Squid3/Squidguard sur cloud. questions

Support Debian
#1

Bonjour à tous,

j’ai suivi ce tuto : http://syskb.com/installer-proxy-squid-controle-parental/

Qui permet de faire un serveur proxy Squid3/Squidguard sur un serveur distant, afin de pouvoir bloquer plusieurs sites informatiques dans des batiments séparés sans avoir besoin de placer des serveurs physiques sur places.

J’ai fait le tuto pour tester (sur un debian en local) et ça marche parfaitement.

Ma question si j’installe ça sur OVH : sur les logs, est-ce qu’on verra l’ip publique du fai ? ou ip publique + adresse mac internet ? (voir ip local du pc client). Car c’est pour un réseau de médiathèques, et en cas de problème on doit être en mesure de fournir les logs à la gendarmerie.

Autre question, les logs s’effacent au bout de combien de temps ?

Merci d’avance

#2

Bonjour,

tu peux modifier à ta guise la durée de rétention et la fréquence de rotation des logs dans le fichier de config mis dans logrotate (de tête /etc/logrotate.d/squid3.conf sauf erreur de ma part).

L’ip qui se connecte sur le squid3 sera normalement celle du FAI si tu fais du partage de connexion.

L’adresse mac sera celle du dernier équipement réseau intermédiaire.

Il n’y a pas de compte de connexion sur les machines ?

Tu filtre comment l’accès au proxy pour éviter que n’importe qui y accède ?

#3

Salut Grigric, merci pour ta réponse !

Pour le logrotate, j’ai bien trouvé le fichier mais je ne sais pas quoi et où placer pour pouvoir modifier la fréquences des logs pour squidguard, voici ce que j’ai dans ce fichier :

# see "man logrotate" for details
# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

# create new (empty) log files after rotating old ones
create

# uncomment this if you want your log files compressed
#compress

# packages drop log rotation information into this directory
include /etc/logrotate.d

# no packages own wtmp, or btmp -- we'll rotate them here
/var/log/wtmp {
    missingok
    monthly
    create 0664 root utmp
    rotate 1
}

/var/log/btmp {
    missingok
    monthly
    create 0660 root utmp
    rotate 1
}

# system-specific logs may be configured here

Pour l’ip du FAI, je pensais déjà à ça, mais tu veux dire quoi par partage de connexion ? Normalement oui c’est juste des simples routeur adsl qui partage en DHCP la connexion.

Pour l’adresse mac, du coup c’est mort, je n’aurai aucune preuve pour dire que ça été fait sur telle machine ?

Non il n’y a aucun compte de connexion (par manque de moyen surtout), tu connais pas une solution par hasard ?

Pour filtrer l’accès au proxy c’est expliqué dans le tuto,

acl CONNECT method CONNECT 
acl homeaccess src 82.232.228.17/32

http_access allow localhost 
http_access allow homeaccess 
http_access deny all
#4

Bonjour,
pour optimiser la sécurité, je conseille de configurer aussi l’ip public dans le firewall pour que personne ne voit le proxy car si tu ne configures que le proxy, il est visible par un scan, sans oublier ssh autorisé uniquement pour ton ip.

Pour logrotate, faut lire la doc :o)
weekly veut dire que le log tourne chaque semaine.
rotate 4 veut dire que tu gardes 4 fichiers.

Comme il y a 52 semaines dans une année, tu peux remplacer comme suit:

rotate 52

#5

pour s’authentifier il existe plusieurs possibilités, comme

  • radius
  • openLdap
  • samba et kerberos
#6

“Configurer l’ip public dans le firewall” tu parles sur OVH ? car ce serveur proxy sera hébergé sur OVH. Dans nos services il y aura juste un routeur (pour l’adsl et DHCP) et les postes clients.

Pour que le proxy soit pas visible, dans le tuto ils parlent de ça :

Masquer l’utilisation du proxy sur Internet
Pour surfer sur Internet via le proxy Squid sans que celui ci soit détecté j’ajoute la ligne suivante à la fin de mon fichier :

forwarded_for off

Merci pour logrotate, je vais me pencher là dessus :slight_smile:

Pour tes exemples d’authentification, je pense que ça m’a l’air vraiment compliqué, surtout qu’on a pas de machine supplémentaire pour pouvoir faire ça :confused:

#7

oui, je pensais au firewall sur le squid3 pour le cacher.
je te conseille shorewall pour gérer tes règles iptables.

le serveur d’authentification serait au niveau de la médiathèque. Si tu ne peux pas mettre de serveur supplémentaire, tu peux mettre un mot de passe au niveau du proxy géré dans un fichier de mot de passe comme ici.

#8

le soucis, c’est que ce proxy sera global, utilisé pour plusieurs Ip publiques (plusieurs batiments).
Du coup, pour mettre un serveur d’authentification sur place et qui gère plusieurs sites, je sais juste pas faire :confused:

Pour le fichier de mot de passe directement sur le proxy, c’est pas bête, mais pour rajouter des utilisateurs ça veut dire qu’il faut se connecter à chaque fois au serveur, vu qu’il n’y a pas d’interface web (car en fait, ce n’est pas toujours moi qui est sur place, donc à chaque fois qu’une personne va venir, qui n’est pas inscrite, on va devoir l’ajouter dans la base)

#9

il existe sinon alcasar qui est un projet très intéressant et qui permet d’installer beaucoup de fonctionnalité sans être developpeur :
http://www.alcasar.net/

#10

ça m’a l’air très intéressant en effet !

Tu penses qu’il serait possible d’utiliser à la fois alcasar et le proxy que j’aurai fait sur OVH ?

Et puis, si je fais un serveur Alcasar, est-il possible que d’autres batiments se connectent dessus ? (à distance), je veux dire que si par exemple on est un réseau de 5 médiathèques, avec des ordinateurs qui permet d’aller sur le net (qui sont tous reliés au proxy), il est possible que ces pc interrogent le serveur alcasar pour les comptes d’utilisateurs ?

Par exemple :
Mediatheque principale où il y aura le serveur Alcasar :
Box internet > Serveur > 6 pc en salle info reliés à ce serveur

2eme médiathèque :
Box internet > 1 ou 2 pc qui sont peuvent s’authentifier grace au serveur à la med principale

Merci en tout cas

#11

En fait Alcasar est un proxy, il pourrait remplacer celui que tu as mis en place.

Par contre, fais un backup (moi j’utilise rescueCd pour ça) de ton proxy avant de metre alcasar, au cas où tu souhaiterai revenir en arrière…

Et un backup une fois le proxy en place, comme ça, en cas de soucis tu peux le re installer (restaurer) en 10 minutes.

#12

tu peux meme mettre le proxy dans une de tes mediatech et tout le monde passe par lui, pas forcément besoin de OVH…
Faut juste que tu puisses ajouter une règle au firewall sortant pour les autres mediatech