IPCOP et le reseau win 2000 serveur

[Seb_Zero]

Bonjours alors voila mon probleme

je suis encore sous IPCOP v1.2.0 ( mais je peut passer sous la 1.3 si cela est possbile avec ce que je demande )

je voudrais que seulement et uniquement ceux qui ce sont connecté et identifié sous le serveur windows 2000 puisse avoir internet et donc que les ordinateurs ne se trouvant pas sur le domaine ne puisse pas avoir internet

et je voudrais savoir si ipcop pouvais aussi enregistrer les logins de ceux qui surf au lieu de l'adresse ip
pour pouvoir enregistrer tout les sites par personnes et non plus par poste

Merci

[tomtom]

Malheureusement, pour pouvoir faire ceci il faut que squid puisse demander les infos au controleur de domaine, et ceci n'est pas implémenté à ma connaissance dans IPCop...

Aussi, si tu enregistres des infos nominatives sur les connexions des utilisateurs à Internet, n'oublies pas que tu dois le leur dire, et en plus declarer ça à la CNIL (et evidemment, tout faire pour garantir la sécurité de ces informations)

t.

[Franck78]

Et informer le CE de la boite (si il y en a un bien sur).
La cnil,je sais pas. On pas dire que c'est vraiment un fichier nominatif. C'est pas des infos que tu as fournies, et par définition allez sur un lieu publique ne peut être "privé".

Puis pour limiter la naviguation, la liste des sites visités en page html mises a jour régulièrement, ca suffit non ?

[swapfiles]

'lut.

Difficile d'informer le CE surtout quand il n'y en a pas dans toutes les boites.

Sinon il faut avertir la CNIL.

Quand aux sessions pourquoi ne pas mettre en login la première lettre du prénom et le nom complet??
Et garder donc la trace d'ipcop au niveau des IP.

[Franck78]

Ce site est pas mal complet sur un tas de probléme juridique.
http://www.murielle-cahen.com

Et cet article "cybersurveillance" interressera
surement les admins réseaux:

http://www.murielle-cahen.com/p_reseau.asp

Et la liste d'articles
http://www.murielle-cahen.com/news.asp

[Seb_Zero]

'lut.
Quand aux sessions pourquoi ne pas mettre en login la première lettre du prénom et le nom complet??
Et garder donc la trace d'ipcop au niveau des IP.

l ip me permet de savoir d'ou viens celui qui consulte mais ne me dit pas la personne:'(

je veux garder un trace comme le fait wanadoo et tout les providers

j'ai mit dansgradians sur ipcop pour limiter mais bon ca bloque pas tout mais c'est vrai quand meme pas mal de chose

merci pour vos reponses aussi rapide

PS: existe t'il un moyen de bloker le p2p ?
et re ps: tout ordinateur se trouvant sur le reseau ipcop aura donc internet ? n'existe t il pas un moyen de bloquer l'accès à certain ordinateur ( en fait je ne veux pas que quelqu'un vienne avec son ordi et puisse avoir internet , seul les ordi de mon reseau seront aurorisé à l avoir)

[popoch]

j ai installe squiguard sur ipcop (merci franck pour ton addon) et je penses que cela reglerait tout tes pbs.

dans un premier temps j ai vu avec squid que l on peut interroger un annuaire compatible ldap pour gerer les acls (ici active directory). il te suffirait de mettre tous les users concernes par l acces internet dans une meme unite d organisation, et de specifier cette uo dans le fichier de conf. de ton linux. (cf doc de squid)

http://www.squid-cache.org/mail-archive ... /0156.html
ou
http://freshmeat.net/projects/ldap_auth/
par ex

bref tu cherches dans google

pour filtrer en plus les autres postes qui se connectent ponctuellement sur ton reseau c est tres facile. si tu utilises un srv dhcp, tu mets des baux de reservation dhcp pour tous tes clients (je sais c est long a creer surtout ssi tu en as 50...) puis tu exclues ce que tu veux dans squigard et tu autorises ce que tu veux dans squiguard. sinon si tu es en adressage fixe c est ecore plus facile ... il serait encore plus facile d isoler ton reseau en differents segments (sous reseaux) et d interdire les segments voulu.

[Seb_Zero]

j ai installe squiguard sur ipcop (merci franck pour ton addon) et je penses que cela reglerait tout tes pbs.

dans un premier temps j ai vu avec squid que l on peut interroger un annuaire compatible ldap pour gerer les acls (ici active directory). il te suffirait de mettre tous les users concernes par l acces internet dans une meme unite d organisation, et de specifier cette uo dans le fichier de conf. de ton linux. (cf doc de squid)

heu tu veux que je recopie utilisateur par utilisateur et que je les mette dans le fichier conf ?? mouarf j'ai pas fini si c'est sa :/

pour filtrer en plus les autres postes qui se connectent ponctuellement sur ton reseau c est tres facile. si tu utilises un srv dhcp

ipcop fait le dhcp

tu mets des baux de reservation dhcp pour tous tes clients (je sais c est long a creer surtout ssi tu en as 50...)

heu plz explique moi vite fait comment faire car la je vois pas avec l ip fixe je vois comment faire ( mais c'est pas une bonne idée j'ai plus de 50 ordi )mais avec le dhcp je vois pas du tout

il serait encore plus facile d isoler ton reseau en differents segments (sous reseaux) et d interdire les segments voulu.

je suis d'accord mais mon savoir faire s'arrete la :/ une petite explication rapide serais la bien venu ( enfi si tu peut et si ca te derange pas )
je cherche mais bon l'anglais et moi c'est pas facile facile

et Merci pour toute ces precisions c'est vraiment sympatoche

[Yvan]

Bonjour,

Seb_Zero, je te propose une autre solution pour resoudre ton pb, qui ne se gere pas au niveau de ton ipcop, si tu gerais ton reseau un peu comme un cybercafé, avec la limitation de temps d'accés au net en moins:

Je m'explique ipcop te donne l'heure ta machine et le site, et un logiciel comme TN-Network va te renseignement qu'elle utilisateur était sur quelle machine de quelle heure à quelle heure. Le regroupement de ces 2 infos te permet de repondre à qui, quand, ou sur internet, à partir de quelle machine.

quelques liens pour TN-Network qui est gratuit mais c'est pas le seul:

http://alexistoulotte.free.fr/tnnetwork/index.html
http://telecharger.01net.com/windows/Ut ... 26818.html

Je n'ai pas tester le logiciel, mais il devrait pouvoir t'aidr à trouver une solution.



Sinon autre possiblité si tu a un serveur de domaine, je ne sais pas si ça existe car je ne me suis jamais posé la question mais ce sont peut etre des renseignements qui sont conservé quelques parts (utilisateurs sur quelle machine à quelle heure) sinon tu peut faire un script de connexion qui rajoute l'info dans un fichier texte sur le serveur, faire un autre script à la deconnexion ensuite on a les renseignements pour completer celle d'ipcop.

Voila en vrac quelques idées qui me passe par la téte, que je n'ai jamais tésté je n'ai jamais eu à surveiller mes utilisateurs d'aussi pret mais je pense que en développant une des 2 solutuions tu devrai pouvoir faire ce que tu souhaite.

Bonne journée à tout le monde, Yvan

[Seb_Zero]

merci pour ces solutions la
je vais voir ce que ca donne

et il me reste cette question :
comment isoler mon reseau en differents segments (sous reseaux) et d interdire les segments voulu, sous ipcop ?

[Yvan]

Bonsoir,

Plusieurs Solutions, je t'en propose une la, tu change le masque de sous reseau de IPCOP, exemple:

tu a un reseau en 192.168.1.X avec ce masque de sous reseau 255.255.255.0
si tu met ipcop en 192.168.1.1 avec le masque de sous reseau 255.255.255.128 alors tout les postes dont l'adresse IP est compris entre 192.168.1.2 et 192.168.1.127 pourront accéder à IPCOP, les autres ne pourront pas mais l'ensemble de tes postes pourront quand meme communiqué par le reseau.

Sinon tu a aussi la solution avec iptable, la je rentre pas dans les details je suis pas un pro quand je fais une commande il me faut 1 heure pour rentrer une regle je le fais si peu souvent que je doit tout revoir son fonctionnement à chaque fois pour obtenir le resultat souhaité.

Voila bon courage à + Yvan

[erreipnaej]

Bonsoir,

Si tu veux filtrer et eviter des dérives de connection au net, tu peux utiliser DansGuardian.
Je l'utilise personellement pour filtrer l'accés au net de mes enfants et c'est super efficace. Tu peux corriger les filtres pour vraiment arriver à l'utilisation que tu souhaites. Tu peux aussi bloquer les téléchargement par type d'extension. Tu peux déclarer les IP qui ne peuvent pas se connecter et celles qui ont le droit.
L'install ne pose pas trop de probléme. En tant que maitre d'oeuvre, tu peux evidement te donner tous les droits.
Charité bien ordonné commence par soi même!

[Seb_Zero]

merci
j utilise deja dansgardian

yvan je me renseigne sur iptable et j essairai de l installer et/ou de le configurer
thx

[swapfiles]

l ip me permet de savoir d'ou viens celui qui consulte mais ne me dit pas la personne:'(

je veux garder un trace comme le fait wanadoo et tout les providers

j'ai mit dansgradians sur ipcop pour limiter mais bon ca bloque pas tout mais c'est vrai quand meme pas mal de chose :)

merci pour vos reponses aussi rapide :)

PS: existe t'il un moyen de bloker le p2p ?
et re ps: tout ordinateur se trouvant sur le reseau ipcop aura donc internet ? n'existe t il pas un moyen de bloquer l'accès à certain ordinateur ( en fait je ne veux pas que quelqu'un vienne avec son ordi et puisse avoir internet , seul les ordi de mon reseau seront aurorisé à l avoir)[/quote]

Bon comme je reviens de vacances...Certains posts 'nont pas eu de réponse de ma part.
Donc je rectifie un peu le tir.

Primo, je n'ai jamais dis que l'ip permettais de retrouver la personne.
Il faut bien lire ce que j'ai écris.

Faire en sorte de mettre une connexion avec la première lettre le prénom; et le reste, le nom complet permet de savoir ensuite à partir de l'ip quel est le user qui a ouvert la sessionet de faire le rapprochement avec le site visité.
Par exemple il voit que l'ip 192.168.10.2 consulte régulièrement des sites de c**.
Un petit nbtstat -a fera le rapprochement avec la session qui est ouverte sur le poste à qui appartient l'ip.
bien sûr ce n'est pas la panacée en matière de contrôle mais déjà celà permet en toute règles de savoir qui va ou à un instant T bien sûr.
Suis-je assez clair là??