Journal Squid, bloquer l'IP d'un membre du reseau

Posté par  .
Étiquettes : aucune
0
13
mai
2004
Dans ma Quête de la répression (oui, c'est Mal), j'ai encore un soucis avec mon proxy.
En effet, sur mon réseau j'ai un poste ayant l'ip, par exemple, 192.168.1.42.
Dans mon proxy j'ai des acl du type "acl caramail dstdomain caramail.lycos.fr", avec des http_access deny caramail, qui me servent à bloquer qlqs sites, j'ai aussi des acl qui marchent par mots clés, mais je cherche l'acl me permettant de dire "l'ip 192.168.1.42 n'a pas le droit de passer à travers le proxy.
A votre bon coeur messieurs dames, parce que les sites de boules au boulot, c'est Mal. :-p

  • # Et la doc c'est pour les chiens ?

    Posté par  . Évalué à 3.

    Regarde donc la doc et/ou le fichier de conf exemple fourni avec squid ... c'est l'une des premières choses qu'on t'y montre.
    Faut arrêter d'abuser de la solution de facilité que sont les journaux et ce servir un peu de cette gelatine grisatre qu'on appelle "cervelle" les mecs.

    • [^] # Re: Et la doc c'est pour les chiens ?

      Posté par  . Évalué à 1.

      Le fameux RTFM n'est ce pas?
      Figure toi que je me suis consciencieusement tapé la doc sans rien trouver, et que les jolis commentaires du squid.conf ne m'ont franchement pas dépanné...
      Eh oui, je viens de découvrir que quand ils disent :
      acl aclname src ip-address/netmask ... (clients IP address)

      et bien ils devraient écrire :
      acl aclname src ip-address-range/netmask ... (clients IP address)

      Ben oui,
      acl aclname src 192.168.1.42/255.255.255.0
      ça ne marche pas, il faut préciser 192.168.1.42-192.168.1.42/255.255.255.0
      Après pas mal d'expérimentations et googlisation, ma seule solution vient d'être de demander à webmin de le faire à ma place pour trouver la syntaxe...
      Le truc rigolo étant qu'entre des versions différentes de squid, la syntaxe n'est pas tjrs exactement la même, ce qui a l'art de ne pas forcément faciliter les recherches. :-)
      Sur ce je te laisse à ta mauvaise humeur et je retourne dans mon monde. :-)

      • [^] # Re: Et la doc c'est pour les chiens ?

        Posté par  (site web personnel) . Évalué à 4.

        Bizarre, quand même parce que dans la FAQ squid
        http://www.squid-cache.org/Doc/FAQ/FAQ.html(...) chapitre 10, c'est très détaillé je trouve
        et un
        "
        acl obsede src 192.168.1.42
        http_access deny osbede
        "

        devrait bien le faire

      • [^] # Re: Et la doc c'est pour les chiens ?

        Posté par  . Évalué à 1.

        Ah bah non, webmin fait semblant d'avoir bon mais en fait il s'égare tout seul, le pauvre. :-/
        Quand je recharge squid, il me dit :

        2004/05/13 10:44:46| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.1.1.192-192.1.1.192/255.255.255.0'

        Alors que l'ip et le netmask de la machine cliente sont bien ceux là...
        Ce qui me laisse sceptique aussi, c'est que juste au dessus de mon http_access deny toto, j'ai un http_access accept localNet, l'acl localNet étant du type :
        acl localNet src 192.1.1.0/255.255.255.0
        Cette acl donnant autorisant naturellement le réseau 192.1.1.XX à accèder au net...
        Je me demande si une fois que j'ai autorisé tout le monde à passer à travers le proxy, je peux lui dire "ah mais nan pas cette ip là", c'est dingue de galérer pour quelque chose d'apparemment si simple. :-)

        • [^] # Re: Et la doc c'est pour les chiens ?

          Posté par  . Évalué à 3.

          C'est dans la même logique que iptable. tu ferme ou ouvre tout et ensuite tu peut t'occuper des cas particuliers.

          La remarque à faire, c'est l'inverse du routage qui consiste à s'occuper des cas particulier avant de s'occuper du cas général.

          • [^] # Re: Et la doc c'est pour les chiens ?

            Posté par  . Évalué à 2.

            Ah bah en fait j'avais fait le boulet...
            je considérais squid comme une entrée de boite de nuit, avec un videur en plein milieu.
            Je pensais que le videur laissait passer tout le monde, puis qu'il se décidait à arrêter ceux qui ne lui plaisaient pas APRES que tout le monde soit passé. D'où mon deny du src APRES le accept src du localNet...
            Mais en fait, j'ai eu Faux. Le videur commence par bloquer le "coupable", puis laisse passer les autres.
            Et donc en mettant le deny de l'ip spécifique avant d'accepter l'accès à tout le réseau 192.1.1.0, ça s'est mis à marcher...
            Ca manque de logique à mon sens, mais bon pourquoi pas. :-)
            Ne me reste plus qu'à tenter de trouver un programme mettant en forme mes logs, on m'en a déjà conseillé quelques uns, ne reste plus qu'à batailler avec. ;-)

      • [^] # Re: Et la doc c'est pour les chiens ?

        Posté par  . Évalué à 2.

        acl aclname src 192.168.1.42/255.255.255.0
        ça ne marche pas, il faut préciser 192.168.1.42-192.168.1.42/255.255.255.0

        Erf c'est un peu normal: le netmask 255.255.255.0 représente une plage de 256 IPs.
        Si tu veux ne spécifier qu'une seule IP, il faut que tu utilise un netmask ... qui ne représente qu'une seule IP: 255.255.255.255.
        Enfin peut-être que squid fera la gueule, mais au moins ça suit plus les spécifications IP.

  • # Et squidguard ?

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Il se greffe à squid et est capable de gérer tous ces acl et en plus il intégre des listes de sites peu recommandables qui sont mises à jour régulièrement.
    Je l'utilise à la maison pour que mes gosses puissent surfer sans risquer de tomber sur un site craignos.

    https://www.funix.org mettez un manchot dans votre PC

    • [^] # Re: Et squidguard ?

      Posté par  . Évalué à 1.

      En effet j'ai pensé à Squidguard, mais je suis dans une entreprise très orientée microsoft, donc pour le proxy je n'ai pu récupérer qu'un P3-350, 128 de ram, 6Go de disque dur. ;-)
      Et à ce que j'ai lu c'est trop léger, car Squidguard demande pas mal de ressources... Donc bon, maintenant que j'ai réussi à prouver que linux c'est bien, peut être que j'arriverais à avoir une machine un peu plus musclée pour mon proxy, auquel cas j'essairais Squidguard.

      • [^] # Re: Et squidguard ?

        Posté par  . Évalué à 1.

        tout dépend du nombre de clients, mais je t'assures que ta config suffit amplement pour une centaine de postes qui surfent, avec squid+squidguard (testé et approuvé). En fait non, moi j'ai 256Mo de ram, mais sinon c'est la même machine :)

  • # webalizer?

    Posté par  . Évalué à 1.

    Hop là un autre coup de RTFM, mais après avoir installé webalizer (qui marche nickel par ailleurs), je me rends compte qu'il a l'air de manquer une fonctionnalité relativement importante...
    En effet j'aimerais bien savoir quels sites fréquente quelles personnes, et quand. Genre "à 14h43, robert est allé sur google".
    Webalizer ne le fait pas?

    • [^] # Re: webalizer?

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Ce genre d'outil existe (squint), c'est quand même assez sensible au sein d'une entreprise, je pense que tu dois prévenir le personnel de ton entreprise que tu enregistres ce genre d'information.

      https://www.funix.org mettez un manchot dans votre PC

      • [^] # Re: webalizer?

        Posté par  . Évalué à 1.

        Je confirme bien que légalement, le personnel de l'entreprise doit être averti de ce type d'enregistrement, de la même façon qu'il doit être au courant d'une caméra dans les bureaux ou autre...

      • [^] # Re: webalizer?

        Posté par  . Évalué à 1.

        Hmm merci de me prévenir alors, une fois que ça serait en place je ferais tourner une jolie note de service pour le dire à tout le monde, je ne tiens pas à avoir d'ennuis.
        Mais bon d'abord je voudrais être sûr que même en toute connaissance de cause, ils ne pourront rien faire pour contourner le proxy. ;-)
        Parce qu'à l'heure actuelle ce n'est pas le cas, il suffit qu'ils décochent la case du proxy dans leurs browsers et qu'il change manuellement leurs passerelles pour accèder au net et hop, protection contournée! :-/
        D'ailleurs je me demande comment je vais faire, puisque dans tout les cas il leur suffira de changer la passerelle de leurs postes afin de se connecter directement au routeur sans passer par le proxy. :-(
        C'est en cours de cogitation...
        A priori je ne peux pas dire au routeur de refuser toutes les connexions sauf celles venant du proxy, c'est dommageable. Même si je met un firewall, je pense que ça ne changera rien... Saleté de routeur matériel. :-(

        • [^] # Re: webalizer?

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          >Mais bon d'abord je voudrais être sûr que même en toute connaissance de
          cause, ils ne pourront rien faire pour contourner le proxy. ;-)

          Dans ce cas il faut que tu mettes en place un proxy transparent, quelque soit la configuration du navigateur (par proxy, ou connexion directe), ils passeront obligatoirement par ton proxy. Tu devrais trouver assez facilement des infos à ce sujet avec google.

          https://www.funix.org mettez un manchot dans votre PC

          • [^] # Re: webalizer?

            Posté par  . Évalué à 0.

            Il n'empêche qu'on soulève là une question fort interressante...
            Est-il vraiment indispensable d'appeler Big Brother à la rescousse dans une entreprise ?
            Ne serait-il pas possible de responsabiliser plutôt le personnel (qui serait probablement alors plus productif qu'en leur interdisant purement et simplement de surfer quelques minutes pour se distraire).
            Ne peut-on pas accepter un minimum de site de boules au boulot (qui, s'ils sont légaux, n'ont pas de raison d'être plus inerdits que la consultation de DLFP pendant les heures de taff...) à partir du moment où cette consultation reste raisonnable ?

            • [^] # Re: webalizer?

              Posté par  . Évalué à 1.

              D'expérience, la réponse est évidente: non. Tout se joue sur ta dernière phrase, "consultation raisonnable"... Pour la qualifier, il faut pouvoir l'analyser !

              Ensuite, la responsabilisation du "personnel" ne peut être obtenue qu'avec une individualisation dudit "personnel". Sinon la règle classique du "c'est pas moi, c'est le voisin", ou sa variante "ben le voisin l'a fait, alors moi aussi" s'applique à coup sûr.

              L'éducation des masses en entreprise, sans passer par de l'information (genre "le service marketing est number one du surf cette semaine") ou de la répression (couper les accès aux mecs qui passent leur temps sur des sites de warez parce qu'ils ont pas le net chez eux) est une tâche à plein temps.
              A voir ensuite si on préfère faire plus l'admin ou la police... mais un admin est *toujours* facho. Sinon c'est un admin laxiste, donc un mauvais admin.
              La meilleure situation pour bosser pour un admin, c'est lorsqu'il n'y a pas d'utilisateurs... au moins il peut ne faire que son boulot !

              Dans tous les cas cités ci-dessus, évidement les salariés ou leurs représentants doivent être tenus informés.
              Tout comme les salariés doivent être tenus informés que les administrateurs systèmes/réseaux ont possibilité de voir ce qu'ils font, le contenu de leurs mails, etc... le tout protégé par un secret professionnel aussi fort que le secret médical (exemple de secret professionnel connu de tous, contrairement à celui des administrateurs informatiques)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.