Le fichier _whitelist.conf_ contiendra les URLs autorisées en sortie :
~~~
<http://.*debian.org/.*>
<http://pub.evolix.net/.*>
<http://www.kernel.org/.*>
<http://pear.php.net/.*>
<http://.*akismet.com/.*>
<http://.*wordpress.org/.*>
<http://.*twitter.com/.*>
<http://feeds.feedburner.com/.*>
<http://feeds2.feedburner.com/.*>
<http://sync.openx.org/.*>
<http://oxc.openx.org/.*>
<http://code.openx.org/.*>
<http://pc.openx.com/.*>
<http://api.pc.openx.com/.*>
<http://bid.openx.net/.*>
<http://blog.openx.org/.*>
<http://forum.openx.org/.*>
<http://www.backports.org/.*>
<http://.*.facebook.com/.*>
<http://.*.fbcdn.net/.*>
<http://.*.google-analytics.com/.*>
<http://ajax.googleapis.com/.*>
~~~
La liste des URLs que nous utilisons en standard peut-être trouvée sur <http://forge.evolix.org/scm/viewvc.php/trunk/etc/whitelist.conf?root=packweb&view=log>
Il reste évidemment à rediriger les requêtes HTTP en sortie vers Squid avec IPTables :
Afin de détecter des oublis ou des éventuelles attaques, il sera intéressant d'ajouter la configuration suivante au logiciel _log2mail_ :
~~~
file = /var/log/squid3/access.log
pattern = "TCP_DENIED/403"
mailto = ADRESSE-MAIL-ALERTE
template = /etc/log2mail/template.squid
~~~
template.squid
~~~
From: %f
To: %t
Subject: Squid Alert - URL non autorisee
Dernieres URLs non autorisees
We have matched your pattern "%m" in "%F" %n times:
%l
Eventuellement autoriser l'access dans la whitelist ou verifier dangerosite de la requete.
Yours,
log2mail.
~~~
On n'oubliera pas d'ajouter l'utilisateur _log2mail_ dans le groupe _proxy_ pour qu'il puisse lire ce fichier (sinon _log2mail_ plante !!) :
~~~
# adduser log2mail proxy
Adding user `log2mail' to group `proxy' ...
Adding user log2mail to group proxy
Done.
~~~
## Tips
### Squid est lent / indispo
Cas possible où squid tente de sortir en IPv6 alors qu'il n'y a qu'un lien local !
Astuce : rajouter `tcp_outgoing_address $IP`
### Astuce "pêche à la ligne"
Si vous voyez passer des requêtes vers des sites suspects et que vous voulez identifier quel utilisateur les provoque, voici l'astuce "pêche à la ligne" :