Responsable d'un service et ayant quelques connaissances informatique, j'ai
été au fil des années promulgué Administrateur réseaux..
Nous sommes une petite structure possédant de faibles moyens.
Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server 2003
Un routeur oléane (notre passerelle, adresse IP 192.168.1.1)
2 (2 étages) switchs pour connecter les PC
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal
étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.
le serveur est utilisé également comme contrôleur de domaine. Je pensais
mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch
(réseau interne) et sur l'autre le routeur Oleane (réseau externe).
J'avais essayé auparavant avec des stratégies de comptes mais ça marche que
pour Internet Explorer et c'est facilement contournable...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Je ne connais pas grand-chose aux windowseries, mais si tu veux bloquer l'accès à Internet, le plus simple est de séparer le réseau "interne" d'Internet.
Voici ce que j'ai au bureau :
1 réseau interne en 192.168.0.0/24, avec (presque) toutes les stations de travail (Windows principalement). 1 réseau "externe" en 192.168.32.0/24, qui comprend le modem-routeur. Un serveur Linux est relié aux deux réseaux, et fait donc la liaison. Sur ce serveur, un proxy HTTP (Squid) permet aux machines internes d'avoir accès au web.
Dans ton cas, il suffit de lancer le proxy quand tu as besoin d'une connexion au web sur une machine, et de l'arrêter quand tu veux bloquer l'accès. Tu dois même pouvoir autoriser l'accès au proxy à une partie seulement des stations de travail. Tu peux aussi régler le proxy dans Firefox seulement, ce qui rend plus compliqué pour un éventuel malware d'accéder à Internet.
Je ne connais pas grand-chose aux windowseries, mais si tu veux
bloquer l'accès à Internet, le plus simple est de séparer le réseau
"interne" d'Internet.
Voici ce que j'ai au bureau :
1 réseau interne en 192.168.0.0/24, avec (presque) toutes les stations
de travail (Windows principalement).
1 réseau "externe" en 192.168.32.0/24, qui comprend le modem-routeur.
Un serveur Linux est relié aux deux réseaux, et fait donc la liaison.
Sur ce serveur, un proxy HTTP (Squid) permet aux machines internes
d'avoir accès au web.
Dans ton cas, il suffit de lancer le proxy quand tu as besoin d'une
connexion au web sur une machine, et de l'arrêter quand tu veux
bloquer l'accès.
Tu dois même pouvoir autoriser l'accès au proxy à une partie seulement
des stations de travail.
Tu peux aussi régler le proxy dans Firefox seulement, ce qui rend plus
compliqué pour un éventuel malware d'accéder à Internet.
Je ne connais pas grand-chose aux windowseries, mais si tu veux bloquer l'accès à Internet, le plus simple est de séparer le réseau "interne" d'Internet.
Voici ce que j'ai au bureau :
1 réseau interne en 192.168.0.0/24, avec (presque) toutes les stations de travail (Windows principalement). 1 réseau "externe" en 192.168.32.0/24, qui comprend le modem-routeur. Un serveur Linux est relié aux deux réseaux, et fait donc la liaison. Sur ce serveur, un proxy HTTP (Squid) permet aux machines internes d'avoir accès au web.
Dans ton cas, il suffit de lancer le proxy quand tu as besoin d'une connexion au web sur une machine, et de l'arrêter quand tu veux bloquer l'accès. Tu dois même pouvoir autoriser l'accès au proxy à une partie seulement des stations de travail. Tu peux aussi régler le proxy dans Firefox seulement, ce qui rend plus compliqué pour un éventuel malware d'accéder à Internet.
Frédéric PANES
Oleane a écrit : ...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Avec un firewall matériel intercalé avant le routeur, une distribution Linux spécialisée :
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Avec un firewall matériel intercalé avant le routeur, une distribution
Linux spécialisée :
http://ipcop.org/index.php?&newlang=fra
L'interface est en français, le proxy peut s'authentifier sur un AD et
il existe un tas d'add-ons pour ajouter des fonctionnalités.
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Avec un firewall matériel intercalé avant le routeur, une distribution Linux spécialisée :
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ?
Tout internet ... Tu y vas fort ! mais tu as probablement de très bonnes raisons.
L'idéal étant de le faire par rapport au compte AD. Comme cela sur n'importe quel PC en me connectant (administrateurà je pourrais le mettre à jour.
Je suis assez partisan du filtrage centralisé. J'utilise pfsense sur plusieurs accès dont disposent les salles de formation. Je suis moins accoutumé à faire du filtrage personnalisé.
le serveur est utilisé également comme contrôleur de domaine. Je pensais mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).
Tu peux utiliser ton contrôleur de domaine comme routeur et également comme proxy ; j'ai abandonné ISA que je trouvais plutôt lourd à gérer. J'éviterais à tout prix cette solutioncar je ne suis pas zélote du serveur qui fait tout - et pourquoi pas le café ?
J'avais essayé auparavant avec des stratégies de comptes mais ça marche que pour Internet Explorer et c'est facilement contournable...
assez vrai !
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Des proxy comme Pfsense ou ipcop ou smoothwall peuvent te sortir l'épine du pied il te faut juste une machine à recycler. L'avantage du proxy transparent bien règlé est que ce n'est pas si facile de le contourner. Tu peux regarder le site ixus.net avant de te lancer. Je peux aussi utiliser des netasq mais je suis plus limité pour bloquer certains trafics comme les messageries instantanées qui sont vraiment une plaie dans les salles de formation.
En logiciel tu "pourrais" envisager de recourir aux logiciels de "filtrage parental" mais je pense que ce n'est pas adapté ni même gratuit et surtout que tu passerais ton temps à combler les brèches.
Merci de votre aide pour toutes ces questions,
de rien
pxg
Oleane wrote:
Bonjour,
Salut
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ?
Tout internet ... Tu y vas fort ! mais tu as probablement de très bonnes
raisons.
L'idéal étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.
Je suis assez partisan du filtrage centralisé. J'utilise pfsense sur
plusieurs accès dont disposent les salles de formation. Je suis moins
accoutumé à faire du filtrage personnalisé.
le serveur est utilisé également comme contrôleur de domaine. Je
pensais mettre sur une sortie réseau (il en dispose de 2) le
raccordement au switch (réseau interne) et sur l'autre le routeur
Oleane (réseau externe).
Tu peux utiliser ton contrôleur de domaine comme routeur et également comme
proxy ; j'ai abandonné ISA que je trouvais plutôt lourd à gérer. J'éviterais
à tout prix cette solutioncar je ne suis pas zélote du serveur qui fait
tout - et pourquoi pas le café ?
J'avais essayé auparavant avec des stratégies de comptes mais ça
marche que pour Internet Explorer et c'est facilement contournable...
assez vrai !
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il
une solution simple pour couper tout accès extérieur à un PC (le
réseau interne doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Des proxy comme Pfsense ou ipcop ou smoothwall peuvent te sortir l'épine du
pied il te faut juste une machine à recycler. L'avantage du proxy
transparent bien règlé est que ce n'est pas si facile de le contourner. Tu
peux regarder le site ixus.net avant de te lancer.
Je peux aussi utiliser des netasq mais je suis plus limité pour bloquer
certains trafics comme les messageries instantanées qui sont vraiment une
plaie dans les salles de formation.
En logiciel tu "pourrais" envisager de recourir aux logiciels de "filtrage
parental" mais je pense que ce n'est pas adapté ni même gratuit et surtout
que tu passerais ton temps à combler les brèches.
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ?
Tout internet ... Tu y vas fort ! mais tu as probablement de très bonnes raisons.
L'idéal étant de le faire par rapport au compte AD. Comme cela sur n'importe quel PC en me connectant (administrateurà je pourrais le mettre à jour.
Je suis assez partisan du filtrage centralisé. J'utilise pfsense sur plusieurs accès dont disposent les salles de formation. Je suis moins accoutumé à faire du filtrage personnalisé.
le serveur est utilisé également comme contrôleur de domaine. Je pensais mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).
Tu peux utiliser ton contrôleur de domaine comme routeur et également comme proxy ; j'ai abandonné ISA que je trouvais plutôt lourd à gérer. J'éviterais à tout prix cette solutioncar je ne suis pas zélote du serveur qui fait tout - et pourquoi pas le café ?
J'avais essayé auparavant avec des stratégies de comptes mais ça marche que pour Internet Explorer et c'est facilement contournable...
assez vrai !
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Des proxy comme Pfsense ou ipcop ou smoothwall peuvent te sortir l'épine du pied il te faut juste une machine à recycler. L'avantage du proxy transparent bien règlé est que ce n'est pas si facile de le contourner. Tu peux regarder le site ixus.net avant de te lancer. Je peux aussi utiliser des netasq mais je suis plus limité pour bloquer certains trafics comme les messageries instantanées qui sont vraiment une plaie dans les salles de formation.
En logiciel tu "pourrais" envisager de recourir aux logiciels de "filtrage parental" mais je pense que ce n'est pas adapté ni même gratuit et surtout que tu passerais ton temps à combler les brèches.
Merci de votre aide pour toutes ces questions,
de rien
pxg
Amandine Parmesan
On Mon, 21 Sep 2009 16:33:45 +0200, "Oleane" wrote:
Bonjour,
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner).
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors de l'ouvertture de session... Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du FAI sur 127.0.0.1
On Mon, 21 Sep 2009 16:33:45 +0200, "Oleane" <scan@archives-nord.com>
wrote:
Bonjour,
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau interne
doit fonctionner).
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors
de l'ouvertture de session...
Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du
FAI sur 127.0.0.1
On Mon, 21 Sep 2009 16:33:45 +0200, "Oleane" wrote:
Bonjour,
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner).
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors de l'ouvertture de session... Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du FAI sur 127.0.0.1
Yannick Palanque
À 2009-09-21T22:57:27+0200, Amandine Parmesan écrivit :
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors de l'ouvertture de session... Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du FAI sur 127.0.0.1
Non seulement ça ne bloquerait pas Internet mais en plus ce ne fichier ne marche pas ainsi, cette méthode ne marche donc absolument pas.
-- « Notre époque sans doute, pour celui qui en lira l'histoire dans deux mille ans, ne semblera pas moins laisser baigner certaines consciences tendres et pures dans un milieu vital qui apparaîtra alors comme monstrueusement pernicieux et dont elles s'accommodaient. » Proust, LTr
À 2009-09-21T22:57:27+0200,
Amandine Parmesan <nospam@nospam.fr> écrivit :
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors
de l'ouvertture de session...
Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du
FAI sur 127.0.0.1
Non seulement ça ne bloquerait pas Internet mais en plus ce ne fichier
ne marche pas ainsi, cette méthode ne marche donc absolument pas.
--
« Notre époque sans doute, pour celui qui en lira l'histoire dans deux
mille ans, ne semblera pas moins laisser baigner certaines consciences
tendres et pures dans un milieu vital qui apparaîtra alors comme
monstrueusement pernicieux et dont elles s'accommodaient. » Proust, LTr
Avec un script qui change ce fichier (ex : hosts.admin -> hosts) lors de l'ouvertture de session... Dedant on bloque tout sauf le reseau interne en mettant l'IP du DNS du FAI sur 127.0.0.1
Non seulement ça ne bloquerait pas Internet mais en plus ce ne fichier ne marche pas ainsi, cette méthode ne marche donc absolument pas.
-- « Notre époque sans doute, pour celui qui en lira l'histoire dans deux mille ans, ne semblera pas moins laisser baigner certaines consciences tendres et pures dans un milieu vital qui apparaîtra alors comme monstrueusement pernicieux et dont elles s'accommodaient. » Proust, LTr
Oleane
Bonjour,
Au vu de tout vos échanges je pense que la solution consiste à mettre en place un "proxy" entre mon contrôleur de domaine et le routeur Oleane.
J'aurai donc un truc du genre :
Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy <-direct-> routeur Oleane
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ? Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé) le filtrage doit donc se faire en intern.
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir mieux gérer les accès c'est bien cela ? Est ce que cela peut agir en fonction de l'Active Directory et surtout des profils (groupe et utilisateur) ?
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner du temps ? Merci
Stéphane
"Oleane" a écrit dans le message de news: h98384$ksm$
Bonjour,
Responsable d'un service et ayant quelques connaissances informatique, j'ai été au fil des années promulgué Administrateur réseaux.. Nous sommes une petite structure possédant de faibles moyens.
Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server 2003
Un routeur oléane (notre passerelle, adresse IP 192.168.1.1) 2 (2 étages) switchs pour connecter les PC
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal étant de le faire par rapport au compte AD. Comme cela sur n'importe quel PC en me connectant (administrateurà je pourrais le mettre à jour.
le serveur est utilisé également comme contrôleur de domaine. Je pensais mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).
J'avais essayé auparavant avec des stratégies de comptes mais ça marche que pour Internet Explorer et c'est facilement contournable...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Merci de votre aide pour toutes ces questions,
Stéphane
Bonjour,
Au vu de tout vos échanges je pense que la solution consiste à mettre en
place un "proxy" entre mon contrôleur de domaine et le routeur Oleane.
J'aurai donc un truc du genre :
Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy
<-direct-> routeur Oleane
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ?
Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé)
le filtrage doit donc se faire en intern.
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir
mieux gérer les accès c'est bien cela ?
Est ce que cela peut agir en fonction de l'Active Directory et surtout des
profils (groupe et utilisateur) ?
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais
linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner
du temps ?
Merci
Stéphane
"Oleane" <scan@archives-nord.com> a écrit dans le message de news:
h98384$ksm$1@s1.news.oleane.net...
Bonjour,
Responsable d'un service et ayant quelques connaissances informatique,
j'ai été au fil des années promulgué Administrateur réseaux..
Nous sommes une petite structure possédant de faibles moyens.
Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server
2003
Un routeur oléane (notre passerelle, adresse IP 192.168.1.1)
2 (2 étages) switchs pour connecter les PC
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal
étant de le faire par rapport au compte AD.
Comme cela sur n'importe quel PC en me connectant (administrateurà je
pourrais le mettre à jour.
le serveur est utilisé également comme contrôleur de domaine. Je pensais
mettre sur une sortie réseau (il en dispose de 2) le raccordement au
switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).
J'avais essayé auparavant avec des stratégies de comptes mais ça marche
que pour Internet Explorer et c'est facilement contournable...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une
solution simple pour couper tout accès extérieur à un PC (le réseau
interne doit fonctionner).
Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Au vu de tout vos échanges je pense que la solution consiste à mettre en place un "proxy" entre mon contrôleur de domaine et le routeur Oleane.
J'aurai donc un truc du genre :
Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy <-direct-> routeur Oleane
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ? Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé) le filtrage doit donc se faire en intern.
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir mieux gérer les accès c'est bien cela ? Est ce que cela peut agir en fonction de l'Active Directory et surtout des profils (groupe et utilisateur) ?
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner du temps ? Merci
Stéphane
"Oleane" a écrit dans le message de news: h98384$ksm$
Bonjour,
Responsable d'un service et ayant quelques connaissances informatique, j'ai été au fil des années promulgué Administrateur réseaux.. Nous sommes une petite structure possédant de faibles moyens.
Un réseau de 10 PC sous XP et 2 serveurs en réplication sous Win Server 2003
Un routeur oléane (notre passerelle, adresse IP 192.168.1.1) 2 (2 étages) switchs pour connecter les PC
Comment faire pour bloquer l'accès à l'extérieur à partir des PC ? L'idéal étant de le faire par rapport au compte AD. Comme cela sur n'importe quel PC en me connectant (administrateurà je pourrais le mettre à jour.
le serveur est utilisé également comme contrôleur de domaine. Je pensais mettre sur une sortie réseau (il en dispose de 2) le raccordement au switch (réseau interne) et sur l'autre le routeur Oleane (réseau externe).
J'avais essayé auparavant avec des stratégies de comptes mais ça marche que pour Internet Explorer et c'est facilement contournable...
Quelqu'un aurait il la gentillesse d'éclairer ma lanterne ? Y 'a t'il une solution simple pour couper tout accès extérieur à un PC (le réseau interne doit fonctionner). Un logiciel ou un matériel ? d'ailleurs suis je sur le bon forum ???
Merci de votre aide pour toutes ces questions,
Stéphane
pxg
Oleane wrote:
Bonjour,
Bonjour
Au vu de tout vos échanges je pense que la solution consiste à mettre en place un "proxy" entre mon contrôleur de domaine et le routeur Oleane. J'aurai donc un truc du genre : Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy <-direct-> routeur Oleane
tu peux mettre la patte lan du proxy sur le switch, inutile de charge ton contrôleur de domaine d'un routage superfétatoire. Si ton contrôleur fait déjà routeur tu devra intercaler ton proxy entre le contrôleur et le routeur oleane.
Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé) le filtrage doit donc se faire en intern.
c'est tout à fait faisable comme cela il y a probablement à retoucher ou revoir le plan d'adressage.
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ?
Principalement un outil qui se substitunat aux machines de ton lan demande pour son compte les pages internet et qui peut stocker localement des objets (images, pages, voire mises à jour). Surtout un proxy peut être équipé de complément pour filtrer les contenus soit par mot clés (un peu lourdingue) soit par liste spécifique de domaine ou d'url ou mieux encore en utilisant des listes téléchargeables (shalla ou encore université de Toulouse) lesquelles listes catégorisent les sites. Tu peux donc bloquer ou autoriser par catégorie plutôt que par domaine ou url. Sur Pfsense ou ipcop des packages (ou des addons) te permettront de filtrer les messageries instantanées
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir mieux gérer les accès c'est bien cela ?
Je dirais les contenus, le mode transparent évite d'avoir à paramétrer les navigateurs pour diriger leurs requêtes vers le port d'écoute du serveur proxy (typiquement 3128 ou 8080 suivant les solutions choisies).
Est ce que cela peut agir en fonction de l'Active Directory et surtout des profils (groupe et utilisateur) ?
Avec pfsense il y a moyen d'utiliser un contrôle par l'annuaire mais dans ce cas le proxy ne peut plus fonctionner en mode transparent et tu auras à te charger du paramétrage des navigateurs (faisable par les stratégies pour ie si tu n'as que ce navigateur). Je n'utilise pas l'authentification en production car ma seule contrainte est le filtrage de contenu.
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner du temps ?
le site ixus.net est assez détaillé et on trouve pas mal de documentation sur Ipcop et sur Pfsense Bien sûr tu as les sites http://www.pfsense.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.pfsense.org/ ou http://www.pfsense.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.pfsense.org/ . On trouve aussi pas de documentation en français si tu es fâché avec la langue du "chat qui expire". Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime bien le premier je n'envisage pas un retour en arrière.
Merci
de rien
pxg
Oleane wrote:
Bonjour,
Bonjour
Au vu de tout vos échanges je pense que la solution consiste à mettre
en place un "proxy" entre mon contrôleur de domaine et le routeur
Oleane. J'aurai donc un truc du genre :
Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct->
Proxy <-direct-> routeur Oleane
tu peux mettre la patte lan du proxy sur le switch, inutile de charge ton
contrôleur de domaine d'un routage superfétatoire. Si ton contrôleur fait
déjà routeur tu devra intercaler ton proxy entre le contrôleur et le routeur
oleane.
Avec OLEANE je ne peut rien maîtriser sur le routeur
(abonnement sécurisé) le filtrage doit donc se faire en intern.
c'est tout à fait faisable comme cela il y a probablement à retoucher ou
revoir le plan d'adressage.
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les
connexions ?
Principalement un outil qui se substitunat aux machines de ton lan demande
pour son compte les pages internet et qui peut stocker localement des objets
(images, pages, voire mises à jour). Surtout un proxy peut être équipé de
complément pour filtrer les contenus soit par mot clés (un peu lourdingue)
soit par liste spécifique de domaine ou d'url ou mieux encore en utilisant
des listes téléchargeables (shalla ou encore université de Toulouse)
lesquelles listes catégorisent les sites. Tu peux donc bloquer ou autoriser
par catégorie plutôt que par domaine ou url. Sur Pfsense ou ipcop des
packages (ou des addons) te permettront de filtrer les messageries
instantanées
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour
pouvoir mieux gérer les accès c'est bien cela ?
Je dirais les contenus, le mode transparent évite d'avoir à paramétrer les
navigateurs pour diriger leurs requêtes vers le port d'écoute du serveur
proxy (typiquement 3128 ou 8080 suivant les solutions choisies).
Est ce que cela peut agir en fonction de l'Active Directory et
surtout des profils (groupe et utilisateur) ?
Avec pfsense il y a moyen d'utiliser un contrôle par l'annuaire mais dans ce
cas le proxy ne peut plus fonctionner en mode transparent et tu auras à te
charger du paramétrage des navigateurs (faisable par les stratégies pour ie
si tu n'as que ce navigateur).
Je n'utilise pas l'authentification en production car ma seule contrainte
est le filtrage de contenu.
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul
mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je
peux gagner du temps ?
le site ixus.net est assez détaillé et on trouve pas mal de documentation
sur Ipcop et sur Pfsense
Bien sûr tu as les sites http://www.pfsense.org/ ou http://www.pfsense.org/
.
On trouve aussi pas de documentation en français si tu es fâché avec la
langue du "chat qui expire".
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime
bien le premier je n'envisage pas un retour en arrière.
Au vu de tout vos échanges je pense que la solution consiste à mettre en place un "proxy" entre mon contrôleur de domaine et le routeur Oleane. J'aurai donc un truc du genre : Tout les pc du réseaux <-switch-> contrôleur de domaine <-direct-> Proxy <-direct-> routeur Oleane
tu peux mettre la patte lan du proxy sur le switch, inutile de charge ton contrôleur de domaine d'un routage superfétatoire. Si ton contrôleur fait déjà routeur tu devra intercaler ton proxy entre le contrôleur et le routeur oleane.
Avec OLEANE je ne peut rien maîtriser sur le routeur (abonnement sécurisé) le filtrage doit donc se faire en intern.
c'est tout à fait faisable comme cela il y a probablement à retoucher ou revoir le plan d'adressage.
Ok mais c'est quoi un proxy ? un Pc sous linux qui va gérer les connexions ?
Principalement un outil qui se substitunat aux machines de ton lan demande pour son compte les pages internet et qui peut stocker localement des objets (images, pages, voire mises à jour). Surtout un proxy peut être équipé de complément pour filtrer les contenus soit par mot clés (un peu lourdingue) soit par liste spécifique de domaine ou d'url ou mieux encore en utilisant des listes téléchargeables (shalla ou encore université de Toulouse) lesquelles listes catégorisent les sites. Tu peux donc bloquer ou autoriser par catégorie plutôt que par domaine ou url. Sur Pfsense ou ipcop des packages (ou des addons) te permettront de filtrer les messageries instantanées
Ensuite sur le proxy on met un logiciel (pserve, ipcop, ...) pour pouvoir mieux gérer les accès c'est bien cela ?
Je dirais les contenus, le mode transparent évite d'avoir à paramétrer les navigateurs pour diriger leurs requêtes vers le port d'écoute du serveur proxy (typiquement 3128 ou 8080 suivant les solutions choisies).
Est ce que cela peut agir en fonction de l'Active Directory et surtout des profils (groupe et utilisateur) ?
Avec pfsense il y a moyen d'utiliser un contrôle par l'annuaire mais dans ce cas le proxy ne peut plus fonctionner en mode transparent et tu auras à te charger du paramétrage des navigateurs (faisable par les stratégies pour ie si tu n'as que ce navigateur). Je n'utilise pas l'authentification en production car ma seule contrainte est le filtrage de contenu.
N'aurait t'il pas un tuto ou une doc ? Je suis pas complètement nul mais linux, proxy, etc.. je n'y ai jamais été confronté alors si je peux gagner du temps ?
le site ixus.net est assez détaillé et on trouve pas mal de documentation sur Ipcop et sur Pfsense Bien sûr tu as les sites http://www.pfsense.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.pfsense.org/ ou http://www.pfsense.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.pfsense.org/ . On trouve aussi pas de documentation en français si tu es fâché avec la langue du "chat qui expire". Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime bien le premier je n'envisage pas un retour en arrière.
Merci
de rien
pxg
Michael DENIS
pxg a écrit :
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime bien le premier je n'envisage pas un retour en arrière.
Je suis en train de préparer ce même passage, mais je dirais que si Stéphane n'envisage pas d'avoir, à plus ou moins long terme, plusieurs Lan, Dmz ou Wan, Ipcop me semble plutôt plus accessible que Pfsense. Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
-- Michaël DENIS
pxg a écrit :
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime
bien le premier je n'envisage pas un retour en arrière.
Je suis en train de préparer ce même passage, mais je dirais que si
Stéphane n'envisage pas d'avoir, à plus ou moins long terme, plusieurs
Lan, Dmz ou Wan, Ipcop me semble plutôt plus accessible que Pfsense. Par
contre, si le multi-wan (pour une sécurité accrue de l'accès internet)
est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même
si je crois que ces fonctionnalités sont dans la roadmap (mais sans date
précise).
Je suis passé d'Ipcop à Pfsense il y a 18 mois environ et même si j'aime bien le premier je n'envisage pas un retour en arrière.
Je suis en train de préparer ce même passage, mais je dirais que si Stéphane n'envisage pas d'avoir, à plus ou moins long terme, plusieurs Lan, Dmz ou Wan, Ipcop me semble plutôt plus accessible que Pfsense. Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
-- Michaël DENIS
pxg
Michael DENIS wrote:
Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas compris la mise en oeuvre.
Cordialement
pxg
Michael DENIS wrote:
Par contre, si le multi-wan (pour une sécurité accrue de l'accès
internet) est par exemple déjà dans les têtes, Ipcop risque d'être
bloquant, même si je crois que ces fonctionnalités sont dans la
roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas
compris la mise en oeuvre.
Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas compris la mise en oeuvre.
Cordialement
pxg
Erwan David
"pxg" écrivait :
Michael DENIS wrote:
Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas compris la mise en oeuvre.
Cordialement
je l'ai en production, ça marche très bin.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
"pxg" <pxg.nospam@nospam.local> écrivait :
Michael DENIS wrote:
Par contre, si le multi-wan (pour une sécurité accrue de l'accès
internet) est par exemple déjà dans les têtes, Ipcop risque d'être
bloquant, même si je crois que ces fonctionnalités sont dans la
roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas
compris la mise en oeuvre.
Cordialement
je l'ai en production, ça marche très bin.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Par contre, si le multi-wan (pour une sécurité accrue de l'accès internet) est par exemple déjà dans les têtes, Ipcop risque d'être bloquant, même si je crois que ces fonctionnalités sont dans la roadmap (mais sans date précise).
Le multiwan de Pfsense ne m'a pas convaincu. Je n'en ai peut-être pas compris la mise en oeuvre.
Cordialement
je l'ai en production, ça marche très bin.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé