Restrict IP et SME 7

[Vulmix]

Bonjour à tous,

Nouveau jour nouveau problème !

On me demande de mettre des PCs sur un Lan déservit par un SME comme Firewall/proxy. L'ennui c'est que l'on veut que ce PC n'ai pas accès à Internet !!!

Donc j'avais pensé utiliser RESTRICT IP mais ce Post http://forums.ixus.fr/viewtopic.php?t=32383&highlight=restrictip dit que cette contrib ne fonctionne pas avec SME 7 pourtant sur le site de Vanhees (www.vanhees.cc) il y a une contrib pour SME 7...

Je l'ai installée mais malheureusement cela ne marche pas (sinon je n'aurais pas créé de post )

Quand je dis que cela ne marche pas, je veux dire que même ceux qui ont une IP en dehors du tableau dans restrict-ip peuvent aller sur internet (via IE mais aussi mail, msn etc...)

Est-ce que vous pourriez m'aider sur ce coup ?

Ajout !
Cerise sur le gateau.... si vous avez une idée pour autoriser Internet (Web) uniquement pendant certaines heures sans bloquer le mail... je suis preneur !

[unnilennium]

il me semblerais auportun de poster sur le site de MAstersleepy si celui ci ne passe pas rapidement ici.

ensuite il faut configurer ton sme afin que le proxy transparent fonctionne, et surtout bidouiller SME pour que les tentatives de connexion direct sans passer par le proxy n'aboutisse pas (besoin de bidouiller un tmepalte masq pour les firewall voir les how to de contribs pour dansguardian)



et me voila du coup a te proposer une solution alternative : dansguardian en utilisant les rpm de dungog (au moins les gratuits) et configurer toi meme a la main 2 ou 3 groupes (f1 f2 f3) sur des plages ip afin de fixer les authorisations, ou mieux en fonction d'une authentification par utilsiateur.



JPP

[Vulmix]

Merci de ta réponse !
Et en plus je crois que tu viens de donner la solution. Car j'utilise Dansgardian. Mais Comme cette fonctionnalité bloque uniquement le port 80, je pensais avec Restrict IP pouvoir bloquer toute la machine !

Comme je remarque qu'une fois de plus je ne dis pas ce que je veux et ce que j'ai, je refais la description :

J'ai sur plusieurs sites (par sites je veux dire batiments!)des PCs "protégés'" par des SME 7.3
J'utilise Dansguardian pour filtrer les sites non conforme à la philosophie de l'entreprise
(1)Mais certains PC ne peuvent avoir aucun accès à Internet (même pas le mail)
(2)D'autres ne peuvent avoir que le mail
(3)D'autres encore peuvent avoir un accès sur tout sauf à Msn et c°
(4)Et enfin, je devrais pouvoir couper les accès aux P2P !

Pour (1) je pensais pouvoir utiliser Restrict-IP
Pour (2) je pensais faire comme pour le (1) mais avec un redistribution du courrier par la SME (Boite local synchronisée avec une adresse FAI)
Pour le (3) j'ai trouvé une solution en modifiant l'IPTABLE et Dansguardian.
Pour le point (4) je surveille via Ocs les programmes installés sur les machines (comme, personne n'a les droits admin, j'ai facile ) mais j'aimerai quand même une solution sur la SME

Maintenant mon boss me demande aussi de pouvoir libérer l'accès à Internet uniquement en dehors des heures de boulot + temps de midi.... Je lui ai dit que j'étudirai la question mais que cela n'avait pas réellement de sens étant donné que certains sites sont consultés POUR le boulot !

En attendant, j'étudie toutes les fonctionnalités d'IPTables ! Mais comme je n'ai que très peu de temps pour me mettre à jour sur tous les problèmes informatiques de la boite...

Encore merci

[Pabze]

Bonjour,

Pour le P2P tu as P2P Blocking sur contribs.org :
http://wiki.contribs.org/P2P_blocking

Pour bannir une ip ou une adresse MAC de l'accès à Internet, si ton user se trouve dans le groupe par défaut, tu peux rajouter son ip/mac dans le fichier /etc/dansguardian/bannediplist
Attention, celui-ci est templatisé, donc créer un fichier dans : /etc/e-smith/templates/etc/dansguardian/bannediplist/31maboite puis rajoute celui-ci dedans

Un expand-template /etc/dansguardian/bannediplist devrait te le rajouter dans la liste des indésirables.
Puis restart (ou reload) du service dansguardian.

Attention, fais des tests avant de passer en prod, même si ce n'est sans grand danger apparent...

Pabze

PS : Pour la gestion des connexions selon l'horaire, fais une recherche sur le forum avec acl squid, j'ai déjà écris la marche à suivre, à voir si elle est toujours fonctionnelle.

[Vulmix]

Merci..... je lis tout cela et dès que j'ai le temps : je plonge dans mes SME

[unnilennium]

attention le p2p blocking c pa sla solution en or , ca ne bloque pas les protocoles securisés (cryptés)


a l'heure actuel il y' ajuste une seule solution materielle qui le bloque


JPP

[Cool34000]

Salut,

C'est normal que la contrib de MasterSleepy ne fonctionne pas si tu utilises DansGuardian car c'est DansGuardian lui même qui se connecte à Squid (et donc l'IP qui accède à Squid est 127.0.0.1 !)

Pour le blocage de ports, si tu l'as activé tu bloques le port 80 et le port 3128 (Squid), obligeant ainsi les requêtes à passer par DansGuardian (port 8080)


Quand à ipp2p, il n'est plus maintenu par la dev-team... C'est d'ailleurs bien dommage !



Si tu utilises DansGuardian, la solution la plus simple et cohérente est celle proposée par Pabze. Par contre, je ne suis pas sur que le fichier soit templatisé dans la version gratuite proposée par Dungog...

[unnilennium]

je confirme dansguardian version gratuite n'ets aps templatisé, mais avec un peu d'usage, mcedit et "service dansguardian restart" on s'y fait bien

[Vulmix]

Je reviens 5 minutes sur mon problème.

J'avais effectivement déjà bloqué les IP par Dansguardian. Mais ce que j'aurais voulu c'était une solution à la Restrict-IP, à savoir n'ouvrir que les IP autorisées.

Vous l'avez signalé aussi, cela bloque le Squid mais pas les autres ports. Comment pourais-je faire pour bloquer les ports non voulu ? Ok je sais via IPTABLES mais j'ai un autre souci avec ce système. C'est que ma table à des erreurs (d'origine ?!) lorsque je la rgénère via Service root restart !!
Est-ce cela qui fait que je n'ai toujours pas réussi à faire un renvoi de port ???

Comme vous l'avez compris, j'ai quelques soucis Heueusment pas trop grave. Mais comme on ne me donne jamais le temps de regarder à cela....


Encore merci à tous

[foudre]

Bonjour à tous,

Nouveau jour nouveau problème !

On me demande de mettre des PCs sur un Lan déservit par un SME comme Firewall/proxy. L'ennui c'est que l'on veut que ce PC n'ai pas accès à Internet !!!

Donc j'avais pensé utiliser RESTRICT IP mais ce Post http://forums.ixus.fr/viewtopic.php?t=32383&highlight=restrictip dit que cette contrib ne fonctionne pas avec SME 7 pourtant sur le site de Vanhees (www.vanhees.cc) il y a une contrib pour SME 7...

Je l'ai installée mais malheureusement cela ne marche pas (sinon je n'aurais pas créé de post )

Quand je dis que cela ne marche pas, je veux dire que même ceux qui ont une IP en dehors du tableau dans restrict-ip peuvent aller sur internet (via IE mais aussi mail, msn etc...)

Est-ce que vous pourriez m'aider sur ce coup ?

Ajout !
Cerise sur le gateau.... si vous avez une idée pour autoriser Internet (Web) uniquement pendant certaines heures sans bloquer le mail... je suis preneur !

Salut,
Comment à tu géré la situation ? as tu fini ? je suis dans la même situation que toi. J'ai installé RESTRICT IP mais bon tout passe à travers.

[MasterSleepy]

Salut à tous,

Comment avez vous configurer restrict-ip?
Car il y a une erreur assez courant qui de préciser comme masq 255.255.255.0 lors de la saisie d'une adresse.
Si t veux restreindre qu'une seul ip le masq doit être 255.255.255.255.

La demande du masq a cette étape représente le masq par rapport a l'adresse saisie.
Ce masq a été placé a cette endroit pour pouvoir authoriser plusieurs adresse IP d'un seul coup.

Comme le mentionne Cool, avec dansguardian, restrict ip ne peut pas fonctionner vu que c'est dansguardian qui se connecte a squid.
Dans ce cas de figure, seul la restriction via le fichier bannediplist fonctionnera.
Tu peux faire un petit bout de template pour t'aider a générer la liste qui peut être assez.

Les templates peuvent être du code en perl qui vas générer le fichier.
Si j'ai une un bout de code sous la main, je les transmettrai.

A+,
MasterSleepy.