Linux-Squid sous Vmware

Support Debian
#21

alors dans l’ordre:
-deja commence par résoudre le pb de "mais erreur visible_hostname_ debiane parseconfile unrecognized"
tu dois avoir une merde dans ton squid.conf, n’hesite pas à regarder les logs de squid

-$ telnet IP_DEBIAN_192.168.2 3128
c’est pour tester depuis le XP que tu peux te connecter sur le service squid (sur son port 3128)

Pour les histoires de passerelles,filtrage laisse tombé pour l’instant. Qd le squid fonctionnera tu pourras t’y interesser.
Par natd comprendre du nat, ce que l’on fait par de l’ip masquerade (natd est utilisé sous freebsd)
Pour le principe du nat, je te laisse googoliser la question.

#22

En mettant une carte sur la debian cela fonctionne aussi.

J’ai réussit en mettant tout en bridged et utilisant 1 carte sur Debian et 1 sur XP.

C’est mieux que je refasse avec deux cartes? cela me dérange pas de recommence c’est rapide now.

J’avais squid qui fonctionnait sans probleme mais Squidguard l’instllation mettait une erreur de daemon donc, je vais recommencé now que j’ai compris comment cela marche.

Merci

#23

pour les 2 cartes c’est comme tu veux.
soit 2 cartes, soit 1 carte avec un alias

#24

C’est-à-dire un alias?

#25

quote="carles65"
J’avais squid qui fonctionnait sans probleme mais Squidguard l’instllation mettait une erreur de daemon donc, je vais recommencé now que j’ai compris comment cela marche.
(…)[/quote] AMA, vu comment tu marines, tu ferais mieux de passer sur machine réelle et surtout sous redhat, même si c’est en premier jet.
Pourquoi tu maquettes une debian alors que tu dois faire une redhat ?

#26

Faudrait que je telecharge Fedora qui est la version gratuite de Red hat c’est bien ca?

Je bosse sur Debian car c’est le seul que je connais et qui est souvent recommandé sur les tutoriels

#27

sais pas: c’est toi qui as parlé de redhat.

#28

Si l’entreprise te demande de réaliser ce projet sous RedHat demande leur une version pour travailler dessus :mrgreen:
Sinon passe sous Debian ton projet, si tu maîtrise mieux et que l’entreprise n’y voit aucune objection :smt003

#29

L’entreprise achetera la licence red hat une fois les tests conclus car la licence va de 80€ à 400€.

Donc, pour ma maquette j’utilise Debian.

Squid permet-il d’autoriser des accès web qu’a certain site?

Ou faut-il installer obligatoirement Squiguard?

Merci

#30

Au risque de troller légèrement je vois pas trop l’intérêt dans ce cas de faire acheter une licence à une entreprise qui veut simplement un service qui fonctionne, fait leur passer la pilule Debian ( en plus elle à un bon goûts :smt003 )

Pour ce qui est de squidguard il ne me semble pas utile ( quoique surement plus simple à mettre en place )

[quote]Comme vu dans le squid.conf de l’association, les règles ACL de squid permettent un certain nombre de contrôle.
On peut définir quel réseau ou sous-réseau est autorisé, quels sont les ports autorisés.
On peut surtout limiter l’accès à certains sites en interdisant des expressions régulières dans les URL. Ce système est un peu “rustique” mais fonctionne bien. Il faut toutefois prendre garde de ne pas mettre de règles trop vagues. Interdire la chaîne cul interdit aussi tous les sites culturels…On peut perfectionner ces règles en les renvoyant vers des fichiers ou même des scripts. [/quote]

vus ICI : http://www.ac-creteil.fr/reseaux/Internet/INET/proxy/Squid/default.htm

tu peut fouiller du côté de dansguardians aussi qui parait relativement austère mais qui d’après des connaissances fonctionne bien :smt002

#31

[quote=“carles65”]L’entreprise achetera la licence red hat une fois les tests conclus car la licence va de 80€ à 400€.[/quote] Alors tu ferais mieux de te mettre tout de suite aux rpm avec une fedora AMA. Tu n’auras qu’à refaire exactement ce que tu auras fait aprés. Mais lésiner sur un budget aussi ridicule… Dans ce cas là, on économise carrément en prenant une debian. [quote=“carles65”] (…)

Squid permet-il d’autoriser des accès web qu’a certain site?

Ou faut-il installer obligatoirement Squiguard?

Merci[/quote]squidguard n’est qu’un script qui recoit une url et renvoie en échange celle qui doit être transmise par squid à l’utilisateur (et qui peut être une page d’erreur), mais tu peux faire tes scripts à toi.

#32

plusieurs IP sur une meme carte genre:
ifconfig eth0 192.168.0.1
ifconfig eth0:0 192.168.1.1
ifconfig eth0:1 192.168.2.1

#33

Je vous fournis en piece jointe le réseau que je devrais faire au final.

Mon but est de lors de l’authentification sur le vpn, le proxy reconnaisse à quel groupe appartient l’user.

#34

C’est complètement incompréhensible ton schema.
Que viennent faire ces vpns ? quel type sont ils ? quelles machines les gèrent à chaque extrèmité?
Et que vient faire ce serveur 2003 dans l’histoire >entre< le proxy et les clients ?

#35

Cela marche jai mis squid norman au lieu de squid3.

Explication du projet
La situation est telle:

Chaque agence a un modem (livebox) ou autres et se connecte au web sans restriction.
Ils ont acces à l’intranet par l’adresse srvcompta/… .
Un poste en agence a un parametrage VPN pour pouvoir acceder au serveur et il y a aussi un compte user sur le serveur compta avec acces à distance.

Le serveur DHCP sur serveurcompta fournit des adresse leur de connexion a distance au VPN.

Le projet demandé est donc de :

-d’installer un proxy squid afin de filtrer les sorties web de chaque agence vers le proxy pour qu’il accorde que les sites définis dans sa base.
-il y a 3 groupes distinct : direction (tous sites), exploitation(limite sites) et compta (limité sites mais different d’exploitation).

-l’authentification devrait se faire par rapport au login du vpn rentré afin d’éviter une nouvelle authentificaiton sur le proxy.

Donc, le proxy sert de sortie au web sans lui pâs d’internet!

Comment le parametre dans Squid?

Merci pour votre réponses.

#36

La configuration que tu décris est possible, mais complètement absurde (sauf sur des énormes tuyaux et encore, mais ici ce n’est pas le cas) car ça sous entend qu’un client situé dans une agence va faire une demande >au travers du serveur de compta< par le vpn à ton serveur squid, qui va aller chercher les pages sur le net, qui vont revenir à lui, puis retraverser le vpn jusqu’au client. Ca veut dire que >TOUTES< les données passeront deux fois par le même tuyau du siège, même celles à destination des agences qui passeront donc en descente vers le squid, puis en renvoi vers les clients.

Une architecture “correcte” (disons plus traditionnelle) serait de mettre un routeur+vpn+squid sous debian dans chaque agence (ça peut être une trés vieille machine de rebut, et au passage, tu sécurise chaque agence avec un meilleur pare feu que la livebox), avec le vpn qui s’établit entre les routeurs en permanence (plus de vpn à configurer ou à lancer sur les clients tout se fait automatiquement entre les routeurs), et le squid de chaque agence demande au alors squid du siège si il doit laisser passer ou non les données (mais il ne demande que l’autorisation et télécharge les pages lui même pour servir le client). Le squid du siège serait alors >entre< ton serveur de compta et le net (et sécuriserait encore mieux ton serveur de compta qui n’est aue mal protègé j’imagine actuellement que par la sécurité sur la box du siège (?)).

Pour complèter (et ça vaut aussi avec l’architecture pas possible que tu as choisie), tu configure squid en authenthification active directory pour qu’il identifie tes utilisateurs en fonction de leur identifiant de session windows.
client.olfeo.com/article.php3?id_article=49

Au fait, l’identifiant réseau est bien le même que celui de srvcompta ? C’est bien srvcompta qui fait controleur de domaine au moins pour le siège ?
Tu as des serveurs active directory dans les agences ?

#37

[quote]Au fait, l’identifiant réseau est bien le même que celui de srvcompta ? C’est bien srvcompta qui fait controleur de domaine au moins pour le siège ?
Tu as des serveurs active directory dans les agences ?[/quote]

Je ne sais pas si c’est le meme identifiant.
srvcompta est le seul a avoir dans “Gestion ordi”->outils systeme"utilisateur et groupes locaux" des users enregistres.

Non pas d’AD dans agence ils sont peu nombreux de 2a 6 personnes.

srvcompta appartient au workgroup exploitation mais n’a pas de domaine.

#38

Voici le mail de mon tuteur ma fourni apres que je lui est demandé comment il voulait exactement se passe la connexion.

[quote]Pour un poste en agence il faut :
· Un paramétrage VPN : (pour permettre l’accès au réseau de Corbas)
adresse 81.80.XXX.XXX
· un compte user sur le serveur SRCOMPTA (192.168.XXX.XXX) avec accès distant autorisé

Il sera surement nécessaire de revoir le plan d’adressage (sur le serveur )de Corbas pour agrandir la plage d’adresses réservées aux postes distants pour que DHCP puisse leur accorder une adresse lors de l’accès VPN.

Ensuite, je suppose que Squid permet de cataloguer des noms d’utilisateurs (pas forcément le noms des stations connectées ?? généralement différents des personnes qui les utilisent) et ainsi connaître le groupe auquel appartient l’utilisateur demandant une page Web. Je ne vois le serveur compta utile que pour l’accès VPN et l’intranet.

Nous pourrons tester si je me connecte à distance (vpn existant) et m’attribuer à chaque fois sur un groupe différent pour savoir si Squid reconnaît bien l’utilisateur distant et le groupe d’appartenance.[/quote]

#39

J’ai redemandé une explication claire du projet voici la réponse :

[quote]Les “Box” présentes en agences ne seront utiles qu’au logiciel d’exploitation transport qui utilise TCP/IP pour accéder à un serveur SQL situé en Belgique, et à Outlook (passerelle) pour émettre les mails.

Les navigateurs des postes agences ne doivent plus accéder au Web par leur “Box” mais obligatoirement par le réseau de Corbas via le VPN et le proxy.

Le rôle de SRVCOMPTA est :

· Permettre l’identification de la station distante (VPN) et donner une adresse IP (dhcp) à la station sur le réseau de Corbas

· mettre à disposition l’intranet IIS (//srvcompte/gwarning). C’est une application pas une interface de connexion.

Le serveur n’a aucun rôle dans les accès au Web des postes locaux ou distants.

le serveur Squid est sur le réseau et tous les navigateurs doivent lui faire appel lors d’une demande de site Web

(logiquement même le navigateur du serveur compta devra passer par Squid pour accéder au Web)

Squi n’est qu’un contrôleur d’accès au Web et SRVCOMPTA n’est qu’un serveur DHCP pour le réseau de Corbas.

Bien se renseigner sur le Web pour :

Gestion proxy sur IE6 et IE7 (options internet onglet Connexion) limitations, permissions,…

Blocage au niveau du registre de l’installation des accessoires Windows (jeux, …) et le mieux désisntaller ces éléments et bloquer leur réinstallation par script.[/quote]

#40

Comment mettre en place une telle architecture?svp