Bonjour à tous, j'ai un peu du mal à faire fonctionner mon serveur Debian 8 avec Squid/SquidGuard sur un VPS OVH alors que j'avais réussi à le faire marcher il y a un mois sur un serveur local (sous VirtualBox).
Du coup je poste ici en faisant un appel à l'aide
 
Ce que je veux faire :
Mon projet à terme est de mettre en place un serveur VPS avec Debian 8 et Squid/SquidGuard qui permet de filtrer des ordinateurs de plusieurs médiathèques. Car actuellement, j'ai juste OpenDNS, des addons Chrome qui permettent cela mais je n'ai vraiment pas de visu sur ce que tout le monde fait, donc je ne peux pas vraiment savoir si quelqu'un désactive tout simplement un addon chrome (car il ne faut pas de password pour ça).
 
De plus, il me faut des enregistrements logs pour la gendarmerie en cas de problème (c'est la loi).
 
Voici les tutos sur lesquels je me suis appuyé :
- http://syskb.com/installer-proxy-s [...] -parental/
- https://memo-linux.com/installer-un [...] us-debian/
 
La configuration à terme
- Un serveur VPS sous OVH
- Une médiathèque A
- Une médiathèque B
- Une médiathèque C
 
- Liste de sites via l'académie de toulouse
 
- Forcing du safesearch dans les moteurs de recherche (histoire de ne montrer aucune image).
 
- Logs (avec un moyen de les lire facilement ?)
 
toute cette configuration fonctionnait en local lorsque j'avais fait des tests sur un Debian 8 sous VirtualBOX (avec des ip locales du coup)
 
Voici donc ma procédure lorsque j'ai eu accès au VPS :
 
Mise à jour de la distrib :

 
Installer Squid et SquidGuard :

 
Sauvegarde du fichier squid.conf

 
Générer une configuration plus légère en supprimant les nombreuses (mais utiles) lignes de commentaire :

 
Ensuite je me connecte au VPS via WinSCP et je récupère le fichier squid.conf.
Voici comment il se présente :  

 
Je rajoute un nom acl et son adresse ip (l'ip publique de la médiathèque) :

 
Et l'autorisation qu'on lui donne :  

 
Masquer l’utilisation du proxy sur Internet :

 
Du coup voici comment le fichier se présente :  

 
Et je renvoie le fichier squid.conf sur le VPS.
 
Je reboot squid3 :

 
Du coup je peux tester de suite si cela marche en mettant l'ip du vps dans les options internet (proxy) d'un pc de med1 eoopzprizepirzpirzoprizop.fr (par exemple) dans chrome, et j'ai donc squid qui se montre.
Jusque là, tout va bien ça fonctionne.
 
Maintenant on va regarder du côté de squidguard pour les règles de filtrage.
 
Je télécharge la liste de toulouse et je décompresse :  

 
Je copie tout dans la base de squidguard et je change les droits pour que squidguard (ou squid?) puisse y accéder :  

 
Changer la configuration de SquidGuard dans le fichier /etc/squidguard/squidGuard.conf
Dans l’exemple ci-dessous, tous les accès listés à des sites pornographiques seront bloqués pour tous les utilisateurs, on peut voir aussi que j'ai créer un groupe med1 avec l'ip de la mediatheque1, qui est bloquée aussi en porn. Je prépare le terrain pour pouvoir rajouter ensuite med2 med3 (au cas où si des régles de filtrages seraient différentes plus tard)
Mais aussi, je met en place le forcing safesearch dans les moteurs de recherche :  
 

 
Intégrer les blacklists dans SquidGuard

 
Ajouter la ligne suivante à la fin du fichier de configuration de Squid /etc/squid3/squid.conf (pour charger squidguard à chaque lancement de squid)

 
tester la configuration de SquidGuard et Squid et générer les répertoires de cache :

 
la il me dit :  
 

à ce moment là je ne sais pas si c'est normal (je ne suis pas trop balèse en linux)
 
Je redémarre squid :  

 
Un petit :  

 
je teste, le site youporn est bien bloqué (mais le message d'erreur n'est pas clair, il faut que je voit comment afficher autre chose.
Mais le gros problème, c'est que dans google image, les images porn sont affichées.
Comme ci mon code (à partir de "rew safesearch" dans squidguard.conf) ne fonctionnait pas
Pourtant, quand j'avais testé avec mon serveur local, ça fonctionnait, ça virait tous les termes dans les résultats google, et toutes les images google
 
Quelqu'un aurait une idée du pourquoi ?
 
J'ai tenté de formater le VPS et tout recommencer, ça fait le même problème (même en suivant d'autres tuto)

Bonjour,
 
C'est normal : HTTPS est chiffré de bout en bout, le squid ne voit rien hormis le nom de domaine que tu utilises, pas l'url complète (il te suffit de regarder les logs pour le constater : les HTTPS ne sont que sous la forme de ligne "CONNECT domaine". Donc comme Google est chiffré, tu n'as que 2 solutions :
   1) intercepter la communication et décrypter la communication (c'est possible, discrètement ou non, mais c'est un peu technique.. Voir sslbump dans squid)
   2) tu demandes gentiment à Google de t'aider.. Et en fait, ils avaient prévu de faire cela, en forçant le passage en mode "safesearch" non débrayable :
 
J'ai envoyé à l'auteur du tutoriel que tu as utilisé la réponse au problème, mais pour faire plus vite, la voici
 
===============================================================================
 
Je complèterai le tutoriel par une rubrique de plus : comment filtrer google et youtube (et bing) alors que c'est en https...
Pour faire simple : en HTTPS, squid ne voit QUE le nom de domaine. Pour filtrer les recherches google qui ne sont qu'en https, on va utiliser le mécanismes safesearch de google
 
Faites la chose suivante :
prenez le fichier

du linux qui embarque le squid (une autre manipulation est possible si vous contrôlez le serveur DNS, mais c'est touchy)
mettez dedans les lignes suivantes (attention, elles sont très nombreuses pour google, mais on peut se limiter, en France, aux 2 premières).
 

 
 
hope this will help

Salut fp31000 merci pour ta réponse car je suis toujours dans la recherche.
 
En fait ce que tu me dis avec le fichier host, j'avais vu cette solution, mais pour la mettre sur chaque post, dans chacun de leur fichiers hosts (mais je voulais éviter cette pratique).  
Mais là tu me dis de le faire dans le host du serveur ! J'ai pas pensé à ça du tout. Je crois que je vais adopter cette solution merci (je vais tester).
 
Sinon oui, je peux toucher au règles DNS du compte OVH, mais c'est mieux de faire quoi ? le host ? ou les règles DNS sur OVH ?  
 
et d'ailleurs, pourquoi ça marche en local et non sur le VPS ?  
Quand tu dis "c'est normal", tu parles du fait que c'est normal que cela ne fonctionne pas sur un VPS ? (le code "rew safesearch" sur le squidguard.conf)
 
Autre chose du coup, tu penses savoir pourquoi quand c'est un site X en HTTP, le site est bien bloqué (avec le message de squid ou la redirection que j'aurai fait), alors qu'un site en HTTPS, çe me sort une erreur (mais bon c'est quand même bloqué, mais j'aurai préféré voir un message)
 
Merci !

Salut Jeremyto.
 
En fait je parlais du DNS résolveur (celui vers lequel pointent tes postes clients). A mon avis, fais du simple : fichier hosts.
 
"rew safesearch" marchait bien quand Google était en HTTP, mais en HTTPS, le squidguard ne voit pas l'url complète, il n'a pour travailler que le nom de domaine :
 
en HTTP : squid "voit"  
    - connexion vers www.google.fr
    - GET /q=gros nxxchons
    il peut "intercepter la requête" et la transformer en "GET /safesearch=strict&q=gros nxxchons pour l'envoyer à google.
 
en HTTPS : squid "voit
    - connexion vers la machine www.google.fr
    - puis : 010010110101010111010000101
    là, il ne peut rien du tout......
 
Pour le blocage en HTTPS, c'est exactement le même principe : le squidguard ne voit pas l'url, ni la page. Il ne peut donc pas la "remplacer" par une redirection (nous sommes dans une communication chiffrée). Donc squidguard renvoie au squid un simple "coupe la connexion", car le squid ne pourra pas "insérer" dans la communication un "redirect 302" vers ta page d'explication.
 
En reprenant l'exemple ci-dessous :
en HTTP : squid "voit"  
    - connexion vers www.google.fr
    - GET /q=gros nxxchons
    il peut alors "intercepter la requête" et faire une fausse réponse :"Response : Redirect 302 http://www.vatican.va"
 
en HTTPS : squid "voit
    - connexion vers la machine www.google.fr
    - puis : 010010110101010111010000101
    là, il peut fabriquer une réponse, mais il ne peut pas l'insérer dans le canal chiffré...
 
Hope this will help
 
 
 
 
 

Salut, DNS résolveur tu parles bien d'un simple fichier host qui se trouve dans le Debian du VPS ?  
 
Sinon tu sais pourquoi ça marche en local et non sur VPS ? (avec les mêmes codes)

Salut Jeremyto
 
Non, je parle de l'installation d'un serveur Bind, unbound ou autre. avec en plus la mise en place de la fonctionnalité RPZ... Bref, du lourd, et inutile, dans ton cas, de t'en préoccuper. Utilise le serveur DNS d'OVH. Par contre le fichier /etc/hosts va être privilégié (par défaut) pour la résolution.
 
Si ce n'est pas le cas, il va falloir regarder du coté soit de nsswitch (plus ancien) soit nscd (plus récent)
 
dans /etc/nsswitch.conf tu dois avoir une ligne :
 
hosts:      files dns myhostname
 
hope this will help