12.5. Utiliser Squid pour un accès limité
Principalement,
Squid
est utilisé pour bloquer l'accès à certains contenus web. Normalement, certains ports sont bloqués ou ce sont certains sites.
12.5.1. Limiter un accès en bloquant un port
Par cette méthode, aussi appelée filtrage de port, vous pouvez bloquer un port spécifique avec le serveur proxy de
Squid
. Ce faisant, vous pouvez restreindre l’utilisation de certains protocoles, services, sites Web, ou applications. Par exemple, pour bloquer le trafic FTP, il suffit de bloquer le port 21/TCP. De la même manière, vous pouvez bloquer tous les sites HTTPS en bloquant le port 443/TCP.
Procédure 12.5. Bloquer des numéros de port
- Connectez vous en tant que superutilisateur, et ouvrir le fichier de configuration de
Squid
:~]#
vi /etc/squid/squid.conf
- Bloquer les ports par des ACL.
acl Bad_ports port 443 #(create acl for port 443/tcp)
- Enregistrez les changements.
- Redémarrer
Squid
pour faire appliquer la nouvelle configuration :~]#
service squid reload
Le fichier de configuration de
Squid
contient des lignes avec acl Safe_ports port. Par défaut, ces numéros de port sont ajoutés en tant que "Safe_Ports" sont ouverts à la navigation.
acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777
Vous pouvez désactiver toutes les lignes listées dans
/etc/squid/squid.conf
pour bloquer les ports qu'il faut.
Exemple 12.7. Bloquer le port 777/tcp
Pour bloquer le port 777/tcp, ajouter un signe de hachage devant la ligne dont il s'agit, comme suit :
#acl Safe_ports port 777 # multiling http
12.5.2. Limiter un accès en bloquant des adresses ou des sites spécifiques
Configurer
Squid
pour que votre réseau désactive l'accès à certains sites.
Procédure 12.6. Bloquer un site particulier
- Autoriser l'accès à
Squid
sur votre réseau. Ouvrir le fichier/etc/squid/squid.conf
et chercher "Access Controls". Défilez vers le bas INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS. Il vous faudra adapter la liste en fonction de vos réseaux d'IP internes à partir desquels on pourra naviguer. Dans cet exemple, l'ACL donne accès aux réseaux locaux 192.168.1.0/24 et 192.168.2.0/24.# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl our_networks src 192.168.1.0/24 192.168.2.0/24 http_access allow our_networks
- Créer un fichier qui contient une liste de sites que vous souhaitez bloquer. Nommez les fichiers, par exemple,
/usr/local/etc/allowed-sites.squid
et/usr/local/etc/restricted-sites.squid
.~]#
cat /usr/local/etc/allowed-sites.squid
www.redhat.com fedoraproject.org~]#
cat /usr/local/etc/restricted-sites.squid
www.badsites.com illegal.comIls peuvent ensuite être utilisés pour bloquer les sites ayant des restrictions.~]#
vi /etc/squid/squid.conf
acl our_networks src 192.168.1.0/24 192.168.2.0/24 acl GoodSites dstdomain "/usr/local/etc/allowed-sites.squid" acl BadSites dstdomain "/usr/local/etc/restricted-sites.squid" http_access allow our_networks http_access deny BadSites http_access allow home_network business_hours GoodSites
Enregistrer et fermer le fichier. - Re-démarrer le serveur proxy de
Squid
:~]#
systemctl restart squid
- Configurer votre navigateur web pour qu'il utilise le nom DNS ou l'adresse IP de votre serveur
Squid
et qu'il corresponde au port en cours.