Je ne parviens pas à trouver une solution efficace :
Sur un site, il y a X postes, et ils ont accès à internet, il y a un
firewall, mais je veux, pour des raisons de sécurité, leur autoriser
seulement certains sites dont ils ont besoin.
J'ai bien cherché "URL Blocker" ou des truc du genre, mais rien qui me
satisfasse. C'est pourtant pas une fonction difficile à implanter dans un
navigateur, il me semble ? un filtre sur "www.lessitesautorisés.com/*" et
le tour est joué, mais bon...
Nous utilisons Firefox, mais il faudrait aussi prévoir qu'ils cherchent à
utiliser IE, et tout ce beau monde est généralement sous du WinXP, il
reste eventuellement quelques postes en Win98SE.
Si quelqu'un a une solution, je suis preneur (de préférence en libre !)
Sur un site, il y a X postes, et ils ont accès à internet, il y a un firewall, mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf vers les quelques IP que tu autorises.
On Sun, 26 Mar 2006 23:41:19 +0200, gillot <pascalgilles@free.fr>:
Sur un site, il y a X postes, et ils ont accès à internet, il y a un
firewall, mais je veux, pour des raisons de sécurité, leur autoriser
seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf
vers les quelques IP que tu autorises.
Sur un site, il y a X postes, et ils ont accès à internet, il y a un firewall, mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf vers les quelques IP que tu autorises.
gillot
Le Mon, 27 Mar 2006 00:14:10 +0200, Fabien LE LEZ a écrit :
On Sun, 26 Mar 2006 23:41:19 +0200, gillot :
Sur un site, il y a X postes, et ils ont accès à internet, il y a un firewall, mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre, donc solution non viable.
A+ Gillot ;o)
Le Mon, 27 Mar 2006 00:14:10 +0200, Fabien LE LEZ a écrit :
On Sun, 26 Mar 2006 23:41:19 +0200, gillot <pascalgilles@free.fr>:
Sur un site, il y a X postes, et ils ont accès à internet, il y a un
firewall, mais je veux, pour des raisons de sécurité, leur autoriser
seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf
vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à
l'autre, donc solution non viable.
Le Mon, 27 Mar 2006 00:14:10 +0200, Fabien LE LEZ a écrit :
On Sun, 26 Mar 2006 23:41:19 +0200, gillot :
Sur un site, il y a X postes, et ils ont accès à internet, il y a un firewall, mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin.
S'il y a un firewall, il suffit d'interdire toutes les connexions sauf vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre, donc solution non viable.
A+ Gillot ;o)
Fabien LE LEZ
On Mon, 27 Mar 2006 01:23:36 +0200, gillot :
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre,
Gnourmpf ? T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs adresses IP, en round-robin ? Un p'tit dig (ou nslookup sous Windows) devrait t'en donner le coeur net.
Sinon, une autre méthode sympa pourrait être de forcer les utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de sécurité, en coupant toute connexion directe entre les postes et Internet.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça marche plutôt bien.
On Mon, 27 Mar 2006 01:23:36 +0200, gillot <pascalgilles@free.fr>:
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à
l'autre,
Gnourmpf ?
T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs
adresses IP, en round-robin ?
Un p'tit dig (ou nslookup sous Windows) devrait t'en donner le coeur
net.
Sinon, une autre méthode sympa pourrait être de forcer les
utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de
sécurité, en coupant toute connexion directe entre les postes et
Internet.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur
ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça
marche plutôt bien.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre,
Gnourmpf ? T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs adresses IP, en round-robin ? Un p'tit dig (ou nslookup sous Windows) devrait t'en donner le coeur net.
Sinon, une autre méthode sympa pourrait être de forcer les utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de sécurité, en coupant toute connexion directe entre les postes et Internet.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça marche plutôt bien.
Fabien LE LEZ
On Sun, 26 Mar 2006 23:41:19 +0200, gillot :
mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin. [...] Nous utilisons Firefox, mais il faudrait aussi prévoir qu'ils cherchent à utiliser IE,
... ou n'importe quel autre navigateur. AMHA la solution devra être totalement indépendante du navigateur -- et, si possible, des PC des utilisateurs. D'où mon idée de proxy (cf autre message).
On Sun, 26 Mar 2006 23:41:19 +0200, gillot <pascalgilles@free.fr>:
mais je veux, pour des raisons de sécurité, leur autoriser
seulement certains sites dont ils ont besoin.
[...]
Nous utilisons Firefox, mais il faudrait aussi prévoir qu'ils cherchent à
utiliser IE,
... ou n'importe quel autre navigateur.
AMHA la solution devra être totalement indépendante du navigateur --
et, si possible, des PC des utilisateurs. D'où mon idée de proxy (cf
autre message).
mais je veux, pour des raisons de sécurité, leur autoriser seulement certains sites dont ils ont besoin. [...] Nous utilisons Firefox, mais il faudrait aussi prévoir qu'ils cherchent à utiliser IE,
... ou n'importe quel autre navigateur. AMHA la solution devra être totalement indépendante du navigateur -- et, si possible, des PC des utilisateurs. D'où mon idée de proxy (cf autre message).
rm
Salut,
Le 27/03/2006 03:29:39, Fabien LE LEZ a écrit :
... ou n'importe quel autre navigateur.
Opera, au cas où, dispose de tout ce qu'il faut pour faire du filtrage d'url très simplement. voir http://www.opera-fr.com/mode-kiosque.php#url-filter C'est documenté pour le mode "kiosque", mais cette fonctionnalité n'est pas limitée à ce mode bien entendu.
Opera dispose aussi d'une possibilité de configuration "administrateur" (fichier opera6.ini à placer dans %windir%system32) afin d'interdire à l'utilisateur (avec droits réduits donc) des modifications de réglages (de proxy ou page accueil ou du fichier de filtrage d'url :) par exemple) http://www.opera-fr.com/administration-systeme.php
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/ pourrait aussi permettre la restriction de sites...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès > sites autorisés...
@+ -- rm
Salut,
Le 27/03/2006 03:29:39, Fabien LE LEZ a écrit :
... ou n'importe quel autre navigateur.
Opera, au cas où, dispose de tout ce qu'il faut pour faire du filtrage
d'url très simplement.
voir http://www.opera-fr.com/mode-kiosque.php#url-filter
C'est documenté pour le mode "kiosque", mais cette fonctionnalité n'est pas
limitée à ce mode bien entendu.
Opera dispose aussi d'une possibilité de configuration "administrateur"
(fichier opera6.ini à placer dans %windir%system32) afin d'interdire à
l'utilisateur (avec droits réduits donc) des modifications de réglages (de
proxy ou page accueil ou du fichier de filtrage d'url :) par exemple)
http://www.opera-fr.com/administration-systeme.php
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/
pourrait aussi permettre la restriction de sites...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès >
sites autorisés...
Opera, au cas où, dispose de tout ce qu'il faut pour faire du filtrage d'url très simplement. voir http://www.opera-fr.com/mode-kiosque.php#url-filter C'est documenté pour le mode "kiosque", mais cette fonctionnalité n'est pas limitée à ce mode bien entendu.
Opera dispose aussi d'une possibilité de configuration "administrateur" (fichier opera6.ini à placer dans %windir%system32) afin d'interdire à l'utilisateur (avec droits réduits donc) des modifications de réglages (de proxy ou page accueil ou du fichier de filtrage d'url :) par exemple) http://www.opera-fr.com/administration-systeme.php
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/ pourrait aussi permettre la restriction de sites...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès > sites autorisés...
@+ -- rm
gillot
Le Mon, 27 Mar 2006 11:09:38 +0200, Mac Larinett a écrit :
In article , gillot wrote:
> S'il y a un firewall, il suffit d'interdire toutes les connexions sauf > vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre, donc solution non viable
Quel est donc cet étrange firewall qui ne permet pas de filtrer sur un nom de domaine ?
Ben il s'agit de firewalls inclus dans des routeurs ADSL/VPN, et ils ne permettent pas (on tous les cas, j'ai pas vu) le filtrage par nom de domaine, c'est de l'IP pur et dur.
A+ Gillot ;o)
Le Mon, 27 Mar 2006 11:09:38 +0200, Mac Larinett a écrit :
In article <pan.2006.03.26.23.23.36.90665@free.fr>,
gillot <pascalgilles@free.fr> wrote:
> S'il y a un firewall, il suffit d'interdire toutes les connexions sauf
> vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à
l'autre, donc solution non viable
Quel est donc cet étrange firewall qui ne permet pas de filtrer sur un
nom de domaine ?
Ben il s'agit de firewalls inclus dans des routeurs ADSL/VPN, et ils ne
permettent pas (on tous les cas, j'ai pas vu) le filtrage par nom de
domaine, c'est de l'IP pur et dur.
Le Mon, 27 Mar 2006 11:09:38 +0200, Mac Larinett a écrit :
In article , gillot wrote:
> S'il y a un firewall, il suffit d'interdire toutes les connexions sauf > vers les quelques IP que tu autorises.
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre, donc solution non viable
Quel est donc cet étrange firewall qui ne permet pas de filtrer sur un nom de domaine ?
Ben il s'agit de firewalls inclus dans des routeurs ADSL/VPN, et ils ne permettent pas (on tous les cas, j'ai pas vu) le filtrage par nom de domaine, c'est de l'IP pur et dur.
A+ Gillot ;o)
gillot
J'ai déjà vu opéra tourner, mais pour d'autres raisons, nous utilisons Firefox.
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/ pourrait aussi permettre la restriction de sites...
Je vais approfondir ce sujet...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès > sites autorisés...
Tiens, j'ai encore jamais vu cette option, c'est à partir de quelle version de IE qu'on a accès à cette fonction ? Je vais regarder...
Si ces deux possibilité m'apportent satisfaction, mon cahier des charges sera rempli.
Merci pour les astuces ;o)
A+ Gillot
J'ai déjà vu opéra tourner, mais pour d'autres raisons, nous
utilisons Firefox.
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/
pourrait aussi permettre la restriction de sites...
Je vais approfondir ce sujet...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès >
sites autorisés...
Tiens, j'ai encore jamais vu cette option, c'est à partir de quelle
version de IE qu'on a accès à cette fonction ?
Je vais regarder...
Si ces deux possibilité m'apportent satisfaction, mon cahier des charges
sera rempli.
J'ai déjà vu opéra tourner, mais pour d'autres raisons, nous utilisons Firefox.
pour Firefox, je crois que l'extensions http://allowedsites.mozdev.org/ pourrait aussi permettre la restriction de sites...
Je vais approfondir ce sujet...
pour IE, voir dans les options internet > contenu > gestionnaire d'accès > sites autorisés...
Tiens, j'ai encore jamais vu cette option, c'est à partir de quelle version de IE qu'on a accès à cette fonction ? Je vais regarder...
Si ces deux possibilité m'apportent satisfaction, mon cahier des charges sera rempli.
Merci pour les astuces ;o)
A+ Gillot
gillot
Le Mon, 27 Mar 2006 03:28:09 +0200, Fabien LE LEZ a écrit :
On Mon, 27 Mar 2006 01:23:36 +0200, gillot :
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre,
Gnourmpf ?
Oui, exactement ...
T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs adresses IP, en round-robin ?
Très certainement, mais bon je trouve que c'est un peu lourd-dingue de gérer ça en IP, surtout que je voudrais déléguer les tâches de mise à jour et de maintenance à quelqu'un qui n'a pas trop de notions en termes de réseau IP.
Sinon, une autre méthode sympa pourrait être de forcer les utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de sécurité, en coupant toute connexion directe entre les postes et Internet.
Je pense que si je peux filtrer à partir des navigateurs et laisser passer seulement le surf au travers du firewall des routeurs, ce devrait être suffisant pour l'instant. Si cela ne suffit pas, je risque de m'en rendre compte assez rapidement (il y a 40 sites à déployer). Rassurez-vous, je vais utiliser un ou deux sites pilotes au départ, et si c'est concluant au bout d'une quinzaine de jours, je ferai déployer la solution sur les sites restants ! De plus, je me sers d'un VPN sur chaque site pour la maintenance à distance, et s'il y a un proxy, je risque de perdre en souplesse lorsqu'il y a des pannes.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça marche plutôt bien.
Oui, j'ai ça aussi, mais pour cela, il vaut mieux que le poste ne fasse que ça, sous linux et maintenu à jour régulièrement pour être au top secure. Hors, pour 40 sites, 150 machines, je suis parti pour un plein temps, alors j'abandonne l'idée.
Merci pour vos conseils et astuces.
A+ Gillot ;o)
Le Mon, 27 Mar 2006 03:28:09 +0200, Fabien LE LEZ a écrit :
On Mon, 27 Mar 2006 01:23:36 +0200, gillot <pascalgilles@free.fr>:
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à
l'autre,
Gnourmpf ?
Oui, exactement ...
T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs
adresses IP, en round-robin ?
Très certainement, mais bon je trouve que c'est un peu lourd-dingue de
gérer ça en IP, surtout que je voudrais déléguer les tâches de mise à jour
et de maintenance à quelqu'un qui n'a pas trop de notions en termes de
réseau IP.
Sinon, une autre méthode sympa pourrait être de forcer les
utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de
sécurité, en coupant toute connexion directe entre les postes et
Internet.
Je pense que si je peux filtrer à partir des navigateurs et laisser passer
seulement le surf au travers du firewall des routeurs, ce devrait être
suffisant pour l'instant.
Si cela ne suffit pas, je risque de m'en rendre compte assez rapidement
(il y a 40 sites à déployer). Rassurez-vous, je vais utiliser un ou deux
sites pilotes au départ, et si c'est concluant au bout d'une quinzaine de
jours, je ferai déployer la solution sur les sites restants !
De plus, je me sers d'un VPN sur chaque site pour la maintenance à
distance, et s'il y a un proxy, je risque de perdre en souplesse lorsqu'il
y a des pannes.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur
ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça
marche plutôt bien.
Oui, j'ai ça aussi, mais pour cela, il vaut mieux que le poste ne fasse
que ça, sous linux et maintenu à jour régulièrement pour être au top
secure. Hors, pour 40 sites, 150 machines, je suis parti pour un plein
temps, alors j'abandonne l'idée.
Le Mon, 27 Mar 2006 03:28:09 +0200, Fabien LE LEZ a écrit :
On Mon, 27 Mar 2006 01:23:36 +0200, gillot :
J'ai essayé, le problème est que certains sites changent d'IP d'un jour à l'autre,
Gnourmpf ?
Oui, exactement ...
T'es sûr qu'il ne s'agit pas plutôt de sites qui ont plusieurs adresses IP, en round-robin ?
Très certainement, mais bon je trouve que c'est un peu lourd-dingue de gérer ça en IP, surtout que je voudrais déléguer les tâches de mise à jour et de maintenance à quelqu'un qui n'a pas trop de notions en termes de réseau IP.
Sinon, une autre méthode sympa pourrait être de forcer les utilisateurs à passer par un proxy. Ce qui ajouterait un niveau de sécurité, en coupant toute connexion directe entre les postes et Internet.
Je pense que si je peux filtrer à partir des navigateurs et laisser passer seulement le surf au travers du firewall des routeurs, ce devrait être suffisant pour l'instant. Si cela ne suffit pas, je risque de m'en rendre compte assez rapidement (il y a 40 sites à déployer). Rassurez-vous, je vais utiliser un ou deux sites pilotes au départ, et si c'est concluant au bout d'une quinzaine de jours, je ferai déployer la solution sur les sites restants ! De plus, je me sers d'un VPN sur chaque site pour la maintenance à distance, et s'il y a un proxy, je risque de perdre en souplesse lorsqu'il y a des pannes.
Au bureau j'ai un serveur avec deux cartes réseau (une pour le routeur ADSL, l'autre pour le LAN), et Squid (ainsi qu'un serveur mail), et ça marche plutôt bien.
Oui, j'ai ça aussi, mais pour cela, il vaut mieux que le poste ne fasse que ça, sous linux et maintenu à jour régulièrement pour être au top secure. Hors, pour 40 sites, 150 machines, je suis parti pour un plein temps, alors j'abandonne l'idée.
Merci pour vos conseils et astuces.
A+ Gillot ;o)
Pierre Goiffon
gillot wrote:
Je pense que si je peux filtrer à partir des navigateurs et laisser passer seulement le surf au travers du firewall des routeurs, ce devrait être suffisant pour l'instant.
Il est impossible de connaitre votre contexte et les raisons qui vous conduisent à ce choix mais ça parait quand même très curieux comme idée : simplement installer un autre navigateur et plus de filtrage...
gillot wrote:
Je pense que si je peux filtrer à partir des navigateurs et laisser passer
seulement le surf au travers du firewall des routeurs, ce devrait être
suffisant pour l'instant.
Il est impossible de connaitre votre contexte et les raisons qui vous
conduisent à ce choix mais ça parait quand même très curieux comme idée
: simplement installer un autre navigateur et plus de filtrage...
Je pense que si je peux filtrer à partir des navigateurs et laisser passer seulement le surf au travers du firewall des routeurs, ce devrait être suffisant pour l'instant.
Il est impossible de connaitre votre contexte et les raisons qui vous conduisent à ce choix mais ça parait quand même très curieux comme idée : simplement installer un autre navigateur et plus de filtrage...
gillot
> Si ces deux possibilité m'apportent satisfaction, mon cahier des charges sera rempli.
Bon, ben c'est pas terrible comme soluce.
Au final, je vais sûrement employer la solution de FABIEN LE LEZ, c'est-à-dire installation d'un proxy (squid avec squidguard pour un filtrage sur les noms de domaines, et urls !)
A+ Gillot ;o)
> Si ces deux possibilité m'apportent satisfaction, mon cahier des charges
sera rempli.
Bon, ben c'est pas terrible comme soluce.
Au final, je vais sûrement employer la solution de FABIEN LE LEZ,
c'est-à-dire installation d'un proxy (squid avec squidguard pour un
filtrage sur les noms de domaines, et urls !)
> Si ces deux possibilité m'apportent satisfaction, mon cahier des charges sera rempli.
Bon, ben c'est pas terrible comme soluce.
Au final, je vais sûrement employer la solution de FABIEN LE LEZ, c'est-à-dire installation d'un proxy (squid avec squidguard pour un filtrage sur les noms de domaines, et urls !)