Squid configuration / accès local bloquer

Support Debian
#1

Bonjour,

Voila je suis en alternance dans une entreprise X et on m’a demandé d’installer un proxy avec comme critères les suivants :

  • Blocage de l’accès internet aux utilisateurs normaux
  • Autorise l’accès internet a tout le monde de 12h00 a 14h00
  • Autoriser certains sites que l’on a besoin pour travailler a tout moment de la journée.
  • les Responsables doivent avoir accès n’importe quand à n’importe quelle moment de la journée au site qu’il désire.
  • Les Apllications local doivent marcher tout le temps

Suite à ça j’ai modifier mon fichier de conf “squid.conf” et après test je répond a tout les critères sauf 1 !
Je m’explique : j’ai un réseau en 192.168.0.0/24, où dessus j’ai des accès à des applications comme bodet ( visualtion des horaires de la badgeuse )ou effab ( application servant a la gestion de dossier pour les différents services )
Le seul problème c’est que mes urls sont les suivantes :

dans ma white-list j’ai donc essayer de rajouter directement les urls mais j’ai le message suivant :

Le serveur DNS a retourné :
Server Failure: The name server was unable to process this query.

et lorsque dans ma white liste je rajoute les urls et que je remplace les noms de mes serveurs par les ips qui correspondent je n’ai plus le blocage mais il me demande une authentification windows normal ( comme si je me connecter en bureau a distance windows )

A noter que mon squid est installé sur un server ubuntu 12.0.4
Je ne sais pas trop d’ou vient mon probleme et j’aimerai avoir un petit indice ou une solution si vous avez.

Je vous joint mes fichier de confs.

SQUID.conf

acl manager proto cache_object
acl Responsable src 192.168.0.77
acl utilisateur src 192.168.0.0/24
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe-ports port 901 # Swat
acl purge method PURGE
acl CONNECT method CONNECT
acl goodsite url_regex "/etc/squid3/squid-allow.acl"
acl midi time 12:00-14:00
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow responsable
http_access allow goodsite
http_access allow utilisateur midi
http_access deny utilisateur
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
cache_effective_user proxy
visible_hostname ubuntu-squid
cache_effective_group proxy

allow-acl.conf




fafab-srv1/open/login;jsessionid=2BECF095CC1996258F9DFF8A516DBA89
effab/effab

En attente d’une réponse.
Merci d’avance.

Cordialement,

Anthony

#2

je connais pas squid, mais j’ai vu que t’avais autorisé des ports.

Et que ton lien était sur le port 8092, tu peux pas whitelisté les ports des applications aussi/plutôt ? Bon je sais c’est pas ce que tu veux faire au départ , mais le résultat serait identique non?^^

#3

Salut Kristy,

Merci de ton aide,
lorsque je whitelist le port de mon application en question, j’ai toujours le même message qui reviens :

"Le serveur DNS a retourné :

Server Failure: The name server was unable to process this query."

et je cherche tout simplement a autorisé les 2 liens cité au dessus. ^^
Si quelqu’un a une autre piste je veux bien !

#4

Il s’agit manifestement d’une erreur de résolution DNS. Quels sont les serveurs DNS interrogés par le proxy ? Savent-ils résoudre les noms des serveurs internes ? Acceptent-ils les requêtes DNS du proxy ?

#5

oui en effet il s’agit bien d’un probleme de résolution DNS.
J’ai encore pas mal avancé ce matin sur le sujet, j’ai ajouter mon server linux qui contient squid sur mon domaine windows. A présent je vois bien mon serveur linux sur mon domaine windows et quand je ping mes différents serveurs windows depuis mon serveur squid ( je ping via le nom des serveurs ) j’ai bien une réponse.

De plus quand je modifie les liens et qu’a la place du noms des serveurs je met l’ip des servers en question sa passe … Mais étant donné que tout les utilisateurs ont les liens enregistrés sur leur postes avec directement le nom du serveur, et pas l’ip, je persiste a trouver comment résoudre ce problème de résolution DNS.

pour ce qui est des serveurs DNS intérrogés par le proxy je ne sais pas comment le savoir. pour moi étant donné que lorsque je ping mon serveur par exemple : “fafab-srv1” et qu’il me répond et me donne l’ip du serveur en question. je pense donc qu’il résoud les noms des serveur internes.
Et comment ça ils acceptent les requêtes dns du proxy ?

#6

Utilise la commande dédiée [mono]host[/mono] plutôt que ping pour vérifier la résolution DNS.
Aussi, les noms des serveurs dans les URL sont des noms complets ou bien il faut ajouter un domaine derrière pour obtenir le nom complet ? Dans ce cas il faudrait peut-être activer la directive dns_defnames dans la configuration de squid.

#7

Bonjour Pascal,

Lorsque je fais des hosts j’ai bien squid qui me répond et qui me donne bien les adresses ips des serveurs concernés.

root@UBUNTU-SQUID:/etc/squid3# host fafab-srv1
fafab-srv1.Fafab.fr has address 192.168.0.14
root@UBUNTU-SQUID:/etc/squid3# host effab
effab.Fafab.fr has address 192.168.0.13

mes urls sont les suivantes, donc pas de domaine dans les urls, juste les noms des serveurs.

fafab-srv1:8089/open/login;jsess … 8A516DBA89
effab/effab

je vais me renseigner sue cette notion de dns_defnames car je n’en ai pas entendu parler. Je regarde ça.

#8

Du nouveau sur mon squid et sur mon proxy.

Vous avez le droit de dire que je suis un boulet ! Oui !
Je me suis aperçu que quand je configurer mon proxy sur un navigateur il y a une petite case a choser sur IE " ne pas utiliser de server proxy pour les adresses locales "
Après avoir cocher la case, ça marche, a conditions que le nom de mes serveurs et les ips auquel je veux accéder en local soit renseigner dans ma whitelist, donc apparament mes adresses locales passent quand même par squid, mais bon, au moins sa marche …

Par contre un dernier petit problème survient :
Lorsque je me connecte a l’url suivante : effab ( ip : 192.168.0.13 )
J’ai ma page qui s’affiche avec 5 choix possible qui correspondent a 5 apllications différents.
Parmi ses 5 choix, lorsque l’on clique sur certains choix, on est rediriger vers un autre serveur ( 192.168.0.17 ) et une authentifiction est demandé avant de laisser la connexion.
la redirection marche bien, cependant a défaut que la page s’affiche et qu’il me demande bien l’authentification, je rentre mes login et mots de passe qui sont correctes, mais c’est comme si il ne reconnaissait pas mes login et il me rejette l’accès a chaque fois.

Je pense que c’est Squid qui me jette mais je n’ai pas de certitude, et du fait qu’il ne prenne pas mes logins en compte je n’arrive pas a accéder a mon application.
Quelqu’un aurait une idée ?

#9

Alors qu’on voit bien avec la commande host qu’il faut ajouter le domaine .Fafab.fr pour résoudre le nom, ce que, si j’ai bien compris, squid ne fait pas par défaut sans l’option précitée. Qu’est-ce que ça donne si tu l’ajoutes au nom d’hôte dans l’URL ?

La demande d’authentification est-elle normale, se produit-elle aussi en accès direct sans passer par le proxy ? Si oui, consulter les logs d’accès de l’application. Si non, consulter les logs du proxy.