Restreindre l'accès par plage horaire

Notre ami <Marco> tapota :

Bonjour,

je souhaite empêcher toute connexion internet à certaines plages
horaire et sur certains postes.

Bonjour,

Il existe un système dévelloppé dans l'académie de Toulouse ...
Cela utilise un SLIS modifié.
Il faut ajouter un service particulier sur le serveur ET il faut que
les machines soient toutes en IP fixes pour que cela fonctionne. Il y
a un répertoire sur le serveur dans lequel le SLIS vient lire les
interdictions/autorisations.
On peut alors restreindre l'accès internet à un individu ou à un
groupe d'individus ou à une machine ou à un groupe de machines très
facilement.

Avant d'envisager qqchose, il faudrait connaître qq détails car
tout dépend de la façon dont l'accès à concrètement lieu ...
J'imagine qu'il existe une machine dédiée qui sert de passerelle
(proxy ?) ???

A+

HB

Est-ce que le SBS2003 en question est la machine physiquement qui fait la
passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau ou
uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows 2003
(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon serveur
qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également qui
donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse et
que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages d'adresses
sur un seul réseau et de couper le routage à une heure spécifique encore là
avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

"moi" <moi@pas.la.ici> a écrit dans le message de
news:OjaFwHEVHHA.1000@TK2MSFTNGP05.phx.gbl...

Notre ami <Marco> tapota :

Bonjour,

je souhaite empêcher toute connexion internet à certaines plages
horaire et sur certains postes.

Bonjour,

Il existe un système dévelloppé dans l'académie de Toulouse ...
Cela utilise un SLIS modifié.
Il faut ajouter un service particulier sur le serveur ET il faut que
les machines soient toutes en IP fixes pour que cela fonctionne. Il y
a un répertoire sur le serveur dans lequel le SLIS vient lire les
interdictions/autorisations.
On peut alors restreindre l'accès internet à un individu ou à un
groupe d'individus ou à une machine ou à un groupe de machines très
facilement.

Avant d'envisager qqchose, il faudrait connaître qq détails car
tout dépend de la façon dont l'accès à concrètement lieu ...
J'imagine qu'il existe une machine dédiée qui sert de passerelle
(proxy ?) ???

A+

HB

Est-ce que le SBS2003 en question est la machine physiquement qui fait la
passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau ou
uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows 2003
(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon serveur
qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également qui
donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse et
que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages d'adresses
sur un seul réseau et de couper le routage à une heure spécifique encore là
avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
un routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
virtual server pour faire ça !

bonjour,

vous pourriez mettre deux tâche planifiées:
une pour couper
une pour remettre l'accès

une solution assez tordue pour occuper vos utilisateurs (sauf s'ils peuvent
couper les tâches planifiées):
arp -s X.X.X.X 00-aa-00-62-c6-09
cela va rentrer une adresse MAC bidon qui empêchera le pc de contacter la
passerelle

arp -d X.X.X.X
cela permet de contacter de nouveau la passerelle.

de mémoire, le arp -s résiste à un reboot.

L'astuce est de protéger les .cmd qui feront les deux commandes.

ca devrait suffire pour quelques mois

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"<Marco>" <moi@nospam.fr> wrote in message
news:45da078d$0$11549$426a74cc@news.free.fr...

Est-ce que le SBS2003 en question est la machine physiquement qui fait la
passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
ou
uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows 2003
(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
serveur
qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également
qui
donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse
et
que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages
d'adresses
sur un seul réseau et de couper le routage à une heure spécifique encore
là
avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans un
routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en virtual
server pour faire ça !

pour mettre un plus de piment:

depuis un serveur, exécutez les commandes précédentes à distance via psexec:
psexec \pc_pas_gentil arp -s X.X.X.X 00-aa-00-62-c6-09

téléchargement de psexec:
http://www.microsoft.com/technet/sysinternals/utilities/psexec.mspx


--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Mathieu CHATEAU" <gollum123@free.fr> wrote in message
news:2C4585C1-6D9C-4D89-A350-B8C7AD04D274@microsoft.com...

bonjour,

vous pourriez mettre deux tâche planifiées:
une pour couper
une pour remettre l'accès

une solution assez tordue pour occuper vos utilisateurs (sauf s'ils
peuvent couper les tâches planifiées):
arp -s X.X.X.X 00-aa-00-62-c6-09
cela va rentrer une adresse MAC bidon qui empêchera le pc de contacter la
passerelle

arp -d X.X.X.X
cela permet de contacter de nouveau la passerelle.

de mémoire, le arp -s résiste à un reboot.

L'astuce est de protéger les .cmd qui feront les deux commandes.

ca devrait suffire pour quelques mois

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"<Marco>" <moi@nospam.fr> wrote in message
news:45da078d$0$11549$426a74cc@news.free.fr...

Est-ce que le SBS2003 en question est la machine physiquement qui fait
la
passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
ou
uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows
2003
(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
serveur
qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
une
règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également
qui
donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage
d'adresse et
que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages
d'adresses
sur un seul réseau et de couper le routage à une heure spécifique encore
là
avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
un routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en virtual
server pour faire ça !

Un simple router D-Link Di-614+ à 50$ permet de faire des planification
d'horaire (je n'ai pas testé la possibilité exigée, mais je sais qu'il est
possible de programmer des actions de filtrage à certaines heures avec ce
modèle).

Il ya peut-être une possibilité de faire du VLAN aussi, le réseau des postes
à bloquer se trouvera sur des adresses d'une plage différentes qui seront
routé via le serveur qui lui aura 2 adresses IP sur la même carte réseau.
Cela exigerait une adresse IP fixe sur les postes (ou un moyen de forcer
l'utilisation d'un DHCP différent via leur MAC address).

Glenn

"<Marco>" <moi@nospam.fr> a écrit dans le message de
news:45da078d$0$11549$426a74cc@news.free.fr...

Est-ce que le SBS2003 en question est la machine physiquement qui fait
la

passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
ou

uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows
2003

(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
serveur

qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
une

règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également
qui

donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage
d'adresse et

que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages
d'adresses

sur un seul réseau et de couper le routage à une heure spécifique encore
là

avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
un routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
virtual server pour faire ça !

la mise en place de 2 vlan implique que les serveurs locaux soient double
attachés aux 2 vlan ce qui implique d'autres problèmes (enregistrement DNS
en double), ou alors gérer les vlan aussi sur les serveurs via les outils
broadcom ou intel.

Cela me semble complexifier la configuration pour seulement bloquer un accès
Internet.

Mais est-ce que les utilisateurs ne vont pas tout simplement aller sur un
autre ordinateur ?
--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Glenn Gagné" <glenn_gagne@hotmail.com> wrote in message
news:%23%23ZTVZSVHHA.4380@TK2MSFTNGP03.phx.gbl...

Un simple router D-Link Di-614+ à 50$ permet de faire des planification
d'horaire (je n'ai pas testé la possibilité exigée, mais je sais qu'il est
possible de programmer des actions de filtrage à certaines heures avec ce
modèle).

Il ya peut-être une possibilité de faire du VLAN aussi, le réseau des
postes
à bloquer se trouvera sur des adresses d'une plage différentes qui seront
routé via le serveur qui lui aura 2 adresses IP sur la même carte réseau.
Cela exigerait une adresse IP fixe sur les postes (ou un moyen de forcer
l'utilisation d'un DHCP différent via leur MAC address).

Glenn

"<Marco>" <moi@nospam.fr> a écrit dans le message de
news:45da078d$0$11549$426a74cc@news.free.fr...

Est-ce que le SBS2003 en question est la machine physiquement qui fait
la

passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
ou

uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows
2003

(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
serveur

qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
une

règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également
qui

donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003
(si
c'est lui qui fait la passerelle) qui bloque une certaine plage
d'adresse et

que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages
d'adresses

sur un seul réseau et de couper le routage à une heure spécifique
encore
là

avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
un routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
virtual server pour faire ça !

Bonjour,

arp -s X.X.X.X 00-aa-00-62-c6-09
cela va rentrer une adresse MAC bidon qui empêchera le pc de
contacter la passerelle

Et avec le driver SMAC tout passe sans soucis surtout si
les utilisateurs sont administrateur de leur machine et si il ne
ne sont pas mais qu'ils veulent le devenir sur des portables
a la maison a la maison bien tranquillment on se rend sur le
site de JCB et c'est dans la poche.
A part on pare-feu digne de ce nom il n'y a aucune solution
viable et surtout pas d'essayer de faire de la sécurtié a la
petite semaine avec des adresses MAC, C'était valable il
y a 10 ans, mais sur les moindres news et forums on va
renseigner le fraudeur sans problème.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/

on peut aussi venir aussi avec son portable personnel et se brancher sur le
réseau.

La plupart de nos utilisateurs ne savent toujours pas remettre la barre des
tâches ou une barre de menu dans office quand ils cliquent au mauvais
endroit.

L'objectif n'est pas de résister à "gégé la fripouille", mais juste de
bloquer des utilisateurs standards

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"GG [MVP]" <news@nospam.assysm.com> wrote in message
news:e3BdoXaVHHA.3948@TK2MSFTNGP05.phx.gbl...

Bonjour,

arp -s X.X.X.X 00-aa-00-62-c6-09
cela va rentrer une adresse MAC bidon qui empêchera le pc de
contacter la passerelle

Et avec le driver SMAC tout passe sans soucis surtout si
les utilisateurs sont administrateur de leur machine et si il ne
ne sont pas mais qu'ils veulent le devenir sur des portables
a la maison a la maison bien tranquillment on se rend sur le
site de JCB et c'est dans la poche.
A part on pare-feu digne de ce nom il n'y a aucune solution
viable et surtout pas d'essayer de faire de la sécurtié a la
petite semaine avec des adresses MAC, C'était valable il
y a 10 ans, mais sur les moindres news et forums on va
renseigner le fraudeur sans problème.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/

Bonjour,

L'objectif n'est pas de résister à "gégé la fripouille", mais juste de
bloquer des utilisateurs standards

Certes, mais votre réflexion montre bien que vous connaissez
plutot très mal le monde SBS, et surtout en PME.
L'admin SBS ne connait pas grand chose et ce n'est pas son
role (ou pas trop) et que parfois certains stagiaires en connaissent
beaucoup plus pour faire ch... le monde et dans ces cas là ils
savent aussi se servir des news ou de google pour arriver a leur
fin et la sécurité a la petite semaine sur les adresses MAC ou a
2 balles que vous conseillez ne leur résistent pas plus de quelques
minutes, et si Micorsoft propose un ISA server sur SBS, c'est
qu'ils ont bien etudié la chose et ils savent eux qu'ISA est un
outil qui peut servir sur un SBS, et qu'avec cela ca ne bronche,
la ce n'est plus de la sécurité a la petite semaine.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/