12.5. Utiliser Squid pour un accès limité
Principalement,
Squid
est utilisé pour bloquer l'accès à certains contenus web. Normalement, certains ports sont bloqués ou ce sont certains sites.
12.5.1. Limiter un accès en bloquant un port Copier lienLien copié sur presse-papiers!
Copier lienLien copié sur presse-papiers!
Par cette méthode, aussi appelée filtrage de port, vous pouvez bloquer un port spécifique avec le serveur proxy de
Squid
. Ce faisant, vous pouvez restreindre l’utilisation de certains protocoles, services, sites Web, ou applications. Par exemple, pour bloquer le trafic FTP, il suffit de bloquer le port 21/TCP. De la même manière, vous pouvez bloquer tous les sites HTTPS en bloquant le port 443/TCP.
Procédure 12.5. Bloquer des numéros de port
- Connectez vous en tant que superutilisateur, et ouvrir le fichier de configuration de
Squid
:vi /etc/squid/squid.conf
~]# vi /etc/squid/squid.conf
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Bloquer les ports par des ACL.
acl Bad_ports port 443 #(create acl for port 443/tcp)
acl Bad_ports port 443 #(create acl for port 443/tcp)
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Enregistrez les changements.
- Redémarrer
Squid
pour faire appliquer la nouvelle configuration :service squid reload
~]# service squid reload
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Le fichier de configuration de
Squid
contient des lignes avec acl Safe_ports port. Par défaut, ces numéros de port sont ajoutés en tant que "Safe_Ports" sont ouverts à la navigation.
Vous pouvez désactiver toutes les lignes listées dans
/etc/squid/squid.conf
pour bloquer les ports qu'il faut.
Exemple 12.7. Bloquer le port 777/tcp
Pour bloquer le port 777/tcp, ajouter un signe de hachage devant la ligne dont il s'agit, comme suit :
#acl Safe_ports port 777 # multiling http
#acl Safe_ports port 777 # multiling http
12.5.2. Limiter un accès en bloquant des adresses ou des sites spécifiques Copier lienLien copié sur presse-papiers!
Copier lienLien copié sur presse-papiers!
Configurer
Squid
pour que votre réseau désactive l'accès à certains sites.
Procédure 12.6. Bloquer un site particulier
- Autoriser l'accès à
Squid
sur votre réseau. Ouvrir le fichier/etc/squid/squid.conf
et chercher "Access Controls". Défilez vers le bas INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS. Il vous faudra adapter la liste en fonction de vos réseaux d'IP internes à partir desquels on pourra naviguer. Dans cet exemple, l'ACL donne accès aux réseaux locaux 192.168.1.0/24 et 192.168.2.0/24.INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl our_networks src 192.168.1.0/24 192.168.2.0/24 http_access allow our_networks
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Créer un fichier qui contient une liste de sites que vous souhaitez bloquer. Nommez les fichiers, par exemple,
/usr/local/etc/allowed-sites.squid
et/usr/local/etc/restricted-sites.squid
.cat /usr/local/etc/allowed-sites.squid www.redhat.com fedoraproject.org
~]# cat /usr/local/etc/allowed-sites.squid www.redhat.com fedoraproject.org
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cat /usr/local/etc/restricted-sites.squid www.badsites.com illegal.com
~]# cat /usr/local/etc/restricted-sites.squid www.badsites.com illegal.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Ils peuvent ensuite être utilisés pour bloquer les sites ayant des restrictions.vi /etc/squid/squid.conf
~]# vi /etc/squid/squid.conf
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Copy to Clipboard Copied! Toggle word wrap Toggle overflow Enregistrer et fermer le fichier. - Re-démarrer le serveur proxy de
Squid
:systemctl restart squid
~]# systemctl restart squid
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Configurer votre navigateur web pour qu'il utilise le nom DNS ou l'adresse IP de votre serveur
Squid
et qu'il corresponde au port en cours.