IPCOP et le reseau win 2000 serveur

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP et le reseau win 2000 serveur

Messagepar Seb_Zero » 30 Mars 2004 13:13

Bonjours alors voila mon probleme

je suis encore sous IPCOP v1.2.0 ( mais je peut passer sous la 1.3 si cela est possbile avec ce que je demande 8) )

je voudrais que seulement et uniquement ceux qui ce sont connecté et identifié sous le serveur windows 2000 puisse avoir internet et donc que les ordinateurs ne se trouvant pas sur le domaine ne puisse pas avoir internet :)

et je voudrais savoir si ipcop pouvais aussi enregistrer les logins de ceux qui surf au lieu de l'adresse ip
pour pouvoir enregistrer tout les sites par personnes et non plus par poste

Merci
Brood War le meilleur jeu du monde :o)
Avatar de l’utilisateur
Seb_Zero
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 07 Juin 2003 00:00

Messagepar tomtom » 30 Mars 2004 13:19

Malheureusement, pour pouvoir faire ceci il faut que squid puisse demander les infos au controleur de domaine, et ceci n'est pas implémenté à ma connaissance dans IPCop...

Aussi, si tu enregistres des infos nominatives sur les connexions des utilisateurs à Internet, n'oublies pas que tu dois le leur dire, et en plus declarer ça à la CNIL (et evidemment, tout faire pour garantir la sécurité de ces informations)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 30 Mars 2004 13:33

Et informer le CE de la boite (si il y en a un bien sur).
La cnil,je sais pas. On pas dire que c'est vraiment un fichier nominatif. C'est pas des infos que tu as fournies, et par définition allez sur un lieu publique ne peut être "privé".

Puis pour limiter la naviguation, la liste des sites visités en page html mises a jour régulièrement, ca suffit non ?
Dernière édition par Franck78 le 30 Mars 2004 13:52, édité 1 fois au total.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar swapfiles » 30 Mars 2004 13:46

'lut.

Difficile d'informer le CE surtout quand il n'y en a pas dans toutes les boites.

Sinon il faut avertir la CNIL.

Quand aux sessions pourquoi ne pas mettre en login la première lettre du prénom et le nom complet??
Et garder donc la trace d'ipcop au niveau des IP.
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux

Messagepar Franck78 » 30 Mars 2004 14:13

Ce site est pas mal complet sur un tas de probléme juridique.
http://www.murielle-cahen.com

Et cet article "cybersurveillance" interressera
surement les admins réseaux:

http://www.murielle-cahen.com/p_reseau.asp

Et la liste d'articles
http://www.murielle-cahen.com/news.asp
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Seb_Zero » 30 Mars 2004 18:04

swapfiles a écrit:'lut.
Quand aux sessions pourquoi ne pas mettre en login la première lettre du prénom et le nom complet??
Et garder donc la trace d'ipcop au niveau des IP.


l ip me permet de savoir d'ou viens celui qui consulte mais ne me dit pas la personne:'(

je veux garder un trace comme le fait wanadoo et tout les providers

j'ai mit dansgradians sur ipcop pour limiter mais bon ca bloque pas tout mais c'est vrai quand meme pas mal de chose :)

merci pour vos reponses aussi rapide :)

PS: existe t'il un moyen de bloker le p2p ?
et re ps: tout ordinateur se trouvant sur le reseau ipcop aura donc internet ? n'existe t il pas un moyen de bloquer l'accès à certain ordinateur ( en fait je ne veux pas que quelqu'un vienne avec son ordi et puisse avoir internet , seul les ordi de mon reseau seront aurorisé à l avoir)
Brood War le meilleur jeu du monde :o)
Avatar de l’utilisateur
Seb_Zero
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 07 Juin 2003 00:00

proxy...

Messagepar popoch » 30 Mars 2004 21:45

j ai installe squiguard sur ipcop (merci franck pour ton addon) et je penses que cela reglerait tout tes pbs.

dans un premier temps j ai vu avec squid que l on peut interroger un annuaire compatible ldap pour gerer les acls (ici active directory). il te suffirait de mettre tous les users concernes par l acces internet dans une meme unite d organisation, et de specifier cette uo dans le fichier de conf. de ton linux. (cf doc de squid)

http://www.squid-cache.org/mail-archive ... /0156.html
ou
http://freshmeat.net/projects/ldap_auth/
par ex

bref tu cherches dans google :D

pour filtrer en plus les autres postes qui se connectent ponctuellement sur ton reseau c est tres facile. si tu utilises un srv dhcp, tu mets des baux de reservation dhcp pour tous tes clients (je sais c est long a creer surtout ssi tu en as 50...) puis tu exclues ce que tu veux dans squigard et tu autorises ce que tu veux dans squiguard. sinon si tu es en adressage fixe c est ecore plus facile ... il serait encore plus facile d isoler ton reseau en differents segments (sous reseaux) et d interdire les segments voulu.
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Re: proxy...

Messagepar Seb_Zero » 31 Mars 2004 06:47

popoch a écrit:j ai installe squiguard sur ipcop (merci franck pour ton addon) et je penses que cela reglerait tout tes pbs.

dans un premier temps j ai vu avec squid que l on peut interroger un annuaire compatible ldap pour gerer les acls (ici active directory). il te suffirait de mettre tous les users concernes par l acces internet dans une meme unite d organisation, et de specifier cette uo dans le fichier de conf. de ton linux. (cf doc de squid)



heu tu veux que je recopie utilisateur par utilisateur et que je les mette dans le fichier conf ?? mouarf j'ai pas fini si c'est sa :/

popoch a écrit:pour filtrer en plus les autres postes qui se connectent ponctuellement sur ton reseau c est tres facile. si tu utilises un srv dhcp

ipcop fait le dhcp

popoch a écrit:tu mets des baux de reservation dhcp pour tous tes clients (je sais c est long a creer surtout ssi tu en as 50...)


heu plz explique moi vite fait comment faire car la je vois pas avec l ip fixe je vois comment faire ( mais c'est pas une bonne idée j'ai plus de 50 ordi )mais avec le dhcp je vois pas du tout

popoch a écrit:il serait encore plus facile d isoler ton reseau en differents segments (sous reseaux) et d interdire les segments voulu.

je suis d'accord mais mon savoir faire s'arrete la :/ une petite explication rapide serais la bien venu ( enfi si tu peut et si ca te derange pas :wink: )
je cherche mais bon l'anglais et moi c'est pas facile facile :cry:

et Merci pour toute ces precisions c'est vraiment sympatoche :)
Brood War le meilleur jeu du monde :o)
Avatar de l’utilisateur
Seb_Zero
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 07 Juin 2003 00:00

Messagepar Yvan » 31 Mars 2004 07:39

Bonjour,

Seb_Zero, je te propose une autre solution pour resoudre ton pb, qui ne se gere pas au niveau de ton ipcop, si tu gerais ton reseau un peu comme un cybercafé, avec la limitation de temps d'accés au net en moins:

Je m'explique ipcop te donne l'heure ta machine et le site, et un logiciel comme TN-Network va te renseignement qu'elle utilisateur était sur quelle machine de quelle heure à quelle heure. Le regroupement de ces 2 infos te permet de repondre à qui, quand, ou sur internet, à partir de quelle machine.

quelques liens pour TN-Network qui est gratuit mais c'est pas le seul:

http://alexistoulotte.free.fr/tnnetwork/index.html
http://telecharger.01net.com/windows/Ut ... 26818.html

Je n'ai pas tester le logiciel, mais il devrait pouvoir t'aidr à trouver une solution.



Sinon autre possiblité si tu a un serveur de domaine, je ne sais pas si ça existe car je ne me suis jamais posé la question mais ce sont peut etre des renseignements qui sont conservé quelques parts (utilisateurs sur quelle machine à quelle heure) sinon tu peut faire un script de connexion qui rajoute l'info dans un fichier texte sur le serveur, faire un autre script à la deconnexion ensuite on a les renseignements pour completer celle d'ipcop.

Voila en vrac quelques idées qui me passe par la téte, que je n'ai jamais tésté je n'ai jamais eu à surveiller mes utilisateurs d'aussi pret mais je pense que en développant une des 2 solutuions tu devrai pouvoir faire ce que tu souhaite.

Bonne journée à tout le monde, Yvan
Avatar de l’utilisateur
Yvan
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 09 Jan 2003 01:00

Messagepar Seb_Zero » 31 Mars 2004 08:54

merci pour ces solutions la :)
je vais voir ce que ca donne :)

et il me reste cette question :
comment isoler mon reseau en differents segments (sous reseaux) et d interdire les segments voulu, sous ipcop ?
Brood War le meilleur jeu du monde :o)
Avatar de l’utilisateur
Seb_Zero
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 07 Juin 2003 00:00

Messagepar Yvan » 31 Mars 2004 21:36

Bonsoir,

Plusieurs Solutions, je t'en propose une la, tu change le masque de sous reseau de IPCOP, exemple:

tu a un reseau en 192.168.1.X avec ce masque de sous reseau 255.255.255.0
si tu met ipcop en 192.168.1.1 avec le masque de sous reseau 255.255.255.128 alors tout les postes dont l'adresse IP est compris entre 192.168.1.2 et 192.168.1.127 pourront accéder à IPCOP, les autres ne pourront pas mais l'ensemble de tes postes pourront quand meme communiqué par le reseau.

Sinon tu a aussi la solution avec iptable, la je rentre pas dans les details je suis pas un pro quand je fais une commande il me faut 1 heure pour rentrer une regle je le fais si peu souvent que je doit tout revoir son fonctionnement à chaque fois pour obtenir le resultat souhaité.

Voila bon courage à + Yvan
Avatar de l’utilisateur
Yvan
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 09 Jan 2003 01:00

Messagepar erreipnaej » 31 Mars 2004 21:52

Bonsoir,

Si tu veux filtrer et eviter des dérives de connection au net, tu peux utiliser DansGuardian.
Je l'utilise personellement pour filtrer l'accés au net de mes enfants et c'est super efficace. Tu peux corriger les filtres pour vraiment arriver à l'utilisation que tu souhaites. Tu peux aussi bloquer les téléchargement par type d'extension. Tu peux déclarer les IP qui ne peuvent pas se connecter et celles qui ont le droit.
L'install ne pose pas trop de probléme. En tant que maitre d'oeuvre, tu peux evidement te donner tous les droits.
Charité bien ordonné commence par soi même! :-)
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar Seb_Zero » 01 Avr 2004 09:46

merci
j utilise deja dansgardian :)

yvan je me renseigne sur iptable et j essairai de l installer et/ou de le configurer :)
thx :)
Brood War le meilleur jeu du monde :o)
Avatar de l’utilisateur
Seb_Zero
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 07 Juin 2003 00:00

Messagepar swapfiles » 15 Avr 2004 00:19

l ip me permet de savoir d'ou viens celui qui consulte mais ne me dit pas la personne:'(

je veux garder un trace comme le fait wanadoo et tout les providers

j'ai mit dansgradians sur ipcop pour limiter mais bon ca bloque pas tout mais c'est vrai quand meme pas mal de chose :)

merci pour vos reponses aussi rapide :)

PS: existe t'il un moyen de bloker le p2p ?
et re ps: tout ordinateur se trouvant sur le reseau ipcop aura donc internet ? n'existe t il pas un moyen de bloquer l'accès à certain ordinateur ( en fait je ne veux pas que quelqu'un vienne avec son ordi et puisse avoir internet , seul les ordi de mon reseau seront aurorisé à l avoir)[/quote]

Bon comme je reviens de vacances...Certains posts 'nont pas eu de réponse de ma part.
Donc je rectifie un peu le tir.

Primo, je n'ai jamais dis que l'ip permettais de retrouver la personne.
Il faut bien lire ce que j'ai écris.

Faire en sorte de mettre une connexion avec la première lettre le prénom; et le reste, le nom complet permet de savoir ensuite à partir de l'ip quel est le user qui a ouvert la sessionet de faire le rapprochement avec le site visité.
Par exemple il voit que l'ip 192.168.10.2 consulte régulièrement des sites de c**.
Un petit nbtstat -a fera le rapprochement avec la session qui est ouverte sur le poste à qui appartient l'ip.
bien sûr ce n'est pas la panacée en matière de contrôle mais déjà celà permet en toute règles de savoir qui va ou à un instant T bien sûr.
Suis-je assez clair là??
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité