|
Prochaine révision
|
Révision précédente
|
tuto:ipasserelle:web:dansguardian [21/07/2010 11:18]
dani ardian |
tuto:ipasserelle:web:dansguardian [13/07/2012 10:45] (Version actuelle)
dani Page moved from dansguardian to tuto:ipasserelle:web:dansguardian |
| </code> | </code> |
| |
| | ==== extensions et types MIME ==== |
| | Par défaut, dansguardian bloque pas mal d'extensions et de types MIME, ce qui rend son utilisation plutôt pénible. Dans la plupart des cas, on pourra désactiver tout ces blocages en éditant **/etc/dansguardian/lists/bannedextensionlist** et **/etc/dansguardian/lists/bannedmimetypelist** et en commentant ce que l'on souhaite autoriser |
| |
| ==== Filtrage AV ==== | ==== Filtrage AV ==== |
| Il faut d'abord faire pointer dansguardian sur la configuration de clamav (Dansguardian peut utiliser d'autres moteurs d'AV | Il faut d'abord faire pointer dansguardian sur la configuration de clamav (Dansguardian peut utiliser d'autres moteurs d'AV |
| <code bash> | <code bash> |
| sed -i -e "s|#contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'|contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'|" /etc/dansguardian/dansguardian.conf | sed -i -e "s|#contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'|contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'|" \ |
| | /etc/dansguardian/dansguardian.conf |
| </code> | </code> |
| |
| Puis il faut configurer le plugin clamav, pour qu'il utilise le socket de clamd: | Puis il faut configurer le plugin clamav, pour qu'il utilise le socket de clamd: |
| <code bash> | <code bash> |
| sed -i -e "s|clamdudsfile = .*|clamdudsfile = '/var/clamav/clamd.socket'|" /etc/dansguardian/contentscanners/clamdscan.conf | sed -i -e "s|clamdudsfile = .*|clamdudsfile = '/var/clamav/clamd.socket'|" \ |
| | /etc/dansguardian/contentscanners/clamdscan.conf |
| </code> | </code> |
| |
| |
| ==== Configuration de Squid (log l'adresse d'origine) ==== | ==== Configuration de Squid (log l'adresse d'origine) ==== |
| Maintenant que tout est en place, nos clients demandent à dansguardian une page, ce dernier transmet la requête à squid, qui récupère la page. Le problème, c'est que maintenant, pour squid, toutes les requêtes viennent de 127.0.0.1. Nous allons modifier cela pour que l'adresse d'origine apparaisse dans les logs (l'adresse d'origine pourra aussi être utilisée pour les ACL, mais attention, cette astuce utilise l'entête X-Forwarded-For, qui n'est pas très fiable car facilement forgeable): | Maintenant que tout est en place, nos clients demandent à dansguardian une page, ce dernier transmet la requête à squid, qui récupère la page. Le problème, c'est que pour squid, toutes les requêtes viennent de 127.0.0.1. Nous allons modifier cela pour que l'adresse d'origine apparaisse dans les logs (l'adresse d'origine pourra aussi être utilisée pour les ACL, mais attention, cette astuce utilise l'entête X-Forwarded-For, qui n'est pas très fiable car facilement forgeable): |
| |
| <code bash> | <code bash> |
| ==== Filtrage par IP ==== | ==== Filtrage par IP ==== |
| |
| | Dans la plupart des cas, le filtrage par défaut conviendra, mais dans d'autres cas, il faut pouvoir ajuster les paramètres de filtrage de façon différentes pour certaines personnes. Une des façon de reconnaître la personne à l'origine de la requête est d'utiliser une authentification sur Squid. Mais ce n'est pas très pratique, notamment car le mode transparent est incompatible avec l'authentification (il faudrait donc configurer le proxy en dur sur tout les postes). |
| |
| | Une autre méthode, moins fiable certes, mais beaucoup plus pratique, est d'utiliser l'adresse IP source de la requête. |
| | |
| | Cela se déroule en plusieurs étapes: |
| | |
| | === Déclarer le nombre de groupes === |
| | Dansguardian doit connaitre le nombre total de groupe de filtrage. Ce paramètre s'inscrit dans le fichier principal /etc/dansguardian/dansguardian.conf. Par exemple: |
| | |
| | <code bash> |
| | sed -i -e "s|filtergroups = .*|filtergroups = 2|" /etc/dansguardian/dansguardian.conf |
| | cp -a /etc/dansguardian/dansguardianf1.conf /etc/dansguardian/dansguardianf2.conf |
| | </code> |
| | |
| | NOTE: pour chaque groupe existant, un fichier correspondant **/etc/dansguardian/dansguardianfN.conf** doit exister. On peut se baser sur le fichier primaire /etc/dansguardian/dansguardianf1.conf comme dans cet exemple. |
| | |
| | === Définir les groupes === |
| | Maintenant, il faut donner à dansguardian les critères de sélection du groupe. Puisque nous sommes partie pour utiliser l'adresse IP source, il faut: |
| | |
| | * activer le pluginq d'authentification par IP: |
| | <code bash> |
| | sed -i -e "s|#authplugin = '/etc/dansguardian/authplugins/ip.conf'|authplugin = '/etc/dansguardian/authplugins/ip.conf'|" \ |
| | /etc/dansguardian/dansguardian.conf |
| | </code> |
| | * Définir les IP (ou plages d'IP) en éditant le fichier **/etc/dansguardian/lists/authplugins/ipgroups** |
| | |
| | === Configurer les paramètres de filtrage pour chaque groupe === |
| | Maintenant que nos requêtes sont classées dans le groupe qui va bien en fonction de la source, il ne reste plus qu'à personnaliser le fichier /etc/dansguardian/dansguardianfX.conf selon ne besoins. |
| |