Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1398 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  bloquer l'accès internet sur un poste mais pas au réseau

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

bloquer l'accès internet sur un poste mais pas au réseau

n°30662
therealtra​visbarker
Posté le 08-01-2008 à 18:03:30  profilanswer
 

Bonjour à tous !
Je cherche à bloquer l'accès Internet à un poste (terminal atelier), tout en gardant l'accès au réseau de l'entreprise. Quels sont les solutions à mettre en place ?
Le mieux étant que la solution soit réversible.
D'avance merci pour votre aide !
Alex


Message édité par krapaud le 10-01-2008 à 11:11:08
mood
Publicité
Posté le 08-01-2008 à 18:03:30  profilanswer
 

n°30663
twins_
La Trans y a que ça de vrai !
Posté le 08-01-2008 à 18:21:10  profilanswer
 

comment tes postes accèdent-ils à Internet (proxy, nat, etc.) ?

n°30664
Je@nb
Modérateur
Kindly give dime
Posté le 08-01-2008 à 18:26:41  profilanswer
 

Déjà si tu n'as qu'un seul sous réseau tu peux virer la route par défaut

n°30672
lecharcuti​erdelinux
Posté le 08-01-2008 à 19:01:12  profilanswer
 

Si t'as un proxy, tu le fait directement sur le serveur proxy (dans squid ou ISA).
Si tu as du NAT (comme je le présume), il faut bloquer l'accès sur le routeur qui vous sert de passerelle.

n°30697
bartounet1​6
go go go
Posté le 08-01-2008 à 23:11:29  profilanswer
 

Oui si on connait pas précisément ton infrastructure on peut pas trop te répondre, le plus courant est en effet de bloquer tous les accès par un firewall et de n'acepter les sorties http qu'en passant par un proxy... (ex squid + squidguard)  
Après libre à toi d'instaurer la politique que tu veux sur squid... tu peux même obliger es utilisateurs internet a utiliser un couple login mot de passe

n°30698
madeinsyri​a
*nix warrior, network lover
Posté le 09-01-2008 à 00:13:14  profilanswer
 

Si ton poste passe par un routeur, il est possible de poser un ACL par exemple empéchant l'accès au port 80 pour le poste.

n°30703
therealtra​visbarker
Posté le 09-01-2008 à 08:20:56  profilanswer
 

Pour ce qui est de l'infrastructure, je viens d'arriver dans l'entreprise et je n'ai que très peu (voir pas du tout) d'informations...
Pour ce qui est de la configuration, les postes sont en IP fixes. La connexion se fait sur le serveur et l'adresse par défaut est l'adresse IP du routeur.
Sinon pour faire au plus simple, la solution ne pourrait pas être tout simplement de desinstaller IE ?

n°30714
chinow
Posté le 09-01-2008 à 09:41:22  profilanswer
 

c'est un quoi ton routeur??BOX? .... plus de précision stp

n°30720
therealtra​visbarker
Posté le 09-01-2008 à 10:24:57  profilanswer
 

C'est un routeur SDSL fourni par le FAI et branché sur le switch

n°30721
edouardj
Posté le 09-01-2008 à 10:26:49  profilanswer
 

l'os de ton poste?

mood
Publicité
Posté le 09-01-2008 à 10:26:49  profilanswer
 

n°30737
therealtra​visbarker
Posté le 09-01-2008 à 11:58:33  profilanswer
 

windows xp pro
(pour l'instant, j'ai indiqué une fausse adresse de proxy dans IE, ça fonctionne, mais c'est facilement débloquable)


Message édité par therealtravisbarker le 09-01-2008 à 11:59:29
n°30741
Je@nb
Modérateur
Kindly give dime
Posté le 09-01-2008 à 12:32:33  profilanswer
 

Ma solution me parait pas mal :d

n°30742
madeinsyri​a
*nix warrior, network lover
Posté le 09-01-2008 à 12:33:16  profilanswer
 

Tu peux réduire les privilège des comptes utilisateurs...

n°30745
edouardj
Posté le 09-01-2008 à 13:21:19  profilanswer
 

ben oui c'est ça qu'il faut faire si tu ne maitrises pas trop le reste de l'infra réseau.

n°30753
therealtra​visbarker
Posté le 09-01-2008 à 14:46:14  profilanswer
 

Ok merci pour les conseils !

n°30763
Zboss
Si tu doutes, reboot...
Posté le 09-01-2008 à 20:14:26  profilanswer
 

Si les gens ne sont pas admin sur leur poste, tu te connectes en admin, tu changes la passerelle par défaut ou les DNS (tu effaces l'existant), et comme ça plus d'accès à Internet.


---------------
Mario Kart for Ever
n°30766
bartounet1​6
go go go
Posté le 10-01-2008 à 00:32:43  profilanswer
 

mouef je trouve pas ca très élégant... sachant que même si tu ne veux pas avoir que tes utilisateurs aient accès à internet, c'est toujours un plus que les OS aient accès aux mise à jour de sécurité et aussi aux mise à jour antivirus... sans passerelle....

n°30773
Wolfman
Modérateur
Lobo'tomizado
Posté le 10-01-2008 à 10:21:02  profilanswer
 

Sur un réseau d'entreprise un tant soit peu complet, les postes ne vont pas chercher leurs mises à jour sur Internet mais sur des serveurs internes.

n°30778
hi-jack
Posté le 10-01-2008 à 10:49:50  profilanswer
 

hello ...  
solution à l'arrache ..  
 
tu lui installes un firewall en local avec un mot de passe et tu lui bloc, soit par port, soit par application
 
ou le filtrage de port dans les parametres tcp avancées .... un peu chiant mais ca doit marcher


Message édité par hi-jack le 10-01-2008 à 10:58:29
n°30865
Falconpage
HFR Powered since 1998
Posté le 11-01-2008 à 11:58:22  profilanswer
 

Plusieurs solutions :  
 
- de base tu peux bloquer la navigation sous IE : verrouillage par mot de passe (options internet -> contenu -> contrôle d'accès)
- si le poste ne doit jamais aller vers l'exterieur ben tu dégages l'adresse de la passerelle (risquera plus d'aller visiter autre chose que ton réseau local)
- si le poste est sous Xp : regarde dans le firewall logiciel de Windows pour fermer le port 80 et 443 (voir bloquer tout court la navigation)*
- certains antivirus ont cette fonction
- après si ton réseau est plus costaud : voir si tu as un proxy pour fermer l'accès, un firwall, etc.

n°30884
oO Seth Oo
Posté le 11-01-2008 à 21:01:32  profilanswer
 

Si il n y a qu un seul sous reseau, le plus simple et basique, c est de le mettre en ip fixe et ne pas mettre de passerelle x)
sinon au niveau du firewall tu bloques ce qui vient de son ip


---------------
~ Si Microsoft inventait quelque chose qui ne plante pas, ce serait sûrement un clou ~  Bienvenue chez Tele2, le premier FNAI (Fournisseur de Non Accès à Internet) de France !
n°30889
ChtiSavoya​rd
Posté le 11-01-2008 à 22:14:12  profilanswer
 


Bonsoir,  
 
Excusez-moi de m'immiscer dans cette conversation, mais j'aimerais savoir comment bloquer "par intervention au niveau machine exclusivement" l'accès Web tout en préservant l'accès réseau local.
 
Architecture sur AD2000, mais le poste concerné par l'interdiction est sous Windows 98SE (et son utilisateur est plus bidouilleur que la moyenne !)
 
Je ne souhaite pas intervenir au niveau Firewall ou AD, pour rester sur une manip "basique" si elle existe...
 
Merci pour votre aide  :jap:  

n°30890
bartounet1​6
go go go
Posté le 11-01-2008 à 22:28:09  profilanswer
 

Enlevé la passerelle te cantonne en plus a ton sous réseau... dans une entreprise il est rare d'avoir un seul réseau...  
C'est bien il a plus le net, mais il a plus acces non plus au reste de son réseau d'entreprise...
Bon si il y a qu'un sous réseau ca peut passer, mais si il n'y a qu'un sous réseau, je dout que se soit une grosse entreprise, donc je doute qu'il fasse des maj par wsus ou autre... donc si pas de serveur de maj et pas de passerelle bah pas de maj du tout
 
Je reste sur mon idée la plus propre, un vrai proxy...


Message édité par bartounet16 le 11-01-2008 à 22:29:00
n°30900
Falconpage
HFR Powered since 1998
Posté le 12-01-2008 à 10:38:26  profilanswer
 

Ou bloquer son accès depuis IE puisque IE peut le gérer (solution immédiate en attente proxy ;) ) : un ptit proxy squid sous Linux c'est très simple à mettre en place.

n°30905
bartounet1​6
go go go
Posté le 12-01-2008 à 12:00:39  profilanswer
 

Oui c'est assez simple a mettre en place, après si on veut faire ca sérieusement il faut mettre en place du firewalling...
empecher tous les flux http autre que pour l'ip du proxy, ce qui implique l'obligation totale de passer par le proxy pour surfer...
 
Car même en bloquant IE sur le proxy par une GPO et en enlevant les droits d'admin pour qu'ils n'installent pas un navigateur tiers, il reste toujours la possibilité de passer par un autre OS, live cd ou autre... et pourquoi pas par un pc qui ne vient pas de l'entreprise (PC perso d'un utilisateur ou d'un intervenant extérieur)

n°30946
oslcom
Posté le 14-01-2008 à 08:44:07  profilanswer
 

Sinon une autre solution un peu "bricolage" tu mets une fausse IP dans son fichier host pour le proxy (si tu en a un et que tu ne souhaites pas tout modifier) et c'est reglé.

n°31231
wonee
Ben Chui SyMpA
Posté le 19-01-2008 à 12:25:34  profilanswer
 

bartounet16 a écrit :

mouef je trouve pas ca très élégant... sachant que même si tu ne veux pas avoir que tes utilisateurs aient accès à internet, c'est toujours un plus que les OS aient accès aux mise à jour de sécurité et aussi aux mise à jour antivirus... sans passerelle....


suffit de modifier le fichier host de la machine pour donner au niveau dns les ips pr les majs os et av. Bon faut pas qu'ils changent souvent les ip mais c facilement faisable.

n°31233
bartounet1​6
go go go
Posté le 19-01-2008 à 12:43:30  profilanswer
 

wonee a écrit :


suffit de modifier le fichier host de la machine pour donner au niveau dns les ips pr les majs os et av. Bon faut pas qu'ils changent souvent les ip mais c facilement faisable.


Je répondais sur le fait de changer la passerelle...
 
tu auras beau mettre toutes les correspondances que tu veux dans le fichiers hosts.. si tu n'a pas de passerelle pour sortir de ton sous réseau.... tu n'ira pas bien loin...

n°31235
wonee
Ben Chui SyMpA
Posté le 19-01-2008 à 13:40:31  profilanswer
 

bartounet16 a écrit :


Je répondais sur le fait de changer la passerelle...
 
tu auras beau mettre toutes les correspondances que tu veux dans le fichiers hosts.. si tu n'a pas de passerelle pour sortir de ton sous réseau.... tu n'ira pas bien loin...


tout a fait. je parlai de mettre que les dns interne. Et mettre seulement pr l'av et l'up de l'os ds le fichiers host.

n°31244
bartounet1​6
go go go
Posté le 19-01-2008 à 17:37:05  profilanswer
 

Il pourra tout de même surfer avec les adresses ip ;-)

n°31254
wonee
Ben Chui SyMpA
Posté le 20-01-2008 à 11:10:55  profilanswer
 

bartounet16 a écrit :

Il pourra tout de même surfer avec les adresses ip ;-)


c vrai aussi.  
 [:wipeout_tt]  

n°31285
etellier
Posté le 21-01-2008 à 01:54:47  profilanswer
 

Tu retires le cable réseau ! Là il ira plus sur internet et t'auras pas touché au firewall.
Le plus simple reste un ACL sur l'équipement de sécurité.

n°57099
helios44
Posté le 14-08-2009 à 15:24:23  profilanswer
 

Bonjour,
 
Je me permets de me servir de ce topic.
Dans notre parc, on a deux types de "postes" :  
- les postes avec la possib d'aller sur internet
- les autres avec la seule de possibilité d'aller sur deux sites web notamment les pages jaunes.
 
Je voudrais savoir ou tout cela se gere sur le proxy.  
L'un d'entre vous parlais de ISA ou Squib mais sur notre proxy ProxyInspector..je ne vois rien de tout ca.
 
Pourriez vous m'aider..en l'absence de notre tech reseau en congés  
 
Merci

n°104454
missionsac​ree
Posté le 25-12-2012 à 20:25:35  profilanswer
 

POUR AVOIR LE RÉSEAU LOCAL QUI FONCTIONNE
SANS INTERNET SUR UNE MACHINE EN LOCAL
 
Aller dans Panneau de configuration du PC en question
-> Réseau et Internet
-> Centre Réseau et partage
 
puis
-> Connexion au réseau local
-> Propiétés
-> Protocole Internet version 4 (TCP/IPv4)
-> Propiétés
 
puis
-> mettre momentanément 127.0.0.1 dans "Utiliser l'addresse de server DNS suivante"
 
Pour retrouver internet :
-> même manip
-> et remettre :  "Obtenir les adresses des serveurs DNS automatiquement"
 
Voilà

n°104456
Je@nb
Modérateur
Kindly give dime
Posté le 25-12-2012 à 21:13:47  profilanswer
 

complètement faux :/

mood
Publicité
Posté le   profilanswer
 


Aller à :
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  bloquer l'accès internet sur un poste mais pas au réseau

 

Sujets relatifs
Connection Cisco 2811 vers modem pour accès distantbloquer acces internet sur pc en reseau
Conseil important achat discue dur reseau RAID pour petite entrepriseProblème connexion partage réseau
Problème d'affichage de pages et d'images sur InternetPb d'accès ressource en VPN
Plus de sujets relatifs à : bloquer l'accès internet sur un poste mais pas au réseau


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR