Votre avis au sujet de Squidguard

Support Debian
#1

Bonjour à tous.
J’ai reçu il y a peu un Raspberry pi 4. Je l’ai configuré comme serveur pour la maison avec en particulier un DHCP pour que les appareils connectés utilisent le raspberry comme passerelle ainsi que DNS.
J’ai de plus installé Squid et Squidguard pour créer un proxy cache et un filtrage. Voilà une partie de la configuration de Squidguard qui permet de définir des appareils libres (box, TV, …) et des appareils limités.

time dodo-time {
         weekly mtwhs 22:30-06:15
}



src admin {
        ip 192.168.1.1-192.168.1.20
}

src enfants {
        ip      192.168.1.50-192.168.1.70
}


acl {
        admin {
                pass     any
        }

        enfants within dodo-time {
             pass none
         } else {
        pass !adult !porn !publicite !aggressive !phishing !malware all
        redirect https://duckduckgo.com/
        }

  default {
        pass none

A votre avis, peut-on dire que Squidguard joue un rôle de par feu ou bien ça n’a rien à voir ?

C’est uniquement par curiosité car tout fonctionne bien mais je me demande s’il faut que je pousse un peu plus les choses pour préserver mon réseau par exemple avec Iptables.

J’ai essayé de triturer un peu ce logiciel, mais je m’y casse les dents en tant que simple amateur.

#2

rien à voir. SquidGuard n’a pour but de filtrer que du contenu autorisé de l’interne de ton réseau vers l’externe, principalement des URL, autoriser ou interdire des noms de domaines, voire des adresses IP.

un pare-feu a pour propos de bloquer ou autoriser du flux réseau, sur n’importe quel protocole réseau (TCP, UDP, ICMP, SNMP, etc.) à destination/source de la machine qu’elle soit en amont d’un réseau vers un autre réseau (tel un routeur/passerelle) ou spécifiquement locale à la machine.

Bien-sûr, je généralise !

#3

Bonjour,

L’explication de Pengouinpdt est tout à fait pertinente.

Pour compléter plusieurs éléments de réponse:
inutile de mettre phishing et malware en même temps: les 2 catégories sont identiques, de même pour adult et porn. Ces 2 catégories (malware et adult) étant les plus lourdes, cela va alléger la charge de ton raspberry (on est à 174 Mo pour le db de adult !).
Si tu as des enfants en bas âge, la catégorie « mixed-adult » peut t’intéresser. Elle contient des sites où il est difficile de séparer le bon grain de l’ivraie, mais cela bloque des sites dont certaines parties sont intéressantes.

Je vois que tu ne cherches pas à te prémunir du contournement de la protection par tes enfants. Je penses que c’est pertinent ( Quand ils cherchent à le faire, le « coût » de les en empêcher sera très élevé: blocage des proxy, des VPN, des serveurs DNS externes, etc), mais il faut en être conscient.

Le blocage par iptables? Je n’ai pas un avis objectif: j’adore faire joujou avec les iptables.
Si tu connais un peu, tu pourras ajouter un certain nombre de listes d’IP « malware » grâce à http://iplists.firehol.org/ et donc bloquer des virus.
Tu pourrais aussi les utiliser pour bloquer les contournements (par DNS, par VPN, etc.)

Je te suggèrerais bien de faire du DNS RPZ (comme avec pi-hole.net ), mais, malgré ses avantages, il ne gère pas (à ma connaissance) les horaires…

Après, un truc qui pourrait être pertinent (moins dans ton cas si tu « pousses » duckduckgo) , si tu veux vraiment faire plus, c’est, avec un DNS menteur (DNS RPZ) renvoyer toutes les requêtes Google sur la version « safesearch ». C’est un peu compliqué, mais très efficace. Même en mettant « adult porn » dans Google Search tu n’obtiens rien ou pas grand chose…

Personnellement, je suis impressionné qu’un « simple amateur » fasse autant de choses. Cool :slight_smile:

#4

Merci pour vos réponses très intéressantes.
Les enfants commencent un peu à grandir, le but est surtout d’éviter un accès trop simple à ces données. Si ils arrivent à mettre en place un contournement à un moment donné, c’est qu’ils seront sans doute assez grands pour faire attention par eux mêmes.

Ils faut que je leur fasse comprendre le danger des sites trop exotiques et des mails inconnus et de ne pas cliquer sur n’importe quoi, mais un Iphone gratuit, c’est tellement tentant…

Pour ce qui est de l’usage du Raspberry, j’avoue que je suis très loin de le solliciter au maxi, en général il plafonne à 3 ou 4% d’usage ram. Cependant je vais tenir compte de ton info pour réduire les répertoires bloqués dans Squidguard.

Une petite question au cas où, j’ai installé Pi-Hole pour le filtrage DNS, j’ai vu qu’il utilisait dnsmasq pour cela. Pour Squid j’ai mis le cache en Ram pour préserver la carte SD. Est-il possible de faire de même avec le cache DNS de dnsmasq, je n’ai pas trouvé l’emplacement du fichier de cache.

Pour Iptable, j’avoue ne pas du tout comprendre le vocabulaire utilisé par le logiciel. La logique nécessaire demande à mon avis de bien comprendre le fonctionnement des réseaux compétence que je n’ai pas.
Quand je tente de mettre en place des règles, soit je bloque tout soit tout passe. Je crois qu’il faut que je reprenne toutes ces notions au départ et éviter de chercher des solutions toutes faites.

Étant enseignant, je vais voir pendant le confinement qui commence, si j’ai le temps! avec tous mes cours à transposer sur Moodle si je ne pourrais pas créer un serveur http avec un site web pour héberger des ressources pour mes élèves.
En gros, beaucoup d’activités en perspective avec ce magnifique joujou qu’est le Raspberry 4. Merci encore pour vos conseils j’aurais sans doute encore besoin de vous.

#5

Concernant Iptables, nous avons un sujet qui en parle très sérieusement :

si vous avez besoin d’aide sur ce sujet, posez à la suite vos questions.

#6

Bonjour,
A ma connaissance, dnsmasq cache déjà en mémoire.

Pour les iptables, Xavki a fait des vidéos intéressantes dessus: