Fonctionnement
[ Accueil ] [ Fonctionnement ] [ Squid ] [ + sur squid ] [ SquidGuard ] [ + sur SquidGuard ]
Objectif.
Installer un système de proxy cache, principalement pour HTTP (éventuellement aussi pour FTP, dans certains cas). Ce proxy cache propose deux fonctions principales :
- l'optimisation de la bande passante sur le lien Internet, lorsque de nombreux clients sont connectés et qu'ils visitent plus ou moins les mêmes sites (à la condition, bien sûr, que ces sites ne soient pas trop dynamiques, ASP, JSP, PHP...
- le contrôle et le filtrage de l'accès à la toile, en se servant des URI et, éventuellement, des noms d'utilisateurs, si l'on fait de l'authentification de ces derniers, autant de choses qu'il est difficile, voire impossible de faire avec du filtrage de paquets.
Tout responsable d'un réseau local à l'usage de mineurs et connecté à l'Internet se doit de mettre en place un tel système de filtrage de manière à éviter, autant que possible, l'accès à des sites que la morale réprouve. Pas besoin de faire un dessin, n'est-ce pas ?
Présentation générale.
Squid, principal composant de ce système, assure les fonctions de :
- cache, pour optimiser la bande passante,
- authentification des utilisateurs, nous en verrons une simpliste,
- filtrage d'accès "basique", mais déjà intéressant.
SquidGuard propose un filtrage puissant d'accès au web, en fonction :
- de groupes d'utilisateurs, définis de diverses manières. Ici, nous nous baserons sur des IPs ou des groupes d'IPs, mais il est possible d'utiliser l'authentification des utilisateurs mise en place sur Squid,
- de listes de domaines et d'URI qui serviront à définir soit des cibles autorisées, soit des cibles interdites,
- de listes de domaines et d'URI qui ne serviront qu'à interdire l'accès aux cibles spécifiées,
- de plages horaires pendant lesquelles l'accès sera autorisé ou interdit
Et bien d'autres choses encore, que nous ne verrons pas ici.
Principe de fonctionnement.
Squid tourne en tâche de fond (daemon). Il écoute sur un port spécifique (3128 par défaut, mais il est possible d'utiliser 8080, plus habituel pour un proxy). L'éventuel module d'authentification vient se greffer dessus, ce qui fait apparaître un certain nombre de processus fils (5 par défaut).
SquidGuard vient également se greffer dessus et apparaît lui aussi sous la forme de processus fils (également 5 par défaut).
Au total, une fois Squid configuré, il n'y aura qu'à démarrer Squid et les processus d'authentification et de filtrage avancé démarreront avec.
Pour aller très vite, SquidGuard utilise le format de bases de données Berkeley pour travailler. Pour définir ces bases, l'administrateur a recours à des fichiers au format texte qui seront pré compilés en base de données ou compilés à la volée, suivant la façon de travailler.
Nous verrons que les "destination groups" constituent des bases pré compilées, alors que les "blacklists" sont compilées à la volée et résident uniquement en mémoire.
Ce détail a son importance, toute modification de l'un ou de l'autre ayant un impact différent sur le fonctionnement de SquidGuard, pendant la recompilation des informations.
Administration du tout.
Il existe deux modules Webmin suffisamment bien faits pour que l'on puisse ne pas hésiter à s'en servir, même si l'ergonomie générale oblige à pas mal jongler entre les modules Squid et SquidGuard.
Il faut faire très attention à ce que l'on fait et vérifier chaque fois que nécessaire que le but recherché est atteint. SquidGuard réserve pas mal de surprises à ce propos.
Bien entendu, il reste tout à fait possible de n'utiliser qu'un éditeur de texte, et ça reste probablement la solution la meilleure, si l'on a une configuration très complexe.
Dans le cas de SquidGuard principalement, une gestion fine des bases de données pour les groupes de destination et les blacklists ne pourra se faire qu'à partir de la ligne de commande. Nous ne ferons qu'effleurer le problème, si vous en arrivez là, c'est que vous êtes déjà assez pointus sur le sujet pour pouvoir vous débrouiller tout seul avec la documentation.