Mettre en place un filtrage global de l’accès Internet
mercredi 24 mars 2004, par Benoît Thébaud
Problématique
Plusieurs établissements scolaires (en particulier des écoles primaires) ont émis le souhait de conserver les possibilités de filtrage du serveur Linux Comedu sans pour autant vouloir en suivre l’utilisation l’individuelle et demander une authentification à tous les utilisateurs. Cette démarche est particulièrement adaptée à un filtrage par liste blanche (seuls les sites référencés par les enseignants sont accessibles). Vous trouverez ici les modifications à effectuer avec un éditeur de texte (vi ou mc en mode console ou kwrite avec l’interface graphique).
Conséquences
Le nom d’utilisateur et le mot de passe ne seront plus demandés lors de l’accès à une page web. Le filtrage sera donc global pour tous les utilisateurs. Le suivi des sites visités n’affichera que le numéro IP du poste qui a servi à la connexion Internet.
Sauvegarde des fichiers
Il est essentiel dans un premier temps de sauvegarder les fichiers squid.conf et squidGuard.conf du dossier /etc/squid.
Modifications
Dans /etc/squid.conf, repérez les lignes suivantes et suivez cet exemple :
#authenticate_program /usr/lib/squid/pam_auth
#acl domainusers proxy_auth REQUIRED
#http_access allow domainusers
http_access allow localhost
http_access allow all
Sauvegardez le fichier sous le même nom.
Dans /etc/squidGuard.conf, repérez les lignes suivantes et suivez cet exemple :
pour tout autoriser :
default {
pass any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u
pour tout autoriser sauf :
default {
pass !interdit !adult any
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u
pour tout interdire sauf :
default {
pass autorise none
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u
Dans les deux derniers cas, les groupes interdit et autorise doivent avoir été créés dans "Destination Groups".
Sauvegardez le fichier sous le même nom.
Relancer Squid avec un :
service squid restart
Vérifier que SquidGuard fonctionne correctement avec un :
tail /var/log/squidGuard/squidGuard.log
Vous trouverez plus d’explications sur le paramétrage de squidGuard dans l’article suivant.
Attention
Il n’est alors plus possible d’utiliser la fonction Access Control Rules du module de Webmin consacré à SquidGuard, tout changement du compte via cette interface détériore le fichier /etc/squidGuard.conf. La fonction Destination Groups est par contre tout à fait utilisable.
[ Imprimer cet article ] [ Haut ] []
|