La solution retenue est\u00a0Squid + SquidGuard, car elle est open source, hautement configurable, et b\u00e9n\u00e9ficie d\u2019une grande communaut\u00e9.<\/p>\n
Principe de fonctionnement :<\/p>\n
Squid\u00a0est un serveur proxy open source qui permet de g\u00e9rer le trafic web. Il agit comme un interm\u00e9diaire entre les utilisateurs et Internet, en filtrant les acc\u00e8s selon des ACL.<\/p>\n
SquidGuard\u00a0est un outil compl\u00e9mentaire \u00e0 Squid, sp\u00e9cialis\u00e9 dans le filtrage web. Il permet de bloquer l\u2019acc\u00e8s \u00e0 des sites web en fonction de listes noires(par exemple, sites malveillants, contenus inappropri\u00e9s), compil\u00e9es en base de donn\u00e9es Berkeley(ce qui permet d\u2019am\u00e9liorer les performances, par rapport \u00e0 des listes au format texte). SquidGuard permet de facilement g\u00e9rer des listes d\u2019URLS en plus des domaines, contrairement \u00e0 Squid seul.<\/p>\n
Squid + SquidGuard fonctionne de la mani\u00e8re suivante :<\/p>\n
- \n
- Squid\u00a0re\u00e7oit les requ\u00eates HTTP\/HTTPS des utilisateurs.<\/li>\n
- Squid\u00a0redirige ces requ\u00eates vers\u00a0SquidGuard\u00a0pour analyse.<\/li>\n
- SquidGuard\u00a0applique les r\u00e8gles de filtrage d\u00e9finies (listes noires, URLs..).<\/li>\n
- Si la requ\u00eate est autoris\u00e9e,\u00a0Squid\u00a0la transmet \u00e0 Internet. Si la requ\u00eate est bloqu\u00e9e,\u00a0SquidGuard\u00a0renvoie une page d\u2019erreur \u00e0 l\u2019utilisateur.<\/li>\n<\/ol>\n
![\"C:\\Users\\lcendamo\\Downloads\\4d1ceace026046cba5d96eaae457a3baaaa9bb40.png\"](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/c-users-lcendamo-downloads-4d1ceace026046cba5d96e.png\")
<\/p>\nMise en \u0153uvre :<\/p>\n
La mise en place de Squid + SquidGuard implique les \u00e9tapes suivantes :<\/p>\n
- \n
- Installation et configuration de Squid pour g\u00e9rer le trafic web.<\/li>\n
- Installation et configuration de SquidGuard pour d\u00e9finir les r\u00e8gles de filtrage.<\/li>\n
- Cr\u00e9ation de listes noires ou utilisation de listes existantes pour bloquer les sites ind\u00e9sirables.<\/li>\n
- Configuration des politiques d\u2019acc\u00e8s par utilisateur ou groupe (par exemple, restrictions sp\u00e9cifiques pour les visiteurs m\u00e9dicaux).<\/li>\n
- Test et validation de la solution pour s\u2019assurer que le filtrage fonctionne correctement.<\/li>\n<\/ol>\n
Conclusion :<\/p>\n
La combinaison de Squid et SquidGuard r\u00e9pond parfaitement aux besoins de GSB en mati\u00e8re de filtrage web. Elle offre une solution performante, s\u00e9curis\u00e9e et flexible, tout en \u00e9tant \u00e9conomique gr\u00e2ce \u00e0 son mod\u00e8le open source. Cette solution permettra \u00e0 GSB de mieux contr\u00f4ler l\u2019acc\u00e8s \u00e0 Internet, d\u2019optimiser l\u2019utilisation de la bande passante, et de renforcer la s\u00e9curit\u00e9 du r\u00e9seau.<\/p>\n
Sch\u00e9ma r\u00e9seau actuel\u00a0:<\/h2>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-2.png\")
<\/p>\nSch\u00e9ma r\u00e9seau attendu\u00a0:<\/h2>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-3.png\")
<\/p>\nInstallation\u00a0:<\/p>\n
L\u2019installation se fait en installant les paquets Squid, et SquidGuard.<\/p>\n
Il faudra par la suite importer les listes de domaines et d\u2019URL depuis une source s\u00fbre, nous utiliserons les listes de dsi.ut-caputole.fr.<\/p>\n
Puis il faudra configurer les fichiers Conf de Squid et de SquidGuard.<\/p>\n
Nous utiliserons une machine vierge Debian 12.<\/p>\n
Installation des paquets<\/h4>\n
Pour commencer, faire\u00a0:<\/p>\n
apt update && apt upgrade<\/strong><\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-4.png\")
<\/p>\nPuis\u00a0:<\/p>\n
apt install squid<\/strong><\/p>\n
Une fois l\u2019installation faite, nous pouvons v\u00e9rifier la version install\u00e9e avec la commande\u00a0:<\/strong><\/p>\n
squid \u2013version<\/strong><\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-5.png\")
<\/strong><\/p>\nEnsuite, nous pouvons installer SquidGuard\u00a0:<\/p>\n
apt install squidguard<\/strong><\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-6.png\")
<\/strong><\/p>\nImportation des blacklists\u00a0:<\/h4>\n
Pour importer les blacklists, se rendre dans le dossier ou nous allons t\u00e9l\u00e9charger et extraire l\u2019archive contenant les blacklists, que nous allons r\u00e9cup\u00e9rer sur le site de ut-capitole\u00a0:<\/p>\n
cd \/var\/lib\/squidguard\/db<\/strong><\/p>\n
Puis\u00a0t\u00e9l\u00e9charger l\u2019archive\u00a0:<\/p>\n
wget -c http:\/\/dsi.ut-capitole.fr\/blacklists\/download\/blacklists.tar.gz<\/strong><\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-7.png\")
<\/p>\nPuis l\u2019extraire\u00a0:<\/p>\n
tar -xzf blacklists.tar.gz<\/strong><\/p>\n
Nous pouvons voir avec la commande ls, que nous avons maintenant deux \u00e9l\u00e9ments dans le dossier \/var\/lib\/squidguard\/db\u00a0:<\/p>\n
blacklists\u00a0<\/strong>: le dossier extrait de l\u2019archive<\/p>\n
blacklists.tar.gz<\/strong>\u00a0: l\u2019archive que nous avons t\u00e9l\u00e9charg\u00e9e depuis us-capitole<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-8.png\")
<\/p>\nVoici le contenu du dossier blacklists\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-9.png\")
<\/p>\nChaque dossier contient des fichiers texte contenant des listes d\u2019urls et de domains.<\/p>\n
Configuration des fichiers conf de squid et de squidguard\u00a0:<\/h4>\n
Nous allons maintenant \u00e9diter le fichier squidGuard.conf afin de param\u00e9trer les r\u00e8gles de filtrage\u00a0:<\/p>\n
Nano \/etc\/squidguard\/squidGuard.conf<\/strong><\/p>\n
Et le modifier comme suit\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-10.png\")
<\/p>\ndbhome\u00a0: le r\u00e9pertoire ou se trouvent les blacklists<\/p>\n
logdir\u00a0: la ou se trouve le fichier log de squidguard<\/p>\n
src bar-clients\u00a0: acl contenant le vlan users de notre r\u00e9seau. Il est possible d\u2019en cr\u00e9er plusieurs afin de d\u00e9finir diff\u00e9rentes r\u00e8gles pour un groupe de machine sp\u00e9cifique, tel que des r\u00e8gles d\u2019horaire par exemple.<\/p>\n
dest\u00a0: acl pour indiquer les diff\u00e9rentes listes que l\u2019on veut utiliser, ainsi que le liens de redirection pour les domaines ou url bloqu\u00e9e.<\/p>\n
acl\u00a0: acl pour les restrictions proxy, ici on interdit l\u2019acc\u00e8s aux site, url et expressions contenue dans les diff\u00e9rentes listes indiqu\u00e9es pour un vlan particulier, en l\u2019occurrence, le vlan users pour l\u2019acl \u00ab\u00a0bar-clients\u00a0\u00bb. SquidGuard var parcourir une \u00e0 une les listes indiqu\u00e9es dans l\u2019acl et appliquer la r\u00e8gle d\u00e9finie. Bloquer, ou autoriser le passage. (le\u00a0! indique le blocage) Il va donc parcourir les listes adult, pishing et warez. Si l\u2019url demand\u00e9 par le client est contenue dans une de ses listes, Squid va bloquer l\u2019acc\u00e8s et rediriger l\u2019utilisateur sur l\u2019url de redirection d\u00e9fini. Si l\u2019url demand\u00e9e n\u2019est dans aucune des trois listes, il va autoriser la connexion, gr\u00e2ce \u00e0 la r\u00e8gle \u00ab\u00a0all\u00a0\u00bb qui autorise tout ce qui n\u2019a pas \u00e9t\u00e9 bloqu\u00e9 par les r\u00e8gles pr\u00e9c\u00e9dentes.<\/p>\n
Maintenant, nous devons lancer la compilation des bases. Pour ce faire, nous avons la commande suivante\u00a0:<\/p>\n
squidGuard -d -b -P -C all <\/strong><\/p>\n
Le \u2013c suffit mais cette commande nous permet de voir la base se faire en temps r\u00e9el\u00a0comme ci-dessous\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-11.png\")
<\/p>\nVoici le r\u00e9sultat\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-12.png\")
<\/p>\nNous allons maintenant configurer Squid pour qu\u2019il utilise SquidGuard.<\/p>\n
Pour ce faire, il faut \u00e9diter le fichier \/etc\/squid\/squid.conf afin d\u2019ajouter les lignes suivantes\u00a0:<\/p>\n
acl lan src 192.168.110.0\/24<\/strong><\/p>\n
http_access allow lan<\/strong><\/p>\n
url_rewrite_program \/usr\/bin\/squidGuard<\/strong><\/p>\n
url_rewrite_children 20 <\/strong><\/p>\n
Puis r\u00e9gler les droits d\u2019acc\u00e8s aux r\u00e9pertoire pour que Squid puisse correctement fonctionner\u00a0:<\/p>\n
chown -R proxy:proxy \/var\/lib\/squidguard<\/strong><\/p>\n
chown -R proxy:proxy \/var\/log\/squidguard<\/strong><\/p>\n
Cela va nous permettre d\u2019indiquer \u00e0 Squid d\u2019utiliser SquidGuard.<\/p>\n
Status du service Squid avant modification de son fichier conf\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-13.png\")
<\/p>\nStatus apr\u00e8s modification et relance du service\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-14.png\")
<\/p>\nNous pouvons constater que Squid utilise bien SquidGuard<\/p>\n
Configuration du proxy sur une machine afin de tester le bon fonctionnement\u00a0:<\/h4>\n
Nous param\u00e9trons le proxy comme suis sur la machine windows\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-15.png\")
<\/p>\nNous lan\u00e7ons un navigateur afin de tester l\u2019acc\u00e8s \u00e0 internet aux pages non bloqu\u00e9es par une des acl\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-16.png\")
<\/p>\nCela fonctionne bien, testons maintenant avec un site bloqu\u00e9 dans l\u2019ACL warez\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-17.png\")
<\/p>\nNous sommes bien redirig\u00e9s vers le lien de redirection configur\u00e9 dans le fichier squidGuard.conf.<\/p>\n
Le proxy est fonctionnel.<\/p>\n
Authentification des utilisateurs<\/h3>\n
Afin de garder les logs de connexion des utilisateurs, et pour autoriser la connexion uniquement aux utilisateurs autoris\u00e9, il est possible de mettre en place une m\u00e9thode d\u2019authentification.<\/p>\n
Afin de faciliter la gestion ainsi que l\u2019utilisation, il est possible de configurer Squid pour qu\u2019il authentifie les utilisateurs via Active Directory.<\/p>\n
Pour ce faire nous allons avoir besoin d\u2019installer trois paquets\u00a0: windind, chrony, et samba\u00a0:<\/p>\n
apt install smb<\/strong><\/p>\n
apt install chrony<\/strong><\/p>\n
apt install winbind<\/strong><\/p>\n
Puis on modifie le fichier etc\/samba\/smb.conf pour y ajouter le nom de notre domaine.<\/p>\n
Puis le ficher chrony, ou on y indiquera l\u2019ip de notre serveur NTP.<\/p>\n
Il faut ensuite relancer les trois services.<\/p>\n
Puis modifier le fichier conf de Squid en y ajoutant les lignes suivantes\u00a0:<\/p>\n
auth_param basic program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-basic<\/p>\n
auth_param basic children 50<\/p>\n
auth_param basic realm Squid GSB<\/p>\n
auth_param basic credentialsttl 2 hours<\/p>\n
acl ntlm proxy_auth REQUIRED<\/p>\n
http_access allow ntlm<\/p>\n
Et on relance le service squid.<\/p>\n
Il faut maintenant joindre la machine au domaine\u00a0:<\/p>\n
net ads join -U lcendamo <\/strong>(lcendamo est un compte administrateur du domain)<\/p>\n
Puis rentrer le mot de passe du compte. Le serveur devrait maintenant \u00eatre sur le domaine.<\/p>\n
Pour tester\u00a0:<\/p>\n
net ads testjoin<\/strong><\/p>\n
La machine devrait retourner \u00ab\u00a0Join is OK\u00a0\u00bb<\/p>\n
La commande wbinfo \u2013g <\/strong>nous permet quant \u00e0 elle de v\u00e9rifier si le serveur a bien les acc\u00e8s pour parcourir l\u2019Active Directoy\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-18.png\")
<\/p>\nTentons maintenant de lancer un navigateur, il devrait nous demander de nous authentifier\u00a0:<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-19.png\")
<\/p>\nIl suffira alors de se connecter avec son compte de session AD. Sans cela, il sera impossible de naviguer sur internet, et chaque requ\u00eate http sera li\u00e9 \u00e0 un utilisateur dans les logs.<\/p>\n
Haute disponibilit\u00e9 du service :<\/h4>\n
intro<\/h4>\n
Pour mettre en place la haute disponibilit\u00e9 du service, il nous faut dans un premier temps une seconde machine Squid, avec les m\u00eames param\u00e9trages.<\/p>\n
Pour ce faire, il est possible de cloner la machine actuelle ou reconfigurer une nouvelle machine de A \u00e0 Z, manuellement ou en utilisant un outil d\u2019automatisation comme Ansible.<\/p>\n
Je vais utiliser un Playbook Ansible que j\u2019ai mis en place, qui va totalement param\u00e9trer la machine et installer les paquets utiles, pour qu\u2019elle puisse fonctionner directement. Les d\u00e9tails de fonctionnement complet de ce Play sont visibles dans le projet Ansible.<\/p>\n
Une fois la machine pr\u00eate, nous pouvons passer \u00e0 la suite.<\/p>\n
Le .pac<\/h4>\n
Une mani\u00e8re simple de mettre en place la haute disponibilit\u00e9 et d\u2019utiliser un fichier .pac (proxy auto-configuration). Il est simple \u00e0 cr\u00e9er et il suffit de l\u2019h\u00e9berger sur un serveur web.<\/p>\n
Ce fichier permet de mettre facilement en place des r\u00e8gles d\u2019exclusions, ainsi que de d\u00e9finir un ou plusieurs serveur proxy. De cette mani\u00e8re, l\u2019ordinateur qui aurait le proxy configurer via ce fichier pac, pourras contacter le deuxi\u00e8me serveur indiqu\u00e9, si le premier ne r\u00e9pond plus.<\/p>\n
![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-20.png\")
<\/p>\n![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-21.png\")
<\/p>\n![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-22.png\")
<\/p>\n![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-23.png\")
<\/p>\n![](\"http:\/\/lcendamo.aristeecampus.org\/wp-content\/uploads\/2025\/03\/word-image-765-24.png\")
<\/p>\n