Problème squidGuard et URL en https bloquées

Bonjour,

J’ai mis en place un proxy squid/squidguard.

Le couple fonctionne correctement à l’exception du problème d’affichage suivant :
La redirection squidGuard vers une page avec le message “Site bloqué…” fonctionne très bien sauf pour les pages en HTTPS.

A la place du message d’erreur attendu, s’affiche le message “Délai d’attente dépassé sous FF” et “Impossible d’afficher la page sous IE”.

Pour etre plus clair, en partant du principe que le domaine “monsite.fr” est blacklisté dans squidguard, une requette http sur monsite.fr non.

Auriez vous une idée de ce dont il peut s’agir ?

Je posterais les fichiers de conf, etc au besoin.

D’avance, merci !

n0m

Bonjour,

le port est il autorisé dans les ACl de squidGuard ?

Cdlt,

ZEN

Bonjour Zen,

Oui tout à fait.

Je rappelle que j’arrive sans problème à me connecter à des sites en https. Seuls les sites blacklistés posent problème.

A+

n0m

Personne pour un petit coup de pouce ?

Bjr,

Est-il possible que le lien vers /usr/share/squid/errors n’existe pas ?
Que dise les logs ?

Cdlt,

Bonjour,

Ce lien existe bien.
Encore une fois les messages d’erreurs s’affichent bien pour les sites en http bloqués par squidguard.
Ces messages ne s’affichent en revanche pas pour les sites https bloqués. La est le problème.

Dans les logs de squidguard, les sites https bloqués apparaissent bien.

Désolé je te donne mes réponses un petit peu comme elles viennent…

Tu as quels version de squid/squidGuard ?

Je présume que tu as essayé sur d’autres machines d’accéder à ces sites et que ce n’est pas une histoire de cache du navigateur ?

Si je me rappelle bien il y a un fichier d’erreur pour le http et un pour le https et lorsqu’il y a un redirect ca ne pointe donc pas au même endroit. Si les logs te disent que tout va bien je pense qu’il faut directement tapé dans la mailing list de squid ?

Salut,

J’ai installé squid/squidguard en suivant de la doc mais je n’ai que peu de connaissances en ces produits.

Voila les version que j’utilise :
squid : Version: 3.1.6-1.2+squeeze
squidguard : Version: 1.4-2

Quand tu dit “Si je me rappelle bien il y a un fichier d’erreur pour le http et un pour le https et lorsqu’il y a un redirect ca ne pointe donc pas au même endroit.” ceci me parait être une piste très intéressante ! Si il faut, j’ai mal configuré les paramètres pour afficher le fichier d’erreur pour du https tout simplement !

Aurais tu plus de détails à ce sujet ?

En tout cas, merci de ton aide.

Je crois que la page d’erreur fourni par squidguard doit avoir le même protocole que la page appelée donc ici être en https. Il faut différencier les deux pages donc.

Il me semble qu’il y avait une méthode de contournement indiquant que c’était une redirection, essaye de mettre

302:http:// derrière le redirect:

par exemple

redirect 302:http://big.brother.censure.com/interdiction.html

Ouais, ça doit être ça…

Je sais que la version 3.6 n’est pas la version stable donc il peut y avoir des problèmes aussi de ce coté la. Sauf erreur, la version stable la 2.7, permet de mieux gérer les connexions, tandis que les version 3.x fournissent des options complémentaires plus basé sur l’esthétique… Par expérience j’ai eu des soucis avec les version 3.x, je te dirai de mettre la version stable quand même…

Bref, concernant les fichiers d’erreurs regarde du coté de /usr/share/squid/errors/fr et /usr/lib/cgi-bin/squidGuard-simple.cgi pour le redirect.
Regarde si tous les fichiers sont présents, les droits d’accès, etc.

Afin de tester essaie de redirect vers google ou autre et si ca ne fonctionne tjs pas c’est que tes ACL doivent être mal définies.

Si tu trouve tjrs pas, poste tes fichiers de conf et tes logs que j’essaie de trouver d’ou vient le souci (il me semble ca m’étais arrivé avec une version 3.x sous centOs)…

Bon courage !

Super, merci pour ces pistes je jette un oeil !

Bonjour,

Je rencontre le même problème expliqué par n0mam: page introuvable pour les sites en https (par exemple twitter.com/) dont je souhaite bloquer l’accès.

Je ne parviens pas à trouver où se situe l’erreur.
J’utilise Squid 2.6 et Squidguard 1.4.

Merci d’avance pour votre aide.

Bonsoir,

Avez-vous trouvé la solution à ce problème ?

Merci

Hello :slightly_smiling:

Le problème ne vient pas de Squid ou SquidGuard, mais du protocole https lui même. Il n’est pas prévu pour être redirigé.
Même si vous arrivez redirigé une url https bloqué vers une autre page en https bloqué avec un certificat valide : vous aurez quand même un soucis.

Imaginions que vous bloquiez le site de la française des jeux (au boulot on est pas là pour jouer) et que vous redirigiez le site bloqué vers Google (lui aussi en https maintenant par défaut), vous allez donc avoir :

google.fr/

Ben même là vous allez avoir un beau Warning du navigateur qui va dire : "Il y a un soucis mon gars, le certificat n’est valable que pour les domaines *.google.com *.google.fr *.google.es *.google.it *.google.de etc…)

Alors vous vous dites bon ben je vais rediriger vers du http normal alors.
Là aussi le navigateur va interpréter cela comme un comportement anormal et va faire un warning.

Sauf si l’on fait une redirection propre et c’est une chose sur laquelle je travaille dans mon entreprise.
Pour ma part j’ai arrêté avec SquidGuard qui n’est plus mis à jour depuis plus de quatre ans.
Le projet Ufdbguard est beaucoup plus réactif (juillet 2013) et performant. Son développeur répond aux questions par mail.
Lui même dans sa documentation soulève toute cette problématique de la redirection SSL.

La solution ? Faire du SSL bump (du man-in-the-middle en fait)
Un joli tuto ici : monblog.system-linux.net/blog/20 … us-debian/

Notez bien qu’il vous faudra un certificat valide, ou alors déployer avec un stratégie sur votre parc le certificat autosigné.

A titre personnel ma maquette n’est pas opérationnelle (malgré un certificat valide dans le navigateur) car nous rencontrons des difficultés avec WCCP (protocole CISCO de redirection des fluxs http, https). Pour ceux que ça intéresse je pourrai faire un retour dans ce thread.

Merci beaucoup pour votre réponse détaillée.