BOT et le soucis d'une bonne configuration du serveur

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

BOT et le soucis d'une bonne configuration du serveur

Messagepar dark.kamoui » 12 Déc 2006 19:05

Bonjour à tous....
je suis newbie alors excusez moi si ce sujet à déjà été traité mais j'aurais quelques questions sur BOT.

Gérant un réseau dans un lycée (près de 400 machines sur le pédagogique) et ayant une connexion internet faible (512ko pour ces quelques 400 postes), mon collègue et moi-même avons décidé de partir en croisade contre divers applications inutiles dans un lycée (je ne citerais personne mais vous voyez de quoi je parle).

Mon colègue a installé un serveur Ipcop 1.4.10 et nous nous acharnons depuis quelques temps sur la configuration de BOT. La FAQ et le guide pour novices sur le site de blockouttraffic.de sont utiles pour ceux qui ont une vieille version. Ayant installé la dernière (2.3.1-b2), certaines des options présentées sur le site n'apparaissent pas. Du genre regroupement de services. ce qui m'empêche de créer un groupe de ports (les ports classiques du net ->http et autres) et d'appliquer la règle. je ne peux créer une règle que s'il n'y a qu'un seul port.

Si vous avez une solution à me faire partager, merci d'avance.

Dark.kamoui
dark.kamoui
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Déc 2006 12:39
Localisation: Douai - France

Re: BOT et le soucis d'une bonne configuration du serveur

Messagepar Franck78 » 13 Déc 2006 00:41

dark.kamoui a écrit:Gérant un réseau dans un lycée (près de 400 machines sur le pédagogique) et ayant une connexion internet faible (512ko pour ces quelques 400 postes), mon collègue et moi-même avons décidé de partir en croisade contre divers applications inutiles dans un lycée (je ne citerais personne mais vous voyez de quoi je parle).


Non, on ne voit pas bien de quoi tu parles. Pas de boule de crystal disponible :o

Avec 400 postes, tu vas faire pédaler squid sérieusement. Prévoit donc de lui accorder beaucoup de RAM et de disque pour qu'il fournisse un service efficace. Passe le aussi en transparent.

Avant même BOT, je te suggère squidguard pour interdire beaucoup de site hors sujet.

Pour MSN, dans le squid.conf:
Code: Tout sélectionner
[b]#msn..

# Régles pour le mime-type "application/x-msn-messenger"
acl reqmsn req_mime_type -i ^application/x-msn-messenger
acl repmsn rep_mime_type -i ^application/x-msn-messenger

http_access deny reqmsn
http_reply_access deny repmsn[/b]

#Finally allow IPCop_networks clients
http_access allow         IPCop_networks !no_proxy_dst
http_access deny          all

(il faut en fait éditer le fichier '/var/ipcop/proxy/acl')
associé au bloquage simple des IPs
Code: Tout sélectionner
    #bloque microsoft...
    $IPTABLES -A CUSTOMFORWARD -p tcp -m tcp --dport 1863 -j DROP # Port MSN
    $IPTABLES -A CUSTOMFORWARD -p tcp -m tcp -d 65.52.0.0/16 -j DROP # Plage Adresse MSN
    $IPTABLES -A CUSTOMFORWARD -p tcp -m tcp -d 65.53.0.0/16 -j DROP # Plage Adresse MSN
    $IPTABLES -A CUSTOMFORWARD -p tcp -m tcp -d 65.54.0.0/16 -j DROP # Plage Adresse MSN
    $IPTABLES -A CUSTOMFORWARD -p tcp -m tcp -d 65.55.0.0/16 -j DROP # Plage Adresse MSN

dans /etc/rc.d/rc.firewall.local

Ce n'est pas de moi, mais ca fonctionne car j'ai des réclamation en interne ;-)

Pour le p2p, voir du coté des addons, vers l'allemagne :!:


Salut
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: BOT et le soucis d'une bonne configuration du serveur

Messagepar m2nis » 13 Déc 2006 09:18

dark.kamoui a écrit:512ko pour ces quelques 400 postes

Diable! Et moi qui pensait être à l'étroit! :-)

dark.kamoui a écrit:Du genre regroupement de services. ce qui m'empêche de créer un groupe de ports (les ports classiques du net ->http et autres) et d'appliquer la règle. je ne peux créer une règle que s'il n'y a qu'un seul port.

Pare-feu / Configuration avancée de BOT / Réglage pour grouper, puis:
-créer le nom du regroupement de service dans "Nom du Regroupement de Services" et lui ajouter un premier service
-ajouter les services un par un en sélectionnant le "Nom du Regroupement de Services" dans la liste déroulante.

Une fois l'opération terminée, le regroupement peut être utilisé dans les règles de BOT.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar manu59 » 13 Déc 2006 11:35

Salut !
Les appli inutiles dont parle Dark.kamoui c'est msn (entre autres). les profs s'en plaignent assez souvent.

Merci Frank78 pour toutes ces suggestions, je vais tester ça de suite. :wink:
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar m2nis » 13 Déc 2006 12:16

manu59 a écrit:Les appli inutiles dont parle Dark.kamoui c'est msn (entre autres). les profs s'en plaignent assez souvent.

Msn passe par le port 80? Si oui (ce que j'imagine car sinon il suffirait de fermer les ports correspondants), est-ce que la détection du client par l'extension "advanced proxy" n'est pas un moyen simple de régler le problème?
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar dark.kamoui » 13 Déc 2006 20:55

MSN utilise divers ports dont le 1863... Pour communiquer au serveur l'état du client et les contacts associés au compte (si je me souviens bien).
Quand je parlais du port http c'était our ouvrir ce port cr en activant bot par défaut, tous le sports sont fermés.

Merci à tous pour ces réponses et à on collègue manu59.... ^^

merci à toi franck78 pour cette solution, nous allons la mettre en place jeudi. nous te ferons parvenir le résultat... ne t'inquiète pas, tout cela est déjà fait (mode transparent, 512 de ram, disque de 40 go, mais toujours un petit soucis au niveau d'un swap de 32mo-> déjà soulevé un peu plus tôt dans un autre sujet)

m2nis, tu viens justement de citer une des options qui n'apparaissent pas... a-t-il été mal installé? est-ce que c'est normal pour cette version? en tout cas je vais attendre d'avoir plus de renseignements et nous allons étendre encore plus l'action de squidguard.

encore merci pour ces solutions, je vous tiens au courant de toute avancée... :mrgreen:
dark.kamoui
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Déc 2006 12:39
Localisation: Douai - France

Messagepar dark.kamoui » 14 Déc 2006 18:20

Salut !

franc78 j'ai testé ce que tu m'as propsé et nada ! ca ne fait rien pour msn...

on a déjà fait pas de blocage de sites indésirables... j'ai même pensé à ajouter à la blacklist éditable le fameux webmessenger d'hotmail

si quelqu'un a une autre solution à me proposer... merci d'avance !
dark.kamoui
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Déc 2006 12:39
Localisation: Douai - France

Messagepar edouardj » 15 Déc 2006 11:05

Salut,

la solution c'est de désinstaller tous les logiciels inutiles sur les poste windows et mettre des droits restringents... Pourquoi ne pas commencer à passer directement tout sous linux aussi. Oui ça fait 400 postes mais au moins tu finiras par tous les contrôler!
Bon courage.
Avatar de l’utilisateur
edouardj
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 150
Inscrit le: 10 Juin 2004 13:25
Localisation: Périgord (24)

Messagepar Arpanet » 15 Déc 2006 13:36

Salut,

Il y a aussi http://www.advproxy.net/ avec son "CLASSROOM EXTENSION", qui permet a un prof de couper internet pour une salle de cours, je l'utilise avec BOT (les 2 addons sont indispensables, advproxy et BOT)

Bonne chance :wink:
2 Dell PowerEdge = IPCop v1.4.21 RBG + advproxy v3.0.5 avec WPAD 2.2 + Accelerator 2.1.3 + BOT 3.0.0 build3 + SARG 2.2.5
Avatar de l’utilisateur
Arpanet
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 170
Inscrit le: 05 Mars 2004 01:00
Localisation: ANGERS - France

Re: BOT et le soucis d'une bonne configuration du serveur

Messagepar dotzball » 15 Déc 2006 13:48

Hi dark.kamoui

m2nis a écrit:
dark.kamoui a écrit:Du genre regroupement de services. ce qui m'empêche de créer un groupe de ports (les ports classiques du net ->http et autres) et d'appliquer la règle. je ne peux créer une règle que s'il n'y a qu'un seul port.

Pare-feu / Configuration avancée de BOT / Réglage pour grouper, puis:
-créer le nom du regroupement de service dans "Nom du Regroupement de Services" et lui ajouter un premier service
-ajouter les services un par un en sélectionnant le "Nom du Regroupement de Services" dans la liste déroulante.

Une fois l'opération terminée, le regroupement peut être utilisé dans les règles de BOT.


m2nis is correct. As soon you create a service group, you can
select it in the BOT rule-creator.

Did you read the "BOT - Commencez ici"?

Have Fun :D


Sorry for my english message, I only speak english and german.

dotzball
dotzball
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 03 Déc 2005 14:21
Localisation: Germany

Messagepar dark.kamoui » 15 Déc 2006 13:48

pour nous, mon collègue et moi, ce serait le paradis....

mais l'administration ne le voit pas de cet oeil. En plus les profs ne veulent et ne jurent que par Windaube XP... alors que faire???

Pauser des restrictions? certes... mais comment bloquer une application? en mettant des limites de droit sur les comptes? oui j'y ai pensé... mais certains programmes ne ùmarchent en compte limité... ils doivent avoir les droites en administrateur... Si vous connaisez une appli qui bloque non pas un programme mais les ressources qu'ils utilisent... par exemple bloquer l'utilisation de variables propres à messenger... Parce que pour exécuter messenger pas besoin de l'avoir installer... on l'installe chez soi et on copie le répertoire sur sa clé usb... arrivé au lycée, on met sa clé et hop on exécute messenger...
Si msmsgr.exe est bloqué, il suffit de la renommer blabla.exe pour que ca marche...

la seule manière est de pouvoir bloquer soit la plage d'adresses des serveurs msn, soit de bloquer la plage de ports qu'il utilisent...

J'ai entendu parler d'Hermes, un programme pour l'éducation, gratuit, qui pourrait résoudre mon problème. Qu'est-ce que vous pouvez me dire sur lui?

Quand est-il de BOT? voici ce que j'ai dans le menu de config avancée...

Image

Merci d'avance...
dark.kamoui
Matelot
Matelot
 
Messages: 4
Inscrit le: 05 Déc 2006 12:39
Localisation: Douai - France

Messagepar dotzball » 15 Déc 2006 14:05

dark.kamoui a écrit:Quand est-il de BOT? voici ce que j'ai dans le menu de config avancée...

Image

Merci d'avance...


Your Screenshot shows BOT 2.2.2!

Get the newes BOT (inclusive grouping) here:
:arrow: http://blockouttraffic.de/download_fr.php
dotzball
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 03 Déc 2005 14:21
Localisation: Germany

Messagepar Franck78 » 15 Déc 2006 14:49

dark.kamoui a écrit:pour nous, mon collègue et moi, ce serait le paradis....

mais l'administration ne le voit pas de cet oeil. En plus les profs ne veulent et ne jurent que par Windaube XP... alors que faire???


Les profs? Sont-ils à ce point coincés? Que faire? Utilise google pour trouver les dizaines de projets éducatifs implémentés sous linux.
Du simple logiciel de math au serveur multifonction pour une classe.
Largement de quoi démontrer qu'il y a autre chose que windaube....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jmripert » 15 Déc 2006 15:19

Bonjour,

Alors en interne (et logiquement) personne ne peut utiliser msn et autre outils qui passe par la passerelle (couche réseau)... car personne n'a par défaut la passerelle dans sa configuration ip. Pour sortir ils utilisent le navigateur où est configurés l'adresse du proxy, les petits malins pourrait rapidement trouver l'adresse de la passerelle, mais en général ils ne sont pas administrateurs de leurs postes...

Mais pour bloquer msn... il y a un autre problème : webmessenger

ps: si tu/vous passes les 400 postes sous linux, merci de faire un joli pdf, car là il y a matière à apprendre... gros chantier... :roll:
jmripert
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 168
Inscrit le: 16 Mars 2005 11:42
Localisation: Haute-Savoie


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron