Bonjour à tous.
 
Dans ce topic, je solicite votre expérience pour un problème qui à du maintes et maintes fois être abordé par certains d'entre vous.
 
Dans ma boîte, je dois mettre en place un "systeme" pour interdire l'acces "à internet (cf mon pdg) ", donc à tous ce qui est navigation, à la pluspart des machines de la société. Je dois parcontre laisser libre d'autres choses, style mail (pop3 et smtp), le ftp vers une certaine adresse, etc... Donc bon, il me sagit pas de débrancher le modem-routeur
 
Je me tâte sur comment aborder ce genre de problème : une passerelle Iptables ? Ca me parait pas mal.
Un petit squid ? Je sens bien arriver les exceptions, genre oui mais là faut pouvoir aller sur tel site, etc...
Ou alors, un de ces boitiers magic qui fait tout avec des planifications horaires par user, à qui il manque juste la fonction "je fais le café".
 
Humm, je me tâte, et j'aimerais bien vos avis, à tous et en particuier à ceux qui ont déjà mis les mains dans le camboui sur ce sujet.
Ya juste une chose, faut pas que je passe une heure tous les jour à la maintenance de ce truc. Ramer à le mettre en place, oui, mais une fois que ca marche, faut que ca tourne relativement tout seul...
 
Donc voilà, c'est le moment de me livrer vos réflexions...

Tout dépend de la taille de ton entreprise ?
Les utilisateurs ont-ils besoin d'accéder à l'intranet (si il y en a un ) ?
Tu peux  bloquer l'utilisation d'internet ( IE ) via GPO si tu as un AD .
Tu nous dis que tu as un modem-routeur , celà ne doit pas être une grosse entreprise . Dans ce cas tu dois pouvoir parametrer celà .
 
Sinon autre solution , si tu as une machine de dispo , tu peux installer une distrib Linux comme IPCOP , qui est pas mal foutu du tout . Elle est facile à manager et tu peux la moduler . En pus celà ne nécessite pas une grosse config .
A toi de voir en fonction de tes besoins ( nombre d'utilisateurs .... ) .
En tout cas celà te coûtera beaucoup moins cher qu'une appliance à 10 000 € , pour faire la même chose (sans le support).
 

IPCop +1

 
Alors je dois réaliser cette "limitation" sur 4 sites de ma société, le site le plus important c'est 25/30 postes en gros, les autres sites plutot vers 10 postes.
Alors, les utilisateurs ont besoin d'acceder à des fichiers sur des répertoires de notre serveur, faires des impressions sur le photocopieur.
En gros, le trafic lan pour le moment ne me dérange pas, ca je peux laisser tout ouvert.
IPCOP, je connais pas cette distrib   , je vais regarder. C'est une distrib spécialisée pour les passerelles ?

je viens de trouver quelques liens, ca me met en apétit ca

Oui et regarde aussi l'add on copfilter qui ajoute bcp de fonctionnalités à IPCOP

Ok, je vais me pencher la dessus. C'est relativement stable comme disrib ? C'est dingue que je n'en ai jamais entendu parlé !

oui c'est tres stable, ca s'installe en 10min, facile a configurer et ca commence a etre bien connu

humm, c'est quel style au niveau des upgrades ? A la debian avec un upgrade tous les 5 ans, ou à la ubuntu avec un upgrade tous les 6 mois ?
Ho et mince de zut, surtout, ya un gestionnaire de paquet style apt ou yum ?
 
Bon, apres, j'arrete les questions et je rtfm,

pour la frequence des MAJ c'est variable, regarde ici :
 
http://ipcop.org/modules.php?op=mo [...] load&cid=3
 
les mises a jour se font manuellement tres simplement via l'interface Web.
 
Pas de apt il me semble, la distrib est minimaliste
 
 
 

 
Pour ce que je crois crois comprendre de cet distrib, je vais en être accros je crois    
merci merci, je potasse, et je reviens poster en cas de question

Je lis le manuel...
Ca s'annonce bien. J'attends avec impatience le chapitre ou il est indiqué les possibilités de restreindre les acces de certains utilisateurs du réseaux vert à aller sur le reseaux rouge. Mais je sens que ca va me plaire

Tu as un addon "ADVproxy" qui te permet  d'authentifier les users en te basant sur un annuaire LDAP par exemple . Très interressant si tu as AD d'implanter . Tu as aussi URLfilter qui te permet de gérer une whitelist .
Bref un vrai proxy server .

Enormissime ce qu'on peut faire d'après ce que je lis !
Bon là je me penche sur "copfilter"
Je suis déjà conquis par le concept.
 
La seule chose que j'ai pas encore vu apparaitre, c'est les limitations lan vers wan, mon problème de départ pour résumer.
Mais je ne doute pas que ca existe quelque part, ca serait "balo" de pas avoir mis de filtrage "output".

 
 
IPCOP integre Squid donc c'est tout a fait possible de gérer des droits d'accès sur des utilisateurs ou machines vers le wan. Mais comme dit au dessus, et meme si j'ai pas testé, l'add on ADVProxy me semble plus poussé et plus simple a mettre en place  

 
Ok.
Mais la je suis épaté. Comment j'ai pu passer à côté d'une telle distrib ? Son concept est ce que je rève de trouver (niveau admin bien sur), plutot que de monter une bécane en installation "minimale", d'installer juste les modules qu'il faut (enfin plutot essayer, par ce qu'on doit en laisser 10* trop, oublier des modules, etc..), et surtout avoir une interface d'admin digne de ce nom qui permet une utilisation "graphique" distante. Il est bien évident que je ne laisse pas de serveur X sur un serveur ou une passerelle. Mais là l'interface d'admin http, je sens que je vais adorer !
 
Bon, un essai grandeur nature chez moi, et après, je peux "vendre" le concept à mes patron.
 
Quelqu'un à essayé le Vpn ? J'ai dans l'idée de mettre un VPN entre notre site central et nos agence, ca pourrait faire " d'une pierre 2 coup "
 
En tout cas merci pour les infos !

Bon, je fais quelques essais, là j'aimerais mettre copfilter sur sur ma passerelle, mais ils expliquent comment faire uniquement depuis un pc windows.
Moi là je suis sur une distrib linux.
Faut faire du ftp en ssh, ca me rappelle filezilla ca, mais je sais pas comment faire sur ma ubuntu.
Un logiciel ? une idée ?

Pour Ipcop, le forum francophone en rapport se trouve sur www.ixus.net

Bon, je m'en sort pas mal pour le moment, ca a des fonctionnalités interessantes.
Par contre je lutte pour trouver copfilter. Vous auriez pas un petit lien ?
 
Sinon, le advance proxy, pas mal les fonctionnalité, mais j'ai pas trouver comment "affiner" par type de port (authoriser pop et smtp, mais pas http), d'où ma volonté de mettre copfilter pour voir ca qu'il a dans le ventre

http://firewalladdons.sourceforge.net/
 
http://www.copfilter.org/

 
Encore une fois,

Alors me revoilà, après ce long week-end
 
Pour mon problème en particulier, (filtrage en output), il y a un plug-in expres pour ca, BOT (Block Output Traffic ).
Donc je crois que je tiens ce qu'il me faut.
Reste à voir en pratique, mais ca a l'air de gérer, il y a beaucoup d'options,  options horaires, ip, mac, ports, etc...
Faudrais que j'ai l'inspiration un de ces jours pour faire un topic unique sur cette distribution

je confirme, ne connaissant pas encore cette distrib, je viens de tester. C'est que du bonheur

J'utilise depuis 2 ans IPCOP et c'est nikel. Rarement des pépin (de temps en temps un petit reboot nécessaire quand même)...
Un petit pentium, voir un 486 suffis.
Et en effet, install l'adon BOT, c'est exactement ce qu'il te faut.
 
Pour le vpn, je l'utilise et c'est vraiment facile à mettre en oeuvre, même avec des IP dynamique. En tout cas d'un IPcop à un autre. J'ai pas essayer de mixer avec d'autre system..
 
A+

Si tu as du budget pour, tu peux aussi te tourner vers ISA Server 2004.

ca me fais marrer comment tu es enthousiaste a chaque post tuxbleu ^^
 
garde a l'esprit quand meme qu'il y'a des avantage a avoir un firewall "hardware" sans partie mecanique (disque dur) et donc niveau fiabilité, c'est mieux qu'un petit PC (ex http://www.sonicwall.com/ )  
 
cependant c'est certain que le ipcop est tres tres peu cher ^^

Ipcop peu fonctionner sur un "disque" flash...
 
 
edit : ajout des guillemets

 
Ben je t'explique : J'ai un problème précis, je sais juste que je peut peut-etre trouver une solution très cher (appliance...).
Ou sinon, monter un parefeu iptable, et peut-etre ajouter un squid, et je sais pas trop quoi d'autre.
 
Et la, on me dit que ya une distrib ou j'ai rien à faire, tout est pré-configuré, je test, et c'est que du bohneur.
 
Alors forcement, je suis content.

ca le fait c'est clair apparement la solution IPtables + Squid= IPCOP donc pkoi se faire chier !!! Moi qui suis aussi dans l'interrogation, et apres tes tests tuxbleu, que me conseilles tu ?

 
Ben je ne me suis encore jamais attaqué à Squid, mais j'apréhendais un peu.
La ben pour Iptables, ca te fais les regles tout seul, et rien ne t'empeche de les modifier à la main.
J'ai pas tester grandeur nature, mais il me tarde.
 
Je dirais que ca depends pour toi, si tu metrise à fond Iptables + Squid, à toi de voir.
 
Là l'avantage, c'est qu'on évite pleins de failles, car le minimum de modules sont installé.
Je ne sais trop quoi te conseiller, selon ce que tu veux faire.
Si tu veux juste une passerelle et rien d'autre, fonce sur ipcop.
 
Apres si tu veux d'autres truc, ya pas de gestionnaires de paquets et dépendances (enfin j'ai pas vu), donc pour ajouter d'autres programme, tu va surement devoir te complier ipcop sur une autre bécane et faire je ne sais quoi de bizarre que moi je maitrise pas.
 
Conclusion :  
Juste une passerelle : ipcop car minimum de paquet et de faille, et l'interface d'admin qu'es plutot pas mal.
Une passerelle qui te sert pour autre chose, warning pour trouver les paquets.
 
Tiens d'ailleurs, ya pas gcc sur ipcop

ouaip bah pour Squid ca va c'est simple, en une semiane g installé squid, webaliser, et scout je crois pour les rapports et le suivi des gens. Mais j'avoue qu'IPtable, ca me gave je capte pas tout. Alors j'ai mis FWBuilder, mais pareil c gavant, rien ne marche comme je le veux. ALors je suis pas doué, mais je pense quand meme rester sur Squid qui est un peu plus soft et dont je peux faire ce que je veux (mais je garde IPCOP qui me tente quand meme un peu)