Bloquer internet ?

Le
Oleane
Bonjour,

Responsable d'un service et ayant quelques connaissances informatique, j'ai
été au fil des années promulgué Administrateur réseaux..
Nous sommes une petite structure possédant de faibles moyens.

Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server 2003

Un routeur oléane (notre passerelle, adresse IP 192.168.1.1)
2 (2 étages) switchs pour connecter les PC

Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal
étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.

le serveur est utilisé également comme contrôleur de domaine. Je pensais
mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch
(réseau interne) et sur l'autre le routeur Oleane (réseau externe).

J'avais essayé auparavant avec des stratégies de comptes mais ça marche que
pour Internet Explorer et c'est facilement contournable

Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???

Merci de votre aide pour toutes ces questions,

Stéphane
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #20195951
Je ne connais pas grand-chose aux windowseries, mais si tu veux
bloquer l'accès à Internet, le plus simple est de séparer le réseau
"interne" d'Internet.

Voici ce que j'ai au bureau :

1 réseau interne en 192.168.0.0/24, avec (presque) toutes les stations
de travail (Windows principalement).
1 réseau "externe" en 192.168.32.0/24, qui comprend le modem-routeur.
Un serveur Linux est relié aux deux réseaux, et fait donc la liaison.
Sur ce serveur, un proxy HTTP (Squid) permet aux machines internes
d'avoir accès au web.

Dans ton cas, il suffit de lancer le proxy quand tu as besoin d'une
connexion au web sur une machine, et de l'arrêter quand tu veux
bloquer l'accès.
Tu dois même pouvoir autoriser l'accès au proxy à une partie seulement
des stations de travail.
Tu peux aussi régler le proxy dans Firefox seulement, ce qui rend plus
compliqué pour un éventuel malware d'accéder à Internet.
Frédéric PANES
Le #20195941
Oleane a écrit :
...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???



Avec un firewall matériel intercalé avant le routeur, une distribution
Linux spécialisée :

http://ipcop.org/index.php?&newlang=fra

L'interface est en français, le proxy peut s'authentifier sur un AD et
il existe un tas d'add-ons pour ajouter des fonctionnalités.

Un forum très suivi en français :

http://forums.ixus.fr/viewforum.php?f

--
Frédéric
pxg
Le #20196161
Oleane wrote:
Bonjour,



Salut

Comment faire pour bloquer l'accès à l'extérieur à partir des PC ?



Tout internet ... Tu y vas fort ! mais tu as probablement de très bonnes
raisons.

L'idéal étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.



Je suis assez partisan du filtrage centralisé. J'utilise pfsense sur
plusieurs accès dont disposent les salles de formation. Je suis moins
accoutumé à faire du filtrage personnalisé.

le serveur est utilisé également comme contrôleur de domaine. Je
pensais mettre sur une sortie réseau (il en dispose de 2) le
raccordement au switch (réseau interne) et sur l'autre le routeur
Oleane (réseau externe).



Tu peux utiliser ton contrôleur de domaine comme routeur et également comme
proxy ; j'ai abandonné ISA que je trouvais plutôt lourd à gérer. J'éviterais
à tout prix cette solutioncar je ne suis pas zélote du serveur qui fait
tout - et pourquoi pas le café ?

J'avais essayé auparavant avec des stratégies de comptes mais ça
marche que pour Internet Explorer et c'est facilement contournable...



assez vrai !

Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il
une solution simple pour couper tout accès extérieur à un PC (le
réseau interne doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???



Des proxy comme Pfsense ou ipcop ou smoothwall peuvent te sortir l'épine du
pied il te faut juste une machine à recycler. L'avantage du proxy
transparent bien règlé est que ce n'est pas si facile de le contourner. Tu
peux regarder le site ixus.net avant de te lancer.
Je peux aussi utiliser des netasq mais je suis plus limité pour bloquer
certains trafics comme les messageries instantanées qui sont vraiment une
plaie dans les salles de formation.

En logiciel tu "pourrais" envisager de recourir aux logiciels de "filtrage
parental" mais je pense que ce n'est pas adapté ni même gratuit et surtout
que tu passerais ton temps à combler les brèches.

Merci de votre aide pour toutes ces questions,



de rien

pxg
Amandine Parmesan
Le #20198351
On Mon, 21 Sep 2009 16:33:45 +0200, "Oleane" wrote:

Bonjour,



Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).




Simple :
http://fr.wikipedia.org/wiki/Hosts#Filtrage_web

Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors
de l'ouvertture de session...
Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du
FAI sur 127.0.0.1
Yannick Palanque
Le #20198421
À 2009-09-21T22:57:27+0200,
Amandine Parmesan
Simple :
http://fr.wikipedia.org/wiki/Hosts#Filtrage_web

Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors
de l'ouvertture de session...
Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du
FAI sur 127.0.0.1



Non seulement ça ne bloquerait pas Internet mais en plus ce ne fichier
ne marche pas ainsi, cette méthode ne marche donc absolument pas.

--
« Notre époque sans doute, pour celui qui en lira l'histoire dans deux
mille ans, ne semblera pas moins laisser baigner certaines consciences
tendres et pures dans un milieu vital qui apparaîtra alors comme
monstrueusement pernicieux et dont elles s'accommodaient. » Proust, LTr
Oleane
Le #20200351
Bonjour,

Au vu de tout vos échanges je pense que la solution consiste à mettre en
place un "proxy" entre mon contrôleur de domaine et le routeur Oleane.

J'aurai donc un truc du genre :

Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy
<-direct-> routeur Oleane

Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ?
Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé)
le filtrage doit donc se faire en intern.

Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir
mieux gérer les accès c'est bien cela ?
Est ce que cela peut agir en fonction de l'Active Directory et surtout des
profils (groupe et utilisateur) ?

N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais
linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner
du temps ?
Merci

Stéphane




"Oleane" h98384$ksm$
Bonjour,

Responsable d'un service et ayant quelques connaissances informatique,
j'ai été au fil des années promulgué Administrateur réseaux..
Nous sommes une petite structure possédant de faibles moyens.

Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server
2003

Un routeur oléane (notre passerelle, adresse IP 192.168.1.1)
2 (2 étages) switchs pour connecter les PC

Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal
étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.

le serveur est utilisé également comme contrôleur de domaine. Je pensais
mettre sur une sortie réseau (il en dispose de 2) le raccordement au
switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).

J'avais essayé auparavant avec des stratégies de comptes mais ça marche
que pour Internet Explorer et c'est facilement contournable...

Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau
interne doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???

Merci de votre aide pour toutes ces questions,

Stéphane



pxg
Le #20201511
Oleane wrote:
Bonjour,



Bonjour

Au vu de tout vos échanges je pense que la solution consiste à mettre
en place un "proxy" entre mon contrôleur de domaine et le routeur
Oleane. J'aurai donc un truc du genre :
Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct->
Proxy <-direct-> routeur Oleane



tu peux mettre la patte lan du proxy sur le switch, inutile de charge ton
contrôleur de domaine d'un routage superfétatoire. Si ton contrôleur fait
déjà routeur tu devra intercaler ton proxy entre le contrôleur et le routeur
oleane.

Avec OLEANE je ne peut rien maîtriser sur le routeur
(abonnement sécurisé) le filtrage doit donc se faire en intern.




c'est tout à fait faisable comme cela il y a probablement à retoucher ou
revoir le plan d'adressage.

Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les
connexions ?



Principalement un outil qui se substitunat aux machines de ton lan demande
pour son compte les pages internet et qui peut stocker localement des objets
(images, pages, voire mises à jour). Surtout un proxy peut être équipé de
complément pour filtrer les contenus soit par mot clés (un peu lourdingue)
soit par liste spécifique de domaine ou d'url ou mieux encore en utilisant
des listes téléchargeables (shalla ou encore université de Toulouse)
lesquelles listes catégorisent les sites. Tu peux donc bloquer ou autoriser
par catégorie plutôt que par domaine ou url. Sur Pfsense ou ipcop des
packages (ou des addons) te permettront de filtrer les messageries
instantanées

Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour
pouvoir mieux gérer les accès c'est bien cela ?



Je dirais les contenus, le mode transparent évite d'avoir à paramétrer les
navigateurs pour diriger leurs requêtes vers le port d'écoute du serveur
proxy (typiquement 3128 ou 8080 suivant les solutions choisies).

Est ce que cela peut agir en fonction de l'Active Directory et
surtout des profils (groupe et utilisateur) ?



Avec pfsense il y a moyen d'utiliser un contrôle par l'annuaire mais dans ce
cas le proxy ne peut plus fonctionner en mode transparent et tu auras à te
charger du paramétrage des navigateurs (faisable par les stratégies pour ie
si tu n'as que ce navigateur).
Je n'utilise pas l'authentification en production car ma seule contrainte
est le filtrage de contenu.

N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul
mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je
peux gagner du temps ?



le site ixus.net est assez détaillé et on trouve pas mal de documentation
sur Ipcop et sur Pfsense
Bien sûr tu as les sites http://www.pfsense.org/ ou http://www.pfsense.org/
.
On trouve aussi pas de documentation en français si tu es fâché avec la
langue du "chat qui expire".
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime
bien le premier je n'envisage pas un retour en arrière.

Merci



de rien

pxg
Michael DENIS
Le #20206811
pxg a écrit :
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime
bien le premier je n'envisage pas un retour en arrière.



Je suis en train de préparer ce même passage, mais je dirais que si
Stéphane n'envisage pas d'avoir, à plus ou moins long terme, plusieurs
Lan, Dmz ou Wan, Ipcop me semble plutôt plus accessible que Pfsense. Par
contre, si le multi-wan (pour une sécurité accrue de l'accès internet)
est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même
si je crois que ces fonctionnalités sont dans la roadmap (mais sans date
précise).

--
Michaël DENIS
pxg
Le #20207041
Michael DENIS wrote:

Par contre, si le multi-wan (pour une sécurité accrue de l'accès
internet) est par exemple déjà dans les têtes, Ipcop risque d'être
bloquant, même si je crois que ces fonctionnalités sont dans la
roadmap (mais sans date précise).



Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas
compris la mise en oeuvre.

Cordialement

pxg
Erwan David
Le #20208141
"pxg"
Michael DENIS wrote:

Par contre, si le multi-wan (pour une sécurité accrue de l'accès
internet) est par exemple déjà dans les têtes, Ipcop risque d'être
bloquant, même si je crois que ces fonctionnalités sont dans la
roadmap (mais sans date précise).



Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas
compris la mise en oeuvre.

Cordialement



je l'ai en production, ça marche très bin.

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Publicité
Poster une réponse
Anonyme