You are on page 1of 13

SQUID

apt-get install squid3 Faire la commande suivante pour enlever tous les commentaires : grep -E -v '^(#|$)' /etc/squid/squid.conf >> newfichier mv newfichier squid.conf Modifier ce fichier : /etc/squid3/squid.conf

always_direct allow all acl ourLANs src 192.168.1.0/24 http_access allow ourLANs /etc/init.d/squid restart Tester la connexion à Squid (@IP:3128) Pour voir les connexions actives : netstat -natp Possible de montrer les logs : tail -f /var/log/squid3/access.log

DANSGUARDIAN
apt-get install dansguardian clamav-daemon clamav-freshclam Modifier ce fichier /etc/dansguardian/dansguardian.conf Pour activer la configuration, il faut commenter ou supprimer cette ligne : #UNCONFIGURED Cette ligne permet d’avoir les messages en français en cas de blocage des sites : language = 'french' Cette ligne permet d’activer l’antivirus : virusscan = on virusengine = 'clamav' contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'

com.gz -C /etc/dansguardian/lists/blacklists /etc/init.tar.gz tar -xvzf blacklists.dat Ensuite.txt Montrer les logs de Squid et Dansguardian.d/dansguardian stop puis start Tester la connexion à Dansguardian (@IP:8080) • • • Tester que le site facebook.conf Puis ajouter : AddType application/x-ns-proxy-autoconfig . modifier le fichier bannedsitelist et ajouter un site a bloquer (facebook.Tous les filtres se trouve dans /etc/dansguardian/lists Exemple.univ-tlse1.com) Il est possible de créer un script pour MAJ auto les listes.d/dansguardian start Une fois la configuration faites.com n'est pas accessible.fr/pub/reseau/cache/squidguard_contrib/blacklists. #!/bin/bash cd /etc/dansguardian/lists/blacklists wget ftp://ftp. faire la commande suivante dans un terminal : freshclam Puis faire redémarrer Dansguardian pour prendre la nouvelle configuration : /etc/init.il faut télécharger les MAJ de ClamAV. WPAD apt-get install apache2 Puis modifier ce fichier : /etc/apache2/httpd.tar. créer ce fichier : .org et télécharger eicar.d/dansguardian stop /etc/init. Tester avec un mot interdit Tester ClamAV en allant sur eicar.

255.255.0". une fois celui-ci configuré faire : Clique droit sur IPV4 --> “Définir les options prédéfinies” puis “Ajouter” Remplir comme ceci puis cliquer sur OK Dans la case chaine.x.0")) return "DIRECT".255.x. il faut installer un DHCP sur Windows 2008.x.0" par votre réseau et "PROXY x.255. saisir @IP ou se trouve votre fichier wpad. } Remplacer "x.dat . else return "PROXY x.x.nano /var/www/wpad.x. "255.0".x:8080". "255. /etc/init.x:8080" par IP et port de Proxy.x. "x.x.d/apache2 restart Ensuite.x. host) { if (isInNet(host.dat Puis y mettre : function FindProxyForURL(url.

ne rien modifier. faire “Configurer les options” Puis ajouter le 252. appliquer puis OK .Sur les “options d’étendue” du DHCP.

.. Outils --> Options Internet--> Connexions--> Parametres réseau--> “Détecter automatiquement les parametres. puis lancer IE.” Redémarrer pour être sur de la prise en compte de la modification. Démarrer un PC lambda. puis lancer IE.Vérifier que la nouvelle entrée est ajoutée dans les Options d’étendue. et tester avec un mot bannis ou site bannis. google. . se loguer.

ne rien mettre ! Puis faire : apt-get update apt-get upgrade . Authentification AD Sur Windows 2008.d/dansguardian stop /etc/init.conf access_log /var/log/dansguardian/access.SARG apt-get install sarg puis modifier : /etc/sarg/sarg.conf Il faut également remodifier la configuration de DansGuardian. faire un DCPROMO et créer une AD Windows 2000. simplement faire sarg dans une console puis les rapports se font. faire : apt-get install samba krb5-user libpam-krb5 ntpdate winbind Si info demandé.log /etc/init. Sur Linux. /etc/dansguardian/dansguardian. aller sur le serveur web pour voir les logs. ensuite créer un OU et y placer les utilisateurs dedans.d/dansguardian start Ensuite.conf Mettre : loglevel = 3 logfileformat = 3 Puis supprimer l’ancien fichier de log : /var/log/dansguardian/access.log report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads denied output_dir /var/www/html/squid-reports dansguardian_conf /etc/dansguardian/dansguardian.

d/smbd stop /etc/init.d/nmbd stop Modifier les fichiers comme préciser dans tuto (attention à la casse !) /etc/samba/smb.ORG netbios name = proxy-squid log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d security = ads password server = 192.168.Puis stopper les services : /etc/init.100 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum groups = yes winbind enum users = yes winbind use default domain = yes .d/winbind stop /etc/init.1.conf [global] workgroup = SQUID realm = SQUID.

ORG [realms] SQUID.conf search squid.168.org WIN-0BKAF5NN572 .100 /etc/hosts 192.squid./etc/krb5.org nameserver 192.5 WIN-0BKAF5NN572.168.conf [libdefaults] default_realm = SQUID.1.squid = SQUID squid = SQUID /etc/hostname /etc/resolv.1.ORG = { kdc = WIN-0BKAF5NN572 admin_server = WIN-0BKAF5NN572 } [domain_realm] .

Ensuite faire : ntpdate @IP_DC kinit Administrateur (On peut faire un klist pour vérifier que nous sommes authentifié(obtention d’un jeton)) Il faut modifier certains droits : chown -R proxy:root /var/log/squid3 chown -R proxy:root /var/run/samba/winbindd_privileged chmod 777 -R /var/run/samba/winbindd_privileged usermod -a -G winbindd_priv proxy .Sur Windows Server 2008. il faut entrée un nouveau hote.

Puis démarrer les services : /etc/init. on peux faire les commandes suivantes pour tester : net ads testjoin wbinfo -t . (Mais cette entrée n’est pas très importante.d/smbd start /etc/init.d/nmbd start On peut maintenant ajouter notre poste au domaine net ads join -U Administrateur ou /usr/bin/net.samba3 ads join -U Administrateur Si “DNS update failed!”.) En regardant sur Windows 2008. Pour vérifier que tout fonctionne correctement. on doit voir la machine Linux dans Active Directory..d/winbind start /etc/init.. c’est que l’entrée sur le DNS de Windows 2008 n’est pas bonne.

5-basic .wbinfo -u wbinfo -g wbinfo -m Ensuite. on peut tester que NTLM puisse s’authentifier auprès de AD avec : /usr/bin/ntlm_auth --helper-protocol=squid-2.

5-ntlmssp auth_param ntlm children 5 #Authentification pour les utilisateurs lambdas. un login/pass sera demandé.168.1.0.168.0.Il faut ensuite configurer Squid de cette façon : #Authentification pour les utilisateurs de AD.0/16 # RFC1918 possible internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow user http_access deny all icp_access allow localnet icp_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? access_log /var/log/squid/access. ils n'auront plus à rentrer leurs ID auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.gz)*)$ 0 20% 2880 refresh_pattern .0.1/32 acl to_localhost dst 127.0.0/32 acl lan src 192.0/8 # RFC1918 possible internal network acl localnet src 172.[0-9] acl apache rep_header Server ^Apache hosts_file /etc/hosts append_domain .0.0.0.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.0.org coredump_dir /var/spool/squid .16.0/12 # RFC1918 possible internal network acl localnet src 192.0. 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY.0/8 0.squid.0/24 acl user proxy_auth REQUIRED acl localnet src 10.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl all src all acl manager proto cache_object acl localhost src 127.0.

d/squid3 restart Se connecter sur le proxy (3128) avec un utilisateur de AD (connexion autorisée) et un utilisateur lambda (Login/Passwd demandé) Sinon erreur du type car pas connecté Il faut ensuite modifier le fichier dansguardian.conf' Vérifier la connexion sur DansGUARDIAN (8080) .Faire ensuite: mkdir /var/log/squid chown -R proxy:root /var/log/squid /etc/init. Recherche la section authplugin puis décommenter ce plug-in : authplugin = '/etc/dansguardian/authplugins/proxy-ntlm.conf pour activer la fonction d’authentification.