 192.68.1.12
# Pas d acces internet
Ainsi que plus bas la ligne http_access deny LANLEGDENY pour interdire
l’accès internet du poste définit par l’acl LANLEGDENY
ATTENTION il faut mettre cette http_access en tête pour être sur de bloquer l’IP
quelque soit les autres paramètres
Reconfiguration de Squid :
Test sur le poste Client :
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 9 sur 13
H) Changer la langue des messages d’erreurs
Par défaut la langue des messages d’erreur est l’anglais
Pour mettre la langue en français ajouter cette ligne :
error_directory /usr/share/squid/errors/French
Reconfiguration de Squid :
Test sur le poste Client :
Si vous avez besoin de personnaliser ces pages allez sous
/usr/share/squid/errors/French
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 10 sur 13
I) Erreur Windows Update
Après avoir installé le Squid vous pouvez rencontrer des problèmes lors de l’accès
au site Windows Update de Microsoft.
On arrive sur le site Microsoft et la recherche de mise à jour prend des heures et ne
marche pas.
Le problème vient d’un BUG de Windows référencé chez Microsoft.
a) Utilisation de refresh_pattern :
La directive refresh_pattern permet de fixer les variables correspondante à
l'algorithme de gestion du rafraichissement.
Ajoutez les lignes suivantes : Si vous ne trouver pas l’emplacement
faites une recherche sur refresh_pattern dans le fichier
# Pour les mises a jour windows update etc
refresh_pattern http://.*\.windowsupdate\.microsoft\.com/ 4320 80% 43200
refresh_pattern http://office\.microsoft\.com/
4320 80% 43200
refresh_pattern http://windowsupdate\.microsoft\.com/
4320 80% 43200
refresh_pattern http://w?xpsp[0-9]\.microsoft\.com/
4320 80% 43200
refresh_pattern http://w2ksp[0-9]\.microsoft\.com/
4320 80% 43200
refresh_pattern http://download\.microsoft\.com/
4320 80% 43200
refresh_pattern http://download\.macromedia\.com/
4320 80% 43200
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 11 sur 13
b) Autoriser les sites Windows Update à ne pas subir le filtrage
SQUID (extensions …) et à être utilisé sans authentification
Pour la partie Recommended minimum configuration ajouter les lignes
# Pour la mise à jour Windows Update
acl WINDOWS dstdomain .windowsupdate.com .update.microsoft.com
always_direct allow WINDOWS
http_access allow WINDOWS
Reconfiguration de Squid :
Test sur le poste Client :
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 12 sur 13
c) Pour les mises à jour automatiques XP - 2000
Si vous utilisez les mises à jour automatiques il va vous falloir
configurer PROXYCFG sous Windows
Pour cela, ouvrez sur le Windows une fenêtre Dos
Tapez proxycfg, ici vous remarquez que l’accès est en direct
Pour ajoutez votre proxy tapez proxycfg –p 192.168.1.160 :3128
Si besoin d’annulation tapez proxycfg –d comme direct
Si besoin d’ajouter une exception exemple *.vlf.fr tapez proxycfg –p
192.168.1.160 :3128 *.vlf.fr
Attention, cette configuration de proxy ne sait pas faire
d’authentification. Se qui implique sur le squid de mettre une acl sans
authentification pour les sites de Windowsupdate.
C’est aussi pour cela que nous avons ajouté dans le fichier squid.conf
ceci :
acl microsoftupd dstdomain .microsoft.com .windowsupdate.com
http_access allow microsoftupd
Sur Windows 2000 - Pas de proxycfg de base
Copiez dans C :\winnt\system32 le fichier proxycfg.exe récupéré sur un
Windows XP et suivre le même procédure que XP.
2006/2008 ARE06
Mr LE CLECH Maël
Rapport Formation ARE 2006-2008
9 - Configuration de SQUID.doc
Page N° 13 sur 13
J) Autoriser à toutes machines les mises à jour utiles
Exemple pour la mise à jour Office, Java, Acrobat, VirusScan, Flash Player
Pour la partie Recommended minimum configuration ajouter les lignes
# Pour la mise a jour OFFICE
acl OFFICE dstdomain .office.microsoft.com
http_access allow OFFICE
# Pour la mise a jour JAVA
acl JAVA dstdomain .java.com .sun.com
http_access allow JAVA
# Pour la mise a jour ACROBAT ADOBE
acl ADOBE dstdomain .swupdl.adobe.com .ardownload.adobe.com
http_access allow ADOBE
# Pour la mise a jour VIRUS SCAN
acl NAI dstdomain .update.nai.com
http_access allow NAI
# Pour la mise a jour FLASH PLAYER
acl FP dstdomain .fpdownload.macromedia.com
http_access allow FP
Reconfiguration de Squid :
2006/2008 ARE06
Mr LE CLECH Maël