IP COP

Salut,

Voila, je vous avais promis de le mettre si j’y arrivais,

et j’y suis ARRIVÉ

Donc me voici avec une Faq lourde de responsabilité, car c’est de nos petits bouts que l’on parle !!!

Alors procurez-vous la dernière version d’IPCOP (pour toute les failles de sécu)

L’installer, ils vous le disent tous, c’est grosso modo ¼ d’heure 20 mn,

mais voila on ne trouve pratiquement pas comment faire après,

et c’est là que JE vais vous économiser plusieurs heures de galère (de rien, de rien ;-)

Si vous avez un modem style routeur, rien de plus facile il suffit de le mettre sur la carte ROUGE et de mettre le reste du réseau sur la carte VERTE.

Le paramétrage des machines est assez simple en fait, il faut dans l’option « Outils/Options Internet/connexions/Paramètres réseau »

cocher
"Utiliser un serveur Proxy" et
"Ne pas utiliser pour les adresses locales"

et la feinte est là, ne rien mettre dedans,

pas d’adresse,

rien quedale (j’ai mis un certain temps à le deviner !!!!)

c’est pour ça que l’on appelle ça un Proxy silencieux !!!

Il suffit ensuite, de mettre comme passerelle l'IP d'IPCOP du côtés vert

et comme serveur DNS la même chose (les dns du FAI dans la config d'IPCOP)



Ensuite j’ai trouvé un Faq sur l’Install et le paramétrage du filtre page web,

une université qui met à jour une black liste et un certain nombre de fenêtres de pub.

Voici le lien de "PETIT POUPLE" je le remet à ma sauce mais la trame est la même http://perso.magic.fr/informat03043a/

J’ai utilisé pour mettre les fichiers sur mon IPCOP, WinSCP3 petit logiciel très efficace genre ftp

Putty et en fait une fenêtre genre "msdos" pour être directement sur la machine IPCOP de n’importe ou, du côté VERT (par le port 222 en SSH).

Voila, y’a qu’à suivre les instructions :

Installer IPCOP sur une vieille machine, perso= PII 125, 128 de ram, une alim de 120 watt, une carte vidéo sur port isa.

Procédure d'installation de Petit-poulpe sur IPCOP 1.x

Récupérer les utilitaires :

PUTTY et WINSCP3 les installer sur un pc client.

Connectez vous à l'aide de votre navigateur sur le serveur IPCOP avec "https://x.x.x.x:445" ou x.x.x.x est l'IP de votre passerelle IPCOP.

Activez SSH dans les menus d'administration d' IPCOP.

Si le cache n'est pas activé, activez le dans le menu serveur mandataire (Proxy).

Se connecter avec WinSCP3 (port 222) à la passerelle IPCOP en tant que "root" pour y copier le fichier install-squidGuard-ipcop.tar.gz à la racine /. (le "cd .." marche terrible aussi sur linux ;-)

Extraire le fichier tar.gz en tapant :
"./tar -xvzf petit-poulpe-yyy-mm-dd.tar.gz" ou yyyy pour l'année, mm le mois et dd le jour.

allez dans le répertoire "/home/outils/cmd" et installez squidGuard en tapant: "./maj_squidguard.sh"

et c’est tout !!!

Attention, si vous modifiez le cache via l'interface d'IPCOP, il faut réactiver Petit-Poulpe avec :
"./activation_squidguard.sh"

Pour tester si squidGuard est actif entrez :
"./test_squidguard.sh" et vous aurez la réponse.

De son navigateur on peut aussi taper :
"http://adresse_ipcop:81/control/test_squidguard.cgi"

Pour mettre à jour les listes noires il suffit de taper:

Dans "/home/outils/cmd/" "./maj_squidguard.sh"

Pour automatiser la mise à jour des listes noires par wget utiliser la commande :
"./install_crontab.sh"

Cette commande installe les tâches suivantes dans le fichier crontab.

Une capture du fichier :

Citation :

59 5 * * * /etc/rc.d/rc.red stop # on ferme la connexion a 05h59
#0 6 * * * /etc/rc.d/rc.red start # on l'ouvre a 06h00
##
mise a jour de squidguard
#3
0 6 * * * /home/outils/cmd/maj_squidguard.sh > /home/outils/log/maj_squidguard.log
##
gestion d'un poste avec un onduleur (remplacer localhost par l'adresse IP du poste ger
ant l'onduleur)
##
* * * * * /home/outils/cmd/test_alim.sh localhost
##
gestion de reconnexion toutes les 5 minutes (ne fonctionne que si pppoe)
##
*/5 * * * * /home/outils/cmd/test_connexion.sh

Vous pouvez alors les modifier en utilisant la commande :
crontab –e (ou le télécharger et le remettre en place après ;-)

La première tâche ferme la connexion à 5h59 chaque jour.
La deuxième l'ouvre à 6h00 (donc je suppose que l’on peut gérer les heures de connexion par ce biais).

Elle est en commentaire car une tâche (test_connexion.sh), veille au grain en cas de déconnexion intempestive.

Le script "/home/outils/cmd/maj_squidguard.sh" récupère les "blacklists" sur le site de l'université de Toulouse dédié à squidGuard :
http://cri.univtlse1.fr/documentations/cache/squidguard.html

On peut enrichir ces lites à cette adresse :
http://cri.univ-tlse1.fr/cgi-bin/squidguard_modify.cgi.


Pour ne pas mélanger les listes des blacklists et vos propres listes, il existe une partie de la base

squidGuard dédiée à vos besoins :
"/usr/local/squidGuard/db/indesirable
root@lxhdvfire02:/usr/local/squidGuard/db/indesirable # ls pornographie video
root@lxhdvfire02:/usr/local/squidGuard/db/indesirable # cd pornographie/
root@lxhdvfire02:/usr/local/squidGuard/db/indesirable/pornographie # ls expressions
root@lxhdvfire02:/usr/local/squidGuard/db/indesirable/pornographie #"

Attention ! Les fichiers domains, urls et expressions ne doivent jamais être vides, sinon squidGuard ne filtre plus rien (bug ?).

Le fichier expressions contient des chaînes regex du type :

(^|[%27%22"'-\?+=&/_\.])(porno|sex)([%27%22'"-\?+=&/_\.]|$)

Voir par exemple le fichier d'aide :
http://www.sri.ucl.ac.be/SRI/jpk/manuelMacSOUP/regex.html

Si vous ne modifiez que indesirable/pornographie/expressions tapez uniquement :
"squid -k reconfigure"

Si vous modifiez indesirable/mon_rep/urls ou indesirale/mon_rep/domains

Pour tester sa liste d'expressions ou s'il a des effets bizarres le script troule.pl permet de lever les doutes.

Par exemple en tant qu'admirateur de Dick RIVERS, vous ne comprenez pas pourquoi la recherche de cet artiste via Google vous est interdite...

Tapez alors :
"/home/outils/trouve.plwww.google.fr/search?q=dick+rivers"

et oh! Stupeur... petit-poulpe répond :
On cherche pour "=www.google.fr/search?q=dick+rivers
--- l'expression "=dick+ "a ete trouve grace a la regex

(^|[-\?+=&/_])(big|cyber|hard|huge|mega|small|soft|super|tiny)?(anal|babe|
bharath|boob|breast|busen|busty|clit|cunt|dick|fetish|fuck|hooter|lez|lust|
naked|nude|oral|orgy|porn|porno|pupper|pussy|rotten|sex|shit|smutpump|teen|
topp?les|uro|xxx)s?([-\?+=&/_]|$)

Car dick en anglais veut dire..., enfin vous trouverez bien par vous même !

Les scripts :

activation_squidguard.sh...........................=>...........................Active petit-poulpe

crontab.def ...............................................=>.......................... Un exemple de crontab

desactivation_squidguard.sh.....................=>...........................Désactive petit-poulpe

ftpget_blacklists.sh ...................................=>...........................Récupère la blacklists à jour

generation_squidguard_conf.pl ................=>...........................Génération de squidGuard.conf

gzip_log_squidguard.sh ............................=>...........................Compresse les logs de squidGuard

install_crontab.sh ......................................=>...........................Installe crontab.def

ip.sh ..........................................................=>...........................Donne l' adresse IP de PPP0

liste_sites.sh .............................................=>...........................Liste les sites qui ont été accédés

maj_squidguard.sh.....................................=>...........................Installe ou met à jour petit-poulpe

squint.pl.....................................................=>...........................Bien utile pour savoir qui va où

squint.sh....................................................=>...........................Le shell pour automatiser squint

tar_sg.sh....................................................=>...........................Pour générer son propre petit-poulpe

test_alim.sh ...............................................=>...........................Teste la réponse d'une machine

test_connexion.sh......................................=>...........................Teste si PPP0 est OK

test_squidguard.sh.....................................=>...........................Teste si petit-poulpe est actif

trouve.pl .....................................................=>[color:c43d=black:c43d]...........................Permet de tester ses regex

salut 6co,

et bien pour ce topo fort sympathique. J'ai bien envie de tester une install d'IPCOP, car là je trouve ton doc. super (faut voir si c'est pas un truc bidon ).

donc je vois quand je peux ressortir une vieille bécane, et je fait le test.

grosses bises à toute la famille

tomaz

j'ai eu l'occasion, y'a maintenant bientôt un an, de tester Mandrake MNF multi-network-firewall qu'on appelle aussi Mandrake SNF security-network-firewall.
Je crois qu'elle a changé de nom, je sais plus lequel des deux elle a en ce moment.
C'est une distrib super cool, sécurisée, un peu genre ipcop, mais beaucoup plus conviviale en termes d'installation et de paramétrages (puisqu'elle s'installe en mode graphique : facon mandrake).
Niveau fonctionnalitées, je ne sais pas si elle prend en charge la fonction proxy filtrant, il faudrai vérifier mais c'est possible, en tout cas : à tester !
p.s: pas mal la doc.
@+