Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1734 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  quel proxy pour une entreprise

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

quel proxy pour une entreprise

n°501816
Krapaud
Posté le 11-06-2004 à 14:18:49  profilanswer
 

je cherche une solution linux avec un proxy cache qui me permette d'avoir des temps de réponse très corrects pour une activité en entreprise.
 
Pour l'instant j'opte pour une solution debian mais je ne suis pas figé sur celle-ci (en tout cas je ne veux ni mandrake ni gentoo). Pour le proxy je lis beaucoup de choses à propos de Squid notamment mais je n'ai pas suffisament de routeurs d'utilisateurs sur un réseau qui sans être haute disponibilité doit répondre dans un délai correct.
 
Autre chose je souhaiterais pouvoir permettre la navigation uniquement aux utilisateurs connectés sur le domaine AD 2000 ce qui suppose une validation du login depuis les informations comptable des clients et ce de façon transparente : inutile de préciser que je n'ai pas l'intention de contacter les quelques 250 utilisateurs pour leur demander leur mot de passe pour recréer leurs comptes ailleurs.
 
Voilà donc pour résumer :  
linux + proxy
          |
          \_connecteur LDAP / AD 2000
 
:D
 
merci!

mood
Publicité
Posté le 11-06-2004 à 14:18:49  profilanswer
 

n°501819
Klaimant
?
Posté le 11-06-2004 à 14:21:34  profilanswer
 

squid a mon avis, mais pour AD il faudra matter un peu plus en profondeur que mes connaissances

n°501823
Sly Angel
Architecte / Développeur principal
Posté le 11-06-2004 à 14:22:49  profilanswer
 

Squid également pour moi :jap:

n°501824
AirbaT
Connection timed out
Posté le 11-06-2004 à 14:22:50  profilanswer
 

En dehors de squid je vois pas...

n°501835
Krapaud
Posté le 11-06-2004 à 14:29:29  profilanswer
 

est-il possible d'envisager une debian + squid + samba
samba pour récuperer les comptes AD et permettre de générer les authentifications automatiquement?

n°501841
AirbaT
Connection timed out
Posté le 11-06-2004 à 14:32:53  profilanswer
 

krapaud a écrit :

est-il possible d'envisager une debian + squid + samba
samba pour récuperer les comptes AD et permettre de générer les authentifications automatiquement?


 
Absolument

n°501843
AirbaT
Connection timed out
Posté le 11-06-2004 à 14:33:44  profilanswer
 

Et comme je suis de bonne humeur :
 
http://www.hacom.nl/~richard/software/smb_auth.html

n°501844
Jar Jar
Intaigriste
Posté le 11-06-2004 à 14:33:49  profilanswer
 

Package: libpam-smbpass
Description: pluggable authentication module for SMB password database
 This is a stackable PAM module that allows a system administrator to easily
 migrate to using encrypted passwords for Samba and to keep smb passwords in
 sync with unix passwords.  Unlike other solutions, it does this without
 requiring users to change their existing passwords or login to Samba using
 cleartext passwords.


Message édité par Jar Jar le 11-06-2004 à 14:34:09
n°501847
Krapaud
Posté le 11-06-2004 à 14:36:13  profilanswer
 

ok cool, ça me retire une punaise dans l'oreiller.
 
bon je vais essayer de regarder ça.
 
2 questions pratique :  
- pour un novice en linux, combien de temps prévoir pour installer/configurer complètement la solution avant sa mise en production?
- comment sont gérés les filtres web et comment sont-ils mis à jour?
 
 
Squid permet-il également de faire du filtre de protocole (suppression du P2P par ex)?

n°501850
Krapaud
Posté le 11-06-2004 à 14:36:55  profilanswer
 

airbat & jar jar -> [:plat00n]

mood
Publicité
Posté le 11-06-2004 à 14:36:55  profilanswer
 

n°501858
AirbaT
Connection timed out
Posté le 11-06-2004 à 14:44:25  profilanswer
 

Difficile de dire combien de temps ca va te prendre. Autant l'installation va etre vite faite, merci debian, autant apres...
 
Faut gérer le souci de l'auth, les ACL etc...
J'aurais bien du mal à estimer ca, meme pour moi.
 
Si tu veux filtrer le web, regarde du coté de squidGuard, ca sera peut etre plus adapté (c'est un module qui s'ajoute).

n°501859
watcho
Posté le 11-06-2004 à 14:44:42  profilanswer
 

il faut installer squidguard
 
 
utiliser l'auth smb_auth dans squid
 
pour l'install: 5 min sous debian,  
 
pour la config... bah c'est pas si compliqué...
allez zou: http://christian.caleca.free.fr/sq [...] dguard.htm

n°501872
Krapaud
Posté le 11-06-2004 à 14:53:47  profilanswer
 

AirbaT a écrit :

Difficile de dire combien de temps ca va te prendre. Autant l'installation va etre vite faite, merci debian, autant apres...
 
Faut gérer le souci de l'auth, les ACL etc...
J'aurais bien du mal à estimer ca, meme pour moi.
 
Si tu veux filtrer le web, regarde du coté de squidGuard, ca sera peut etre plus adapté (c'est un module qui s'ajoute).


 
oui je veux le filtrage de contenu et le filtrage de port.
 
Contenu avec une définition de catégories et des exceptions et des mises à jour de la base de données
Port avec la définition de protocoles d'accès uniques sur le port 80 par ex.
 
Et comment ça marche squid avec les streaming realplayer par ex?

n°501873
Krapaud
Posté le 11-06-2004 à 14:57:18  profilanswer
 

watcho a écrit :

il faut installer squidguard
 
 
utiliser l'auth smb_auth dans squid
 
pour l'install: 5 min sous debian,  
 
pour la config... bah c'est pas si compliqué...
allez zou: http://christian.caleca.free.fr/sq [...] dguard.htm


 
merci.
 
en fait il n'existe pas de base de données pré-conçue tel qu'il en existe dans websense ou dans surfcontrol par exemple?

n°501874
Jar Jar
Intaigriste
Posté le 11-06-2004 à 14:57:35  profilanswer
 

krapaud a écrit :

Et comment ça marche squid avec les streaming realplayer par ex?

Bin le streaming utilise d'autres ports, donc tu les ouvres ou tu les fermes, mais je doutes qu'on puisse les gérer avec le proxy.

n°501876
AirbaT
Connection timed out
Posté le 11-06-2004 à 14:59:25  profilanswer
 

krapaud a écrit :

merci.
 
en fait il n'existe pas de base de données pré-conçue tel qu'il en existe dans websense ou dans surfcontrol par exemple?


 
si, pour le porno c'est sur. Apres ca depend ce que tu veux filtrer.

n°501885
Krapaud
Posté le 11-06-2004 à 15:07:26  profilanswer
 

Jar Jar a écrit :

Bin le streaming utilise d'autres ports, donc tu les ouvres ou tu les fermes, mais je doutes qu'on puisse les gérer avec le proxy.


 
avec mon précédent système : checkpoint  + isa/surfcontrol c'était impossible d'avoir le streaming sans bypasser le proxy :/
c'est pour ça que je me pose la question.

n°501889
Krapaud
Posté le 11-06-2004 à 15:07:52  profilanswer
 

AirbaT a écrit :

si, pour le porno c'est sur. Apres ca depend ce que tu veux filtrer.


 
porno, webmail, gambling, violence, ...

n°501891
Jar Jar
Intaigriste
Posté le 11-06-2004 à 15:09:20  profilanswer
 

krapaud a écrit :

avec mon précédent système : checkpoint  + isa/surfcontrol c'était impossible d'avoir le streaming sans bypasser le proxy :/
c'est pour ça que je me pose la question.

Comme je ne sais pas ce que sont checkpoint, isa et surfcontrol, je vais sûrement tomber à côté, mais tu es sûr que ce système ne se contente pas de forwarder les ports correspondant au streaming ?

n°501898
Krapaud
Posté le 11-06-2004 à 15:13:31  profilanswer
 

checkpoint = firewall
isa = proxy Microsoft
surfcontrol = surcouche de filtrage web + catégories pour ISA
 
le proxy devait pourtant laisser passer mais ça n'a jamais marché.

n°501901
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 11-06-2004 à 15:15:20  profilanswer
 

krapaud a écrit :

porno, webmail, gambling, violence, ...


 
outil de MAJ : http://rath.ca/Linux/refreshSG/index.shtml
les blacklists : http://www.squidguard.org/blacklist/

n°501904
AirbaT
Connection timed out
Posté le 11-06-2004 à 15:17:35  profilanswer
 

arf je découvre refreshSG :o
 
Tant pis, mon script bash + cron doit faire aussi bien :fou:

n°501907
JPA
Posté le 11-06-2004 à 15:19:11  profilanswer
 

Installe aussi Webmin pour paramétrer et administrer le proxy depuis un navigateur et un poste quelconque.
A+

n°501909
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 11-06-2004 à 15:20:19  profilanswer
 

JPA a écrit :

Installe aussi Webmin pour paramétrer et administrer le proxy depuis un navigateur et un poste quelconque.
A+


 
[:neo_xp]
 
webmin ça pue. SSH est largement suffisant.

n°501915
Sagittariu​s
Posté le 11-06-2004 à 15:31:35  profilanswer
 

krapaud a écrit :

en tout cas je ne veux ni mandrake ni gentoo


Pourtant, les outils de base en ligne de commande sont les mêmes.
 
Et puis une Mandrake configurée avec squid + shorewall, ça prend vraiment pas longtemps à installer (y compris en permettant le streaming realvideo etc.).

n°501916
Krapaud
Posté le 11-06-2004 à 15:31:43  profilanswer
 
n°501918
Krapaud
Posté le 11-06-2004 à 15:32:03  profilanswer
 

JPA a écrit :

Installe aussi Webmin pour paramétrer et administrer le proxy depuis un navigateur et un poste quelconque.
A+


 
houla je n'ai que des mauvais retour de webmin :o

n°501919
Krapaud
Posté le 11-06-2004 à 15:33:03  profilanswer
 

Sagittarius a écrit :

Pourtant, les outils de base en ligne de commande sont les mêmes.
 
Et puis une Mandrake configurée avec squid + shorewall, ça prend vraiment pas longtemps à installer (y compris en permettant le streaming realvideo etc.).


 
mandrake 7 était bien, depuis je trouve ça hyper merdique. Très pratique pour de la  bureautique mais si tu as kde 3.1 et que tu fais les mises à jour de sécurité ça plante kde :D

n°501921
Sagittariu​s
Posté le 11-06-2004 à 15:34:14  profilanswer
 

webmin par ssl en limitant à certaines ip la maitenance, c'est toujours un outil de plus.
 
Personnellement, je le trouve plutôt pas mal.

n°501927
Krapaud
Posté le 11-06-2004 à 15:40:09  profilanswer
 

c'est possible de limiter les accès?

n°501928
AirbaT
Connection timed out
Posté le 11-06-2004 à 15:41:20  profilanswer
 

krapaud a écrit :

c'est possible de limiter les accès?


 
Oui oui

n°501946
Krapaud
Posté le 11-06-2004 à 15:58:09  profilanswer
 

ah ok, j'croyais qu'il était accessible à tous.
Bon bah j'vais regarder ça, si j'peux mettre un linux ça serait cool :)

n°502018
Sagittariu​s
Posté le 11-06-2004 à 17:40:54  profilanswer
 

krapaud a écrit :

ah ok, j'croyais qu'il était accessible à tous.
Bon bah j'vais regarder ça, si j'peux mettre un linux ça serait cool :)


En général les logiciels libres sont plutôt pas mal conçus, leurs concepteurs ayant déterminé à l'avance nombre de nos besoins et travaillé souvent gracieusement pour y répondre. Il peut s'avérer que certaines fonctionnalités viennent à manquer, mais rien n'empêche de mettre alors la main à la pâte.
 
Bonne continuation sous GNU/Linux

n°502032
Krapaud
Posté le 11-06-2004 à 17:56:44  profilanswer
 

je ne suis pas developpeur so ;)
 
par contre linux / gnu etc... je connais, j'ai ma débian depuis belle lurette et j'étais sous mandrake 6 il y a qq années mais je connais comme utilisateur c'est tout ;)
 
:jap:


Message édité par Krapaud le 11-06-2004 à 17:56:53
n°502053
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 11-06-2004 à 18:37:07  profilanswer
 

krapaud a écrit :

mandrake 7 était bien, depuis je trouve ça hyper merdique. Très pratique pour de la  bureautique mais si tu as kde 3.1 et que tu fais les mises à jour de sécurité ça plante kde :D


 
j'ai une 5.3 dans un coin :D

n°502292
fioul666
Posté le 12-06-2004 à 10:06:00  profilanswer
 

krapaud a écrit :

checkpoint = firewall
isa = proxy Microsoft
surfcontrol = surcouche de filtrage web + catégories pour ISA
 
le proxy devait pourtant laisser passer mais ça n'a jamais marché.


 
checKpoint travaille maintenant en couche 7 aussi ... (filtrage smtp et etc etc ..) ...... c plus qu'un firewall maintenant comme bcp de matos d'ailleurs (style switch ou routeur qui bossent now dans les couches 4 etc )
 
ISA = internet acceleration server (il combine MS proxy et LE firewall MS ) c donc un pure equivalent de squid+squidguard avec l'interoperabilité total avec l'AD.
 
 
a mon ancienne boite on avait squid+squidguard (pour isa j'ai eu le cours cad 7 jours + le mcp associé ... c une usine a gaz : les debut serieux de MS en secu quoi :d)
 
je pense que suid peut taper dans l'ad sans pb pour ce que tu veux faire, avec notre webmail on ouvrait les boite aux lettre exchange 2000 (donc en ad le coco) donc ca doit forcément marcher , et sans samba !!
 
Par contre je ne saurais que trop te conseiller de mettre du radius en place !!
 
car tu interrogeras directement ton ad depuis le proxy et ca c pas secure du tout, si tu peux eviter donc ...


Message édité par fioul666 le 12-06-2004 à 10:10:44
n°502294
fioul666
Posté le 12-06-2004 à 10:09:09  profilanswer
 

krapaud a écrit :

je ne suis pas developpeur so ;)
 
par contre linux / gnu etc... je connais, j'ai ma débian depuis belle lurette et j'étais sous mandrake 6 il y a qq années mais je connais comme utilisateur c'est tout ;)
 
:jap:


 
TIPS important :
 
veilles bien, sur ton serveur proxy, à dimensionner avantageusement ton /var ( endroit ou se place les log par defaut) car un proxy sa trace bcp de chose et donc les log se charge tres vite.
 
Pour les blacklists tu as des sites trés bien fait et l'integration a squidguard est tres aisé

n°502909
Krapaud
Posté le 13-06-2004 à 13:50:53  profilanswer
 

fioul666 a écrit :

checKpoint travaille maintenant en couche 7 aussi ... (filtrage smtp et etc etc ..) ...... c plus qu'un firewall maintenant comme bcp de matos d'ailleurs (style switch ou routeur qui bossent now dans les couches 4 etc )
 
ISA = internet acceleration server (il combine MS proxy et LE firewall MS ) c donc un pure equivalent de squid+squidguard avec l'interoperabilité total avec l'AD.
 
 
a mon ancienne boite on avait squid+squidguard (pour isa j'ai eu le cours cad 7 jours + le mcp associé ... c une usine a gaz : les debut serieux de MS en secu quoi :d)
 
je pense que suid peut taper dans l'ad sans pb pour ce que tu veux faire, avec notre webmail on ouvrait les boite aux lettre exchange 2000 (donc en ad le coco) donc ca doit forcément marcher , et sans samba !!
 
Par contre je ne saurais que trop te conseiller de mettre du radius en place !!
 
car tu interrogeras directement ton ad depuis le proxy et ca c pas secure du tout, si tu peux eviter donc ...


 
une licence radius c'est quand même sérieusement cher ;)
 
mais de toute façon coté sécurité si je prends du linux je pourrais prendre le risque de mettre un reverse proxy en tête de réseau et des firewall iptables à droite et à gauche ;)
     

n°502910
Krapaud
Posté le 13-06-2004 à 13:52:10  profilanswer
 

fioul666 a écrit :

TIPS important :
 
veilles bien, sur ton serveur proxy, à dimensionner avantageusement ton /var ( endroit ou se place les log par defaut) car un proxy sa trace bcp de chose et donc les log se charge tres vite.
 
Pour les blacklists tu as des sites trés bien fait et l'integration a squidguard est tres aisé


 
:jap:
 
en fait pour les logs je ferais un dump régulier (je pense m'enregistrer à la CNIL avec un historique mensuel) donc ça devrait aller, à moins qu'il ne gonfle vraiment trop :o

n°504257
rizzla_tsa
Posté le 15-06-2004 à 14:02:53  profilanswer
 

krapaud a écrit :

:jap:
 
en fait pour les logs je ferais un dump régulier (je pense m'enregistrer à la CNIL avec un historique mensuel) donc ça devrait aller, à moins qu'il ne gonfle vraiment trop :o


tiens une question me turlupine !
 
si on regarde les sites visites de nos employes si ils sont prevenus dans la charte info? faut il quand meme le declare a la CNIL ?
 
sinon pour le streaming et bien j arrive pas les stream real qui tape sur des serveurs rstp:// mais pour tout le reste c est good !


---------------
"Douter de tout ou tout croire, ce sont les deux solutions également commodes qui l'une et l'autre nous dispensent de reflechir." Henri Poincaré.
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  quel proxy pour une entreprise

 

Sujets relatifs
[IPTABLES] connection a internet a un proxy comment faire ?[mdk 9.2] urpmi derriere un proxy [resolu]
Sun Solaris dans votre entreprise ?proxy squid
proxy squidcherche tutoriel pour installer proxy + eventuellement routeur
stunnel à travers un proxyClient MS Proxy 2 sous RedHat9
proxy passerelleProxy en prod qui rame - que vérifier ?
Plus de sujets relatifs à : quel proxy pour une entreprise


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR