Académique Documents
Professionnel Documents
Culture Documents
apt-get install squid3 Faire la commande suivante pour enlever tous les commentaires : grep -E -v '^(#|$)' /etc/squid/squid.conf >> newfichier mv newfichier squid.conf Modifier ce fichier : /etc/squid3/squid.conf
always_direct allow all acl ourLANs src 192.168.1.0/24 http_access allow ourLANs /etc/init.d/squid restart Tester la connexion Squid (@IP:3128) Pour voir les connexions actives : netstat -natp Possible de montrer les logs : tail -f /var/log/squid3/access.log
DANSGUARDIAN
apt-get install dansguardian clamav-daemon clamav-freshclam Modifier ce fichier /etc/dansguardian/dansguardian.conf Pour activer la configuration, il faut commenter ou supprimer cette ligne : #UNCONFIGURED Cette ligne permet davoir les messages en franais en cas de blocage des sites : language = 'french' Cette ligne permet dactiver lantivirus : virusscan = on virusengine = 'clamav' contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
Tous les filtres se trouve dans /etc/dansguardian/lists Exemple, modifier le fichier bannedsitelist et ajouter un site a bloquer (facebook.com) Il est possible de crer un script pour MAJ auto les listes,
#!/bin/bash cd /etc/dansguardian/lists/blacklists wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz tar -xvzf blacklists.tar.gz -C /etc/dansguardian/lists/blacklists /etc/init.d/dansguardian stop /etc/init.d/dansguardian start
Une fois la configuration faites,il faut tlcharger les MAJ de ClamAV, faire la commande suivante dans un terminal : freshclam Puis faire redmarrer Dansguardian pour prendre la nouvelle configuration : /etc/init.d/dansguardian stop puis start Tester la connexion Dansguardian (@IP:8080)
Tester que le site facebook.com n'est pas accessible. Tester avec un mot interdit Tester ClamAV en allant sur eicar.org et tlcharger eicar.com.txt
WPAD
apt-get install apache2 Puis modifier ce fichier : /etc/apache2/httpd.conf Puis ajouter : AddType application/x-ns-proxy-autoconfig .dat Ensuite, crer ce fichier :
nano /var/www/wpad.dat
Puis y mettre : function FindProxyForURL(url, host) { if (isInNet(host, "x.x.x.0", "255.255.255.0")) return "DIRECT"; else return "PROXY x.x.x.x:8080"; } Remplacer "x.x.x.0", "255.255.255.0" par votre rseau et "PROXY x.x.x.x:8080" par IP et port de Proxy. /etc/init.d/apache2 restart Ensuite, il faut installer un DHCP sur Windows 2008, une fois celui-ci configur faire : Clique droit sur IPV4 --> Dfinir les options prdfinies puis Ajouter Remplir comme ceci puis cliquer sur OK
Vrifier que la nouvelle entre est ajoute dans les Options dtendue.
Dmarrer un PC lambda, puis lancer IE. Outils --> Options Internet--> Connexions--> Parametres rseau--> Dtecter automatiquement les parametres...
Redmarrer pour tre sur de la prise en compte de la modification, se loguer, puis lancer IE, google, et tester avec un mot bannis ou site bannis.
SARG
apt-get install sarg puis modifier : /etc/sarg/sarg.conf access_log /var/log/dansguardian/access.log report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads denied output_dir /var/www/html/squid-reports dansguardian_conf /etc/dansguardian/dansguardian.conf Il faut galement remodifier la configuration de DansGuardian, /etc/dansguardian/dansguardian.conf Mettre : loglevel = 3 logfileformat = 3 Puis supprimer lancien fichier de log : /var/log/dansguardian/access.log /etc/init.d/dansguardian stop /etc/init.d/dansguardian start Ensuite, simplement faire sarg dans une console puis les rapports se font, aller sur le serveur web pour voir les logs.
Authentification AD
Sur Windows 2008, faire un DCPROMO et crer une AD Windows 2000, ensuite crer un OU et y placer les utilisateurs dedans. Sur Linux, faire : apt-get install samba krb5-user libpam-krb5 ntpdate winbind Si info demand, ne rien mettre ! Puis faire : apt-get update apt-get upgrade
Puis stopper les services : /etc/init.d/winbind stop /etc/init.d/smbd stop /etc/init.d/nmbd stop Modifier les fichiers comme prciser dans tuto (attention la casse !)
/etc/samba/smb.conf
[global] workgroup = SQUID realm = SQUID.ORG netbios name = proxy-squid log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d security = ads password server = 192.168.1.100 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum groups = yes winbind enum users = yes winbind use default domain = yes
/etc/krb5.conf
[libdefaults] default_realm = SQUID.ORG [realms] SQUID.ORG = { kdc = WIN-0BKAF5NN572 admin_server = WIN-0BKAF5NN572 } [domain_realm] .squid = SQUID squid = SQUID
/etc/hostname
/etc/resolv.conf
kinit Administrateur
(On peut faire un klist pour vrifier que nous sommes authentifi(obtention dun jeton))
Il faut modifier certains droits : chown -R proxy:root /var/log/squid3 chown -R proxy:root /var/run/samba/winbindd_privileged chmod 777 -R /var/run/samba/winbindd_privileged usermod -a -G winbindd_priv proxy
Puis dmarrer les services : /etc/init.d/winbind start /etc/init.d/smbd start /etc/init.d/nmbd start
On peut maintenant ajouter notre poste au domaine net ads join -U Administrateur ou /usr/bin/net.samba3 ads join -U Administrateur
Si DNS update failed!, cest que lentre sur le DNS de Windows 2008 nest pas bonne. (Mais cette entre nest pas trs importante...) En regardant sur Windows 2008, on doit voir la machine Linux dans Active Directory.
Pour vrifier que tout fonctionne correctement, on peux faire les commandes suivantes pour tester : net ads testjoin
wbinfo -t
wbinfo -u
wbinfo -g
wbinfo -m
Ensuite, on peut tester que NTLM puisse sauthentifier auprs de AD avec : /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Se connecter sur le proxy (3128) avec un utilisateur de AD (connexion autorise) et un utilisateur lambda (Login/Passwd demand)
Il faut ensuite modifier le fichier dansguardian.conf pour activer la fonction dauthentification. Recherche la section authplugin puis dcommenter ce plug-in : authplugin = '/etc/dansguardian/authplugins/proxy-ntlm.conf'