Bonjour à tous !
Je cherche à bloquer l'accès Internet à un poste (terminal atelier), tout en gardant l'accès au réseau de l'entreprise. Quels sont les solutions à mettre en place ?
Le mieux étant que la solution soit réversible.
D'avance merci pour votre aide !
Alex

comment tes postes accèdent-ils à Internet (proxy, nat, etc.) ?

Déjà si tu n'as qu'un seul sous réseau tu peux virer la route par défaut

Si t'as un proxy, tu le fait directement sur le serveur proxy (dans squid ou ISA).
Si tu as du NAT (comme je le présume), il faut bloquer l'accès sur le routeur qui vous sert de passerelle.

Oui si on connait pas précisément ton infrastructure on peut pas trop te répondre, le plus courant est en effet de bloquer tous les accès par un firewall et de n'acepter les sorties http qu'en passant par un proxy... (ex squid + squidguard)  
Après libre à toi d'instaurer la politique que tu veux sur squid... tu peux même obliger es utilisateurs internet a utiliser un couple login mot de passe

Si ton poste passe par un routeur, il est possible de poser un ACL par exemple empéchant l'accès au port 80 pour le poste.

Pour ce qui est de l'infrastructure, je viens d'arriver dans l'entreprise et je n'ai que très peu (voir pas du tout) d'informations...
Pour ce qui est de la configuration, les postes sont en IP fixes. La connexion se fait sur le serveur et l'adresse par défaut est l'adresse IP du routeur.
Sinon pour faire au plus simple, la solution ne pourrait pas être tout simplement de desinstaller IE ?

c'est un quoi ton routeur??BOX? .... plus de précision stp

C'est un routeur SDSL fourni par le FAI et branché sur le switch

l'os de ton poste?

windows xp pro
(pour l'instant, j'ai indiqué une fausse adresse de proxy dans IE, ça fonctionne, mais c'est facilement débloquable)

Ma solution me parait pas mal

Tu peux réduire les privilège des comptes utilisateurs...

ben oui c'est ça qu'il faut faire si tu ne maitrises pas trop le reste de l'infra réseau.

Ok merci pour les conseils !

Si les gens ne sont pas admin sur leur poste, tu te connectes en admin, tu changes la passerelle par défaut ou les DNS (tu effaces l'existant), et comme ça plus d'accès à Internet.

mouef je trouve pas ca très élégant... sachant que même si tu ne veux pas avoir que tes utilisateurs aient accès à internet, c'est toujours un plus que les OS aient accès aux mise à jour de sécurité et aussi aux mise à jour antivirus... sans passerelle....

Sur un réseau d'entreprise un tant soit peu complet, les postes ne vont pas chercher leurs mises à jour sur Internet mais sur des serveurs internes.

hello ...  
solution à l'arrache ..  
 
tu lui installes un firewall en local avec un mot de passe et tu lui bloc, soit par port, soit par application
 
ou le filtrage de port dans les parametres tcp avancées .... un peu chiant mais ca doit marcher

Plusieurs solutions :  
 
- de base tu peux bloquer la navigation sous IE : verrouillage par mot de passe (options internet -> contenu -> contrôle d'accès)
- si le poste ne doit jamais aller vers l'exterieur ben tu dégages l'adresse de la passerelle (risquera plus d'aller visiter autre chose que ton réseau local)
- si le poste est sous Xp : regarde dans le firewall logiciel de Windows pour fermer le port 80 et 443 (voir bloquer tout court la navigation)*
- certains antivirus ont cette fonction
- après si ton réseau est plus costaud : voir si tu as un proxy pour fermer l'accès, un firwall, etc.

Si il n y a qu un seul sous reseau, le plus simple et basique, c est de le mettre en ip fixe et ne pas mettre de passerelle x)
sinon au niveau du firewall tu bloques ce qui vient de son ip

Bonsoir,  
 
Excusez-moi de m'immiscer dans cette conversation, mais j'aimerais savoir comment bloquer "par intervention au niveau machine exclusivement" l'accès Web tout en préservant l'accès réseau local.
 
Architecture sur AD2000, mais le poste concerné par l'interdiction est sous Windows 98SE (et son utilisateur est plus bidouilleur que la moyenne !)
 
Je ne souhaite pas intervenir au niveau Firewall ou AD, pour rester sur une manip "basique" si elle existe...
 
Merci pour votre aide    

Enlevé la passerelle te cantonne en plus a ton sous réseau... dans une entreprise il est rare d'avoir un seul réseau...  
C'est bien il a plus le net, mais il a plus acces non plus au reste de son réseau d'entreprise...
Bon si il y a qu'un sous réseau ca peut passer, mais si il n'y a qu'un sous réseau, je dout que se soit une grosse entreprise, donc je doute qu'il fasse des maj par wsus ou autre... donc si pas de serveur de maj et pas de passerelle bah pas de maj du tout
 
Je reste sur mon idée la plus propre, un vrai proxy...

Ou bloquer son accès depuis IE puisque IE peut le gérer (solution immédiate en attente proxy ) : un ptit proxy squid sous Linux c'est très simple à mettre en place.

Oui c'est assez simple a mettre en place, après si on veut faire ca sérieusement il faut mettre en place du firewalling...
empecher tous les flux http autre que pour l'ip du proxy, ce qui implique l'obligation totale de passer par le proxy pour surfer...
 
Car même en bloquant IE sur le proxy par une GPO et en enlevant les droits d'admin pour qu'ils n'installent pas un navigateur tiers, il reste toujours la possibilité de passer par un autre OS, live cd ou autre... et pourquoi pas par un pc qui ne vient pas de l'entreprise (PC perso d'un utilisateur ou d'un intervenant extérieur)

Sinon une autre solution un peu "bricolage" tu mets une fausse IP dans son fichier host pour le proxy (si tu en a un et que tu ne souhaites pas tout modifier) et c'est reglé.

suffit de modifier le fichier host de la machine pour donner au niveau dns les ips pr les majs os et av. Bon faut pas qu'ils changent souvent les ip mais c facilement faisable.

Je répondais sur le fait de changer la passerelle...
 
tu auras beau mettre toutes les correspondances que tu veux dans le fichiers hosts.. si tu n'a pas de passerelle pour sortir de ton sous réseau.... tu n'ira pas bien loin...

tout a fait. je parlai de mettre que les dns interne. Et mettre seulement pr l'av et l'up de l'os ds le fichiers host.

Il pourra tout de même surfer avec les adresses ip ;-)

c vrai aussi.  
   

Tu retires le cable réseau ! Là il ira plus sur internet et t'auras pas touché au firewall.
Le plus simple reste un ACL sur l'équipement de sécurité.

Bonjour,
 
Je me permets de me servir de ce topic.
Dans notre parc, on a deux types de "postes" :  
- les postes avec la possib d'aller sur internet
- les autres avec la seule de possibilité d'aller sur deux sites web notamment les pages jaunes.
 
Je voudrais savoir ou tout cela se gere sur le proxy.  
L'un d'entre vous parlais de ISA ou Squib mais sur notre proxy ProxyInspector..je ne vois rien de tout ca.
 
Pourriez vous m'aider..en l'absence de notre tech reseau en congés  
 
Merci

POUR AVOIR LE RÉSEAU LOCAL QUI FONCTIONNE
SANS INTERNET SUR UNE MACHINE EN LOCAL
 
Aller dans Panneau de configuration du PC en question
-> Réseau et Internet
-> Centre Réseau et partage
 
puis
-> Connexion au réseau local
-> Propiétés
-> Protocole Internet version 4 (TCP/IPv4)
-> Propiétés
 
puis
-> mettre momentanément 127.0.0.1 dans "Utiliser l'addresse de server DNS suivante"
 
Pour retrouver internet :
-> même manip
-> et remettre :  "Obtenir les adresses des serveurs DNS automatiquement"
 
Voilà

complètement faux