Pages : 1
#1 Le 28/11/2017, à 15:26
- francois_maru
Squid et squiguard
Bonjour,
J'essaie d'installer un filtre parental en passant par squid squidguard mais j'ai quelque soucis. Les flux sont bien renvoyés vers squid qui filtre mais il ne filtre pas tout, si je prends une des premières adresses de squidguard/db/adult/domains elle va être bloqué, en revanche les sites les plus connut ou trouvable sur google passe sans problème. La liste est pourtant à jours (liste de Toulouse et j'ai tenté celle de shalla aussi, même résultat).
squidGuard -u :
2017-11-28 12:02:50 [11991] squidGuard: can't write to logfile /var/log/squidguard/squidGuard.log
2017-11-28 12:02:50 [11991] squidGuard: FATAL: can't open configfile /etc/squidguard/squidGuard.conf
2017-11-28 12:02:50 [11991] ERROR: Going into emergency mode
ls -la /var/log/squidguard :
drwxr-xr-x 2 proxy proxy 4096 nov. 27 20:38 .
drwxrwxr-x 14 root syslog 4096 nov. 27 18:01 ..
-rw-r----- 1 proxy proxy 42734 nov. 27 17:36 squidGuard.log
ls -la /etc/squidguard :
drwxr-xr-x 2 proxy proxy 4096 nov. 27 20:14 .
drwxr-xr-x 132 root root 12288 nov. 27 18:15 ..
-rw-r--r-- 1 proxy proxy 1817 août 24 21:04 errorpage.css
-rw-r--r-- 1 proxy proxy 1024 nov. 27 19:09 squid.conf
-rw-r--r-- 1 proxy proxy 290586 août 24 21:04 squid.conf.old
squid -z :
2017/11/28 12:04:35| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2017/11/28 12:04:35| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2017/11/28 12:04:35| WARNING: For now we will assume you meant to write /32
2017/11/28 12:04:35| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2017/11/28 12:04:35| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2017/11/28 12:04:35| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2017/11/28 12:04:35| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2017/11/28 12:04:35| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2017/11/28 12:04:35| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
WARNING: Cannot write log file: /var/log/squid/cache.log
/var/log/squid/cache.log: Permission denied
messages will be sent to 'stderr'.
2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
2017/11/28 12:04:35| ALERT: setgid: (1) Operation not permitted
2017/11/28 12:04:35| storeDirWriteCleanLogs: Starting...
2017/11/28 12:04:35| Finished. Wrote 0 entries.
2017/11/28 12:04:35| Took 0.00 seconds ( 0.00 entries/sec).
FATAL: Ipc::Mem::Segment::create failed to shm_open(/squid-cf__metadata.shm): (17) File exists
Squid Cache (Version 3.5.23): Terminated abnormally.
CPU Usage: 0.006 seconds = 0.000 user + 0.006 sys
Maximum Resident Size: 46288 KB
Page faults with physical i/o: 6
/etc/squidguard/squidGuard.conf :
dbhome /var/lib/squidguard/db
logdir /var/log/squidguard
dest adult {
domainlist adult/domains
urllist adult/urls
}
dest agressif {
domainlist agressif/domains
urllist agressif/urls
}
dest sect {
domainlist sect/domains
urllist sect/urls
}
acl {
default {
pass !adult !agressif !sect all
redirect http://www.ovh.com/fr/images/hosting/astuce_htaccess/interdit.jpg
}
}
/etc/squid/squid.conf :
cache_effective_user proxy
cache_effective_group proxy
visible_hostname none
http_port 3128 transparent
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl serveur src 192.168.0.1
acl poste src 192.168.0.50
acl multipostes src 192.168.0.100-192.168.0.125
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # ssl
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow all
url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf
url_rewrite_children 10
Avant ça j'ai eu une erreur : "can't open db/adult/domain, emergencey mode" lorsque je lançais squidGuard -u, pourtant il y avait les bons droits je pense :
sudo ls -la /var/lib/squidguard/db/adult :
drwxrws--- 2 proxy proxy 4096 nov. 27 20:30 .
drwxrws--- 5 proxy proxy 4096 nov. 27 18:49 ..
-rwxrwx--- 1 proxy proxy 48594511 nov. 27 19:55 domains
-rwxrwx--- 1 proxy proxy 107028480 nov. 27 20:35 domains.db
-rwxrwx--- 1 proxy proxy 0 oct. 18 2005 expressions
-rwxrwx--- 1 proxy proxy 2904627 nov. 26 22:40 urls
-rwxrwx--- 1 proxy proxy 6520832 nov. 27 20:35 urls.db
-rwxrwx--- 1 proxy proxy 17 oct. 18 2005 usage
Qui a été résolu par la commande : /usr/sbin/update-squidguard
Je suis un peu perdu là, si l'un d'entre vous pouvais m'aider se serait avec joie.
Merci d'avance.
Hors ligne
#2 Le 29/11/2017, à 02:16
- francois_maru
Re : Squid et squiguard
Il semblerait que le soucis viennent du https, les sites dont je m'étonnais qu'il passe l'utilisent, si l'on passe sur la version http il n'y a pas de soucis en revanche. Je reste bloqué pour autant s'il y a une bonne âme pour m'expliquer ; j'ai cru comprendre que ça venait du fait qu'on lui dise d'être transparent, en même temps si je ne lui dis pas j'ai des soucis aussi (ne plus pouvoir accéder à certaines adresses qui ne posent pas problème).
Dernière modification par francois_maru (Le 29/11/2017, à 02:17)
Hors ligne
#3 Le 29/11/2017, à 14:19
- francois_maru
Re : Squid et squiguard
Après recherche il est impossible de simplement filtrer les flux https. Il faut tout d'abord compiler squid car il est souvent compiler sans la fonction ssl. Ensuite il va falloir créer des certificat de sécurité et l'indiquer dans la configuration de squid afin qu'il joue le rôle d'homme du milieu. Je ne sais pas ce qu'il en est point de vu sécurité et contrainte de cette méthode.
L'autre solution semble donc de passer en mode non transparent, je n'ai pas encore testé mais si ça fonctionne il faut encore trouver comment empêcher l'utilisateur de ne pas modifier les paramètres proxy de son navigateur.
Dernière modification par francois_maru (Le 29/11/2017, à 14:21)
Hors ligne
Pages : 1