#####################################
apt-get install squid
#####################################
/etc/squid/squid.conf
http_port 127.0.0.1:3128
visible_hostname gw.domain.com
acl LocalNet src zone_ip_interne/255.255.255.0
http_access allow LocalNet
# Taille maximum de mémoire vive utilisée pour stocker du cache
cache_mem 16 MB
# Taille maximum des objets stockés dans le cache
maximum_object_size 8 MB
# Paramétrage d'un cache sur un disque
# - Type de stockage
# - Emplacement du cache
# - Taille totale du cache en MB
# - Nombre de répertoires de niveau 1 et de niveau 2
cache_dir ufs /var/spool/squid 200 16 256
####################################
proxy transparent
iptables -t nat -A PREROUTING -s zone_ip_interne/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s zone_ip_interne/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination IP_interne:8080
####################################
dansguardian
apt-get install dansguardian
####################################
/etc/dansguardian/dansguardian.conf
# UNCONFIGURED
#language = 'ukenglish'
language = 'french'
filterip = IP_interne
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
####################################
/etc/dansguardianf1.conf
# autorise un contenu jusqu'à une certaine limite
# on peut abbaisser le seuil
# - 50 pour jeunes enfants
# - 100 pour adolescents
# - 160 pour jeunes adultes
naughtynesslimit = 160
####################################
interdire ping depuis l'exterieur
créer un fichier /etc/init.d/no_ping_from_eth0
#! /bin/sh
echo "Setting 'No Ping From Red Zone'"
iptables -i eth0 -A INPUT -p icmp -j DROP
le placer au niveau 2 du démarrage
update-rc.d no_ping_from_eth0 start 99 2 .
###################################
fermer certains ports... pour les services inutilisés
-- portmap (port 111)
update-rc.d -f portmap remove
-- inetd (port 113)
update-rc.d -f inetd remove
-- nfs-common (statd port 742)
update-rc.d -f nfs-common remove
pour vérifier les ports restant, tapez la commande
nmap -sS -P0 -p 0-10000 adresse_ip
à faire sur l'ip d'eth1 et eth0
a priori, vous devriez avoir pour :
- eth0 : ssh (22)
- eth1 : ssh (22) et http-proxy (8080)
###################################
on peut aussi fermer le ssh sur la zone rouge (eth0), mais cela dépend de votre utilisation...
si vous n'avez pas besoin de cet accès extérieur
ajouter cette ligne dans /etc/ssh/sshd_config
ListenAddress IP_interne
si non, vous pouvez par exemple disposer d'un nom de domaine... ce qui évite d'avoir à apprendre son IP publique par coeur, ou permet de faciliter l'usage des IP dynamiques. Prenez un compte gratuit sur DynDNS par exemple.
installer un client dyndns
apt-get install ipcheck
créer un script /usr/local/sbin/update_ip_dyndns.sh
#! /bin/sh
/usr/sbin/ipcheck -l -r checkip.dyndns.org:8245 login password hostname
ajouter à votre crontab
*/10 * * * * /usr/local/sbin/update_ip_dyndns.sh
###########################
besoin d'ouvrir des ports pour des services ne passant pas par une passerelle http
quelques notions d'iptables...
Partager