Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1401 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Interdir tous les sites sauf deux sites ! Est-ce possible ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Interdir tous les sites sauf deux sites ! Est-ce possible ?

n°29038
PanTHe0N
Protected Mode: 0ne
Posté le 29-11-2007 à 15:08:45  profilanswer
 

Bonjour,  
dans un reseau géré par SBS 2003 R2 avec 15 postes, nous avons remarqués des gens qui chattent et qui surfent régulièrement (sur les postes de travail)! Je cherche donc une solution pour bloquer tous les sites internet sauf deux (des sites qui concernent notre travail) sites et également bloquage de chat avec MSN ! Toutes les idées sont les bienvenues !
 
Merci d'avance. Cordialement.


Message édité par PanTHe0N le 29-11-2007 à 15:17:45

---------------
Par tout les mêmes lois, pas tous les mêmes droits !
mood
Publicité
Posté le 29-11-2007 à 15:08:45  profilanswer
 

n°29039
boobaka
Posté le 29-11-2007 à 15:18:55  profilanswer
 

Je le fais pour une partie de mes utilisateurs via Squid....

n°29041
PanTHe0N
Protected Mode: 0ne
Posté le 29-11-2007 à 15:49:25  profilanswer
 

Merci pour la réponse, avez-vous une idée pour la mise en place de ce Squid ?

n°29042
Pandinus2k​4
Posté le 29-11-2007 à 15:53:40  profilanswer
 

Bonjour,
 
Pour reprendre la réponse de boobaka, plus généralement il faut un serveur proxy et configurer les postes clients pour passer par ce proxy. A partir de celui-ci, il est ensuite possible de filtrer les URL, en créant une whitelist pour les sites autorisés et interdire par défaut toutes les autres.  
 
Squid n'est qu'un exemple de proxy, et tu trouveras par exemple un tutoriel expliquant son utilisation / installation ici : http://www.fido-fr.net/linux_proxy_transparent.shtml
 
(j'ai pris le premier que j'ai trouvé, il y en a certainement d'autres sur le net)

n°29043
twins_
La Trans y a que ça de vrai !
Posté le 29-11-2007 à 16:12:28  profilanswer
 

y a pas un proxy intégré dans SBS 2k3 ?

n°29044
Pandinus2k​4
Posté le 29-11-2007 à 16:14:57  profilanswer
 

Ah si visiblement il y a ISA2004 d'intégré :)

n°29045
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 29-11-2007 à 16:38:34  profilanswer
 

Dans la version premium de SBS uniquement, pas dans la version standard.

n°29046
ShonGail
En phase de calmitude ...
Posté le 29-11-2007 à 16:44:39  profilanswer
 

Le 1er truc à faire je pense est de voir avec la direction pour prévenir les salariés de se calmer.
 
Ensuite, au niveau technique, tu peux déjà avec les GPO bloquer certains exe (MSN, SKYPE, etc.) et entrer de fausses correspondances IP pour certains sites sans le serveur DNS de ton SBS.
 
Après, pour un contrôle total des sites, il faut un proxy c'est clair.

n°29065
PanTHe0N
Protected Mode: 0ne
Posté le 30-11-2007 à 14:44:21  profilanswer
 

Ahh quand-même ! Donc si j'ai bien compris, il n y a aucun autre moyen à parts un serveur proxy? Est-ce possible de faire une manipulation sur les PC's concernés ? J'ai lu sur un site ceci (je me permet de faire un copier/coller):
 
"tu peut virtuellement bloquer l'acces a tout les sites sauf un c'est tout simple. Mais d'abord un petit peu d'histoire: avant qu'existent les serveurs DNS (pour donner la correspondance nom de domaine adresse ip en dynamique) on utilisait le fichier "hosts". C'est un fichier qui existe sur tout les ordinateurs (mac,pc,linux,windows,unix...) on y renseignait en statique (c'est à dire par une liste d'adresse) les correspondances.  
Donc: si tu veut n'avoir acces qu'à un site, il te suffit de désactiver ton DNS (dans les propriétés réseau...) et de renseigner ton fichier host en y rajoutant la ligne:  
207.68.173.245 www.hotmail.com  
 
Ce fichier se trouve à l'emplacement suivant :  
 
Linux /etc/hosts  
MacOS X /etc/hosts  
Windows 95, 98 c:\windows\  
Windows NT, 2000 c:\winnt\system32\drivers\etc\  
Windows XP c:\windows\system32\drivers\etc\  
 
A ce moment là, tu aura beau taper toutes les adresses que tu veut tu n'aura acces à rien d'autre. seul www.hotmail.com fonctionnera."
 
Qu'en pensez-vous sur cette manipulation ?
Cordialement !

n°29068
Pandinus2k​4
Posté le 30-11-2007 à 14:48:40  profilanswer
 

Oui c'est possible, en revanche vérifie bien que tu n'as pas de services accédés via le nom DNS dans ton entreprise, sinon il faudra que tu les rajoutes tous dans le fichier hosts. Ensuite, si un utilisateur connaît l'adresse IP du site auquel il souhaite accéder, ça fonctionnera toujours.  
 
C'est une méthode un peu barbare, mais ça peut t'aider à résoudre ton problème.

mood
Publicité
Posté le 30-11-2007 à 14:48:40  profilanswer
 

n°29071
twins_
La Trans y a que ça de vrai !
Posté le 30-11-2007 à 15:22:56  profilanswer
 

ou alors si tu as un routeur (celui qui fait ton NAT par exemple) avec quelques fonctionnalités, tu interdis toutes les adresses IP en sortie sauf celles des sites concernés :)
 
la c'est sur ça ne passera plus ;)

n°29074
PanTHe0N
Protected Mode: 0ne
Posté le 30-11-2007 à 16:08:47  profilanswer
 

twins_ a écrit :

ou alors si tu as un routeur (celui qui fait ton NAT par exemple) avec quelques fonctionnalités, tu interdis toutes les adresses IP en sortie sauf celles des sites concernés :)
 
la c'est sur ça ne passera plus ;)


Alors dans ce cas, que est-ce qu'ils feront les autres PC's (PC's qui doivent acceder à l'internet ? ) ?


Message édité par PanTHe0N le 30-11-2007 à 16:09:17
n°29085
twins_
La Trans y a que ça de vrai !
Posté le 30-11-2007 à 18:21:11  profilanswer
 

tu peux faire des regles pour autoriser certaines @IP à acceder à tout et restreindre pour les autres ... par contre ça t'oblige à avoir des IP fixe ou un pool DHCP statique sur les machines avec ces @IP :jap:
 
enfin ça va dépendre de ce que ton routeur c'est faire aussi ;)
 

n°29094
bartounet1​6
go go go
Posté le 01-12-2007 à 12:04:39  profilanswer
 

je pense que tu te met trop dans le cas de la bricole que tu ferais à la maison avec un petit routeur...
 
on parle d'entreprise ici...
 
Le plus souvent dans une boite, tu as le materiel LAN qui appartient à la boite...
 
et tu as les routeurs internet qui sont souvent loués chez un prestataire (FT, cegetel etc...) et le plus souvent tu n'a pas la main sur ces routeurs et encore heureux... il font leur propre maintenance dessus...
 
Tout ca pour dire, que cette solution n'est pas viable pour une entreprise...
 
Le mieux est de passer par un serveur proxy, qui bloque les site de chat, porno etc...
 
Bien sur comme bcp d'autre j'utilise Squid + Squidguard... c'est à mon avis le plus performant...
 
Squid permet même l'authentification par mot de passe...
 
tu peux très bien instaurer des droits d'accès internet... les gens qui ont droit à internet auront un mot de passe pour utiliser le proxy les autres non...
 
A moment donné je pense qu'il faut arreter de bidouiller... et monter quelquechose de sérieux...
 
Pour ma part ca marche comme ca...
Un firewall qui empeche tout trafic entre le LAN et l'internet, sauf pour l'ip du proxy...
 
On ne peut surfer qu'en passant par squid...  
Tu n'a que des avantages... tu peux suivre en temps réèls les consomations internet... et faire des statistiques...

Message cité 1 fois
Message édité par bartounet16 le 01-12-2007 à 12:05:01
n°29102
twins_
La Trans y a que ça de vrai !
Posté le 01-12-2007 à 17:27:32  profilanswer
 

bartounet16 a écrit :

je pense que tu te met trop dans le cas de la bricole que tu ferais à la maison avec un petit routeur...
on parle d'entreprise ici...
 
[...]
 
A moment donné je pense qu'il faut arreter de bidouiller... et monter quelquechose de sérieux...


 
ah désolé j'étais pas au courant que les access-list sur un routeur (ou sur un firewall) c'est de la bricole :heink: ... tu m'en apprends une bonne la, faut vite que j'aille changer toutes mes confs :lol:  
 
bon blag à part effectivement un proxy permet de faire pas mal de chose (gestion user, authentification, stats...) et c'est sûr que dans l'aboslu c'est un très bonne solution pour gérer l'accès à Internet dans une entreprise
 
 
a un moment donné je pense qu'i faut prendre en considération le contexte et trouver la solution technico-économie la mieux adaptée
 
quand je vois "un reseau géré par SBS 2003 R2 avec 15 postes" bizarement mon petit doit me dit que le budget informatique/réseau dans une entreprise comme celle là doit être plutôt limité (enfin je peux me tromper... ;) ) donc faire acheter un serveur et tout le tintouin pour mettre un squid c'est bien mais je suis pas sur que la direction apprécie la facture surtout pour 15 postes :/ il y a de forte chance que finalement la personne qui valide fasse les gros yeux et dit quelque chose comme "Oula, ça fait cher pour pouvoir contrôler MSN et tout le reste !!! Bon ben finalement on va laisser l'accès..." et donc conclusion rien n'aura été fait :lol:
 
alors que potentiellement en fonction de ce qu'il a déjà sous la main il peut peut être faire quelque chose :jap:  
 
 
et au passage une ACL ce n'est pas contournable (bon d'accord si c'est un chimpanzé qui à créer les ACL il peut y avoir des "trous" :D ) contrairement à un proxy :whistle: (bon sauf dans le cas où le proxy est entre 2 firewalls et qu'on filtre le trafic LAN ;) )

n°29104
bartounet1​6
go go go
Posté le 01-12-2007 à 19:13:48  profilanswer
 

Pour ma part je ne trouve pas cette solution satisfaisante..
D'une part tu parle de cout, je pense qu'il n'a pas non plus les moyens de se payer un routeur qui gère les acl... de plus c'est très peu ergonomique...
 
je me vois mal faire une acl pour tel ou tel site...  
c'est pas du tout modulable... tu as pas vraiment la visu sur ce qui se passe...
 
Pour monter un proxy squid tu n'a pas besoin d'un foudre de guerre... il as peut etre même dejà ce qu'il faut dans ses locaux...
 
Je trouve que le proxy a tous les avantages: filtrage, statistique, cache ... et surtout modulable...

n°29138
PanTHe0N
Protected Mode: 0ne
Posté le 03-12-2007 à 10:49:25  profilanswer
 

Oui effectivement, le problème est le cout, deux postes qui nous posent des problèmes et les autres (et le reseau) doivent subir des conséquences assez graves ! Je suis un peu perdu, je ne sais quoi appliquer comme solution.

n°29140
twins_
La Trans y a que ça de vrai !
Posté le 03-12-2007 à 10:54:25  profilanswer
 

ben un proxy c'est effectivement plus propre et plus efficace ... mais tu devras au minimum soit avoir une machine pour faire tourner un linux avec un squid (coûts de la machine, les softs c'est gratos) ou acheter un proxy "Windows" que tu mets sur ton serveur SBS :jap:
 
après effectivement tu peux faire ça en brut sur ton routeur et/ou firewall de manière un peu bourrin s'ils le permettent techniquement :)
 
où alors sinon tu n'as pas moyen de discipliner tes 2 utilisateurs qui posent problème ? :whistle:


Message édité par twins_ le 03-12-2007 à 10:54:56
n°29253
ShonGail
En phase de calmitude ...
Posté le 04-12-2007 à 21:40:05  profilanswer
 

En ce qui concerne le coût d'une machine pour un proxy sous linux, j'ai tourné 2 ans avec un routeur/firewall/proxy sous Ipcop 1.3 + dansguardian sur un celeron 400, 384mo de RAM, HDD de 40Go et jusqu'à 50 users en // derrière pour du surf.
 
Tout ça pour dire que si on veut faire dans la débrouille pas cher pour du très bien, c'est possible niveau proxy HTTP.

n°29259
bartounet1​6
go go go
Posté le 04-12-2007 à 23:24:48  profilanswer
 

C'est toujours le même probleme... tout dépend ce qu'on veut...
en effet on peut faire un un proxy avec un vieux pc ... Mais bon en général en entreprise on met du sérieux... Serveur de marque, Raid, alim redondante ... etc ...
 

n°29262
ShonGail
En phase de calmitude ...
Posté le 05-12-2007 à 07:15:38  profilanswer
 

je suis ok
mais pas besoin de bi xéon et X Go de ram, voilà mon propos ;)

n°29291
prozium
Posté le 05-12-2007 à 14:14:20  profilanswer
 

Perso , j'utilise mon firewall (Sonic Wall ) pour filtrer les access internets.
J'autorise ou non l'utilisateur a se connecter à internet .  
 
Et suivant le groupe auquel il appartient je peux autoriser un site et desactiver le surf sous tout autre site que ceux de la liste blanche .
 
Pas compliqué à configurer maintenant au niveau prix c'est plus cher qu'un vieux pc mais j'espere qu'il a des compétences en linux car ok l'install est assez simple mais en cas de problème va falloir savoir mettre les mains dans le cambouis ...

n°29292
PanTHe0N
Protected Mode: 0ne
Posté le 05-12-2007 à 14:20:49  profilanswer
 

Ca s'installe en local ou faut-il une machine dédiée ?

n°29423
prozium
Posté le 07-12-2007 à 13:34:30  profilanswer
 

Si tu me parles à moi cela se configure simplement en prenant la main par https sur le pare feu donc pas de machine dédié .

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Interdir tous les sites sauf deux sites ! Est-ce possible ?

 

Sujets relatifs
Connexion VPN entre deux sites : Nerim ou Oleane ?NT4 et .net possible ?
[Exchange 2003] Passer d'un mono-serveur à un cluster. Possible ?Interconnexion de plusieurs sites
Plusieurs domaines active directory sur un serveur c'est possible ?802.3ad entre 2 machines ... possible ?
Comment n'autoriser que certains sites sur un Seveur 2000 + AD ?Est - il possible de faire passer un VPN dans un autre VPN?
2 pc en ethernet par 2 prises tél. : possible ?ping possible - traceroute impossible
Plus de sujets relatifs à : Interdir tous les sites sauf deux sites ! Est-ce possible ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR