Filtrage internet pour mineur sur 3 sites

[ograweb]

Bonjour,

On ma demander de refléchir a la mise en place d'un filtrage de l'acces internet de 3 sites appartenant a la mairie de ma ville (centre jeune - 5 postes, Bibliotheque - 5 postes, Ecole primaire - 20 postes)

Actuellement, chaque site est équipé d'une livebox non pro avec le wifi utilisé pour certaines mais aucune protection avec IP dynamique.


Pour le filtrage, j'ai spontanément pensé a installer des passerelles linux avec squid etc...
Mais cela me dérange un peu de faire acheter 3 machines (3x500€) + maintenance sur les 3 machines


Si je pouvais utiliser une machine dédie (style un dédié debian ovh à 30€) Cela serait plus simple/économique

Techniquement cela pourrait-il être possible ?
Comment puis-je protéger mon proxy pour qu'il ne soit accessible que par ces établissements ?


Merci de vos reponses

[jdh]

Quelques réflexions :

- un pc neuf pour faire firewall n'a pas besoin d'être très puissant : il devrait pouvoir coûter plutôt entre 300 et 400€ pour un noname (1G de mémoire mini !).

- une (live)box (pro ou non) n'effectue aucun filtrage en sortie d'aucune sorte : il faudra donc forcément un matériel entre la box et le réseau local (ou remplacer la box ...).

- on pourrait imaginer des routeurs (au lieu des box) sur les sites "satellites", des vpn vers un site "central" avec un proxy central : mais la performance sera nettement amoindrie, sauf à avoir une ligne de type SDSL sur le site central.

- il est ESSENTIEL de supprimer le wifi des box : le flux ethernet et wifi DOIVENT passer par une machine filtrante et non directement vers la box. A prévoir un routeur wifi (ou un accès point) et un cryptage WPA à clé longue ...

- je pense que le plus simple sera le plus efficace : un pc neuf avec firewall (par exemple pfsense ou ipcop), peut-être un pc supplémentaire en stock prêt à prendre le relais plutôt qu'un contrat de garantie, ...


- Qui sait : un routeur (+wifi) avec un flashage openwrt pourrait être plus light mais singulièrement plus compliqué ? Exige une compétence nettement plus forte ...

[Stirner]

Salut,

Vu le faible nombre d'utilisateurs ne serait-il pas possible de recycler trois vieux PC pour remplir ce rôle ?
J'ai trois client qui oint des IPCOP qui tournent sur des vieux PIII avec 768 Mo de RAM avec squid+bot pour une 20ne d'utilisateurs, dont l'usage d'internet+mail est surement plus important que dans une école et ce sans aucun problème de fonctionnement. Je te recommande un peu d'espace disque (en particulier sur l'école) afin de mettre en cache tous ce qui est mis à jours et ça devrait tourner au petits oignons.

@+

[ograweb]

Merci de vos réponses.

Tout d'abord je prenais une base de 500€ par machine car je recherche quelque chose de fiable. Par exemple la game optiplex de chez dell. Cher mais je n'ai pas trouver plus fiable (et j'ai pourtant monté plusieurs centaines de PC 'noname' style carte mere Asus, boitié noname, alim Heden ..... mais avec le recul, la fiabilité est pas terrible)


Plus j'y reflechi, plus je pense que 3 passerelles seraient finalement mieux.
Quand je parle de maintenance, je pense surtout aux "aptitude update - upgrade" à faire régulièrement.


Bien sur en remplaçant le wifi box par un point d'accès wifi....


Pour la distribution je vais chercher l'avantage d'un ipcop (souvenir souvenir, j'utilisai un Icop il y a presque 5 ans sur un P2 300 ...) face a un debian vierge

Dernière question, utilisez/conseillez vous un filtrage par mots clés en plus d'une blacklist des sites ? (squid ou squid + dansguardian)

Merci

[jdh]

Moi aussi, j'ai construit beaucoup de PC ... et j'ai en parc quelques optiplex.

Non, simple, un pc de base neuf : amd type sempron + 1G mémoire + 40G disque + 1 lecteur dvd + carte mère msi. Dans ma région, à Nantes, cela se trouve en dessous de 200€ (non monté). Le plus important c'est neuf. Et le pc supplémentaire déjà acheté !

Il peut être intéressant d'essayer autre chose qu'IPCOP. Il est peut-être possible de trouver une carte wifi pci pilotable par pfSense pour économiser le routeur wifi (quoi que le plus sur est d'abandonner le wifi !).

Squid doit être accompagné de SquidGuard pour le traitement de blacklist (comme l'addon de Franck78 pour IPCOP). On peut ajouter les mots clés ... mais il faut faire mettre à jour la liste !


Une anecdote :
une petite société, vendant des copieurs et des micros pour le public et des pme dans une petite commune, vient de reprendre en main l'informatique d'une société que j'avais décidé de lâcher (et pour cause). On m'appelle parce que le firewall (pfSense) vient de (re)tomber (je ne suis pas surpris ...), et on me dit qu'on veut le remplacer par une Debian avec un script iptables (même pas Shorewall !).

Tout cela n'est pas très pro : un distribution comme IPCOP ou pfSense me parait un strict minimum ! Mettre un script iptables, c'est imposer la dépendance.

Même sans trop d'expérience, un technicien devrait être capable de prendre en main, après toi, un firewall avec une interface webisée comme celles citées ! Et c'est important de faire et d'expliquer ce choix ...

[ograweb]

Pour le coup du PC neuf, dsl mais je ne changerai pas d'avis. Si dans 2 ans les cartes mères msi pour sempron qui équipe le PC lâchent, il me faudra du courage pour retrouver la même ! je le fais souvent pour des clients, je dois même parfois en acheter a des particuliers sur Ebay !

Idem pour le disque 40Go (produit surement il y a plusieurs année, revendu en surplus de stock en Amérique, puis rapatrié en lot en France par un broker, puis revendu à une petite boutique ...). Il n'as peut être jamais tourné, mais a plus de km que moi au compteur !

Donc pour moi cela sera un optiplex, au moins pendant 3 ans j'ai la garantie, puis si je n'ai pas de chance, je peux trouver la pièce après encore 5 année de plus très rapidement. {ceci n'est pas une pub dell }

---

Je n'ai jamais vraiment trouvé l'utilité d'un vrai firewall (avec regles complexe etc) pour moi en tout cas.
Ici, les connexions sont des ADSL orange 1M. Un délai de rétablissement de 48H si on a de la chance... pas besoin de règles complexes anti DDOS etc..

- Tout est bloqué en entré à part le SSH depuis 1 IP pour l'administrer à distance
- Tout est autorisé en sorti
- Le trafic Web passe par le proxy filtrant

Ici, je ne vois pas où je dois avoir besoin d'un VRAI firewall qui bloquerai tel ou tel port en entrée suivant tel ou tel regles mise a jour toute les 30 minutes...

---

Concernant la carte wifi, le jeu ne vaut pas la chandelle. Un point d'accès = 60€ ; 1H d'intervention je facture 60€. Donc je préfère largement placé un point d'accès wifi, plutôt que de passé 1H a installé une carte wifi pas cher.

---

En resumé la passerelle doit faire au minimum :
- serveur DHCP
- proxy web filtrant
- Administrable a distance (ssh ou web)

... bon c'est moins compliqué que je ne pensais au debut.


Merci jdh de vos réponses.

[jdh]

* Achat de PC :
Quand j'achète un disque de 40G, il est neuf ! En cas de problème, à 200€ le pc, je rachète !
Ce qui est important, c'est la machine d'avance (et prête) plutôt que la garantie ! (Ok Dell peut refournir le disque ou la carte mère, mais la réinstallation ... quand on ne l'a plus fait depuis longtemps ...)

(Ceci est ce que je fais, j'ai parfaitement compris qu'il est inutile d'essayer de te convaincre ...)

* Routeur Wifi :
Je ne pratique pas ce tarif ! Si un routeur coûte 1h ...

* Intérêt d'un firewall :
Fallait commencer par cela ! Si, il n'y a aucun intérêt à filtrer notamment en sortie, pourquoi filtrer la navigation !

N'importe quelle box fait "de base" le filtrage en entrée : d'ailleurs comment pourrait-il en être autrement !

Comme beaucoup, même si j'ai l'impression , je considère qu'il est dangereux de ne pas filtrer en sortie. Je pourrais écrire qu'installer un firewall qui ne filtre pas en sortie, c'est installer un routeur like !

* Règles de firewall vs Filtrage web :
Avec IPCOP ou pfSense, ce n'est pas pas beaucoup compliqué de configurer des règles ou un filtrage. Je n'ai rarement plus de 10 à 12 règles sur les firewalls que j'installe (grâce aux alias de pfSense !).