auto-configuration du proxy

par **HARBONNIER** » 02 Mai 2009 12:31

Bonjour à tous,

J'ai installé un ipcop 1.4.21 dans un établissement scolaire.
Les plugins principaux sont : urlfilter, advproxy, zerina et le BOT.
Je possède un contrôleur de domaine : serveur 2003 R2
advproxy me permet de gérer l'authentification LDAP (mode transparent impossible).
Les utilisateurs du domaine récupèrent les paramètres du proxy par gpo.
Le BOT a été installé pour empecher les requettes sur le port 80. En effet avant son installation n'importe quel utilisateur non impacté par le domaine accédait aunet sans pb (ni blocage, ni filtrage etc).
Le Bot répond donc parfaitement à mes attentes.
Le problème que je rencontre maintenant est que je souhaiterais que les clients non enregistrés sur le domaine récupèrent les paramètres du proxy.
J'ai donc (par curiosité aussi) paramétré la méthode wpad via dhcp (optiojn 252 etc) ... tout fonctionne nikel quand on coche la case qui va bien dans le navigateur ... mais le soucis est que si le client n'a pas cette case de cochée je reviens à la case départ ... besoin d'etre enregistré sur le domaine.

Idem pour le script proxy.pac via dns ... besoin de donner le chemin du script ...

Quelqu'un a-t-l la réponse à ce problème ?

Comment faites- vous sur vos réseaux

Merci d'avance

Arnaud Harbonnier

par **ccnet** » 02 Mai 2009 13:12

http://forums.ixus.fr/viewtopic.php?t=42196&highlight=

Le vlan reste d'actualité. Je me répète : il est hors de question d'avoir des machines "invitées" qui partage le même Lan que celles du domaine. Situation idéale pour réaliser avec succès une intrusion.

par **Franck78** » 02 Mai 2009 15:21

@ccnet: toutes les machines du LAN n'en pas forcément à être des 'microsoft' enregistrées dans le domaine (AD). J'imagine que harbonnier ne parle pas de machines inconnues mais de cas particuliers (et connus de lui).

@harbonnier: arrange toi pour qu'un client attaquant bille en tête le http(80) soit dirigé vers une page explicative. Portail captif en fait.

par **ccnet** » 02 Mai 2009 15:31

Dans la mesure où les éléments communiqués laissent penser qu'il n'en maitrise pas la configuration, c'est que j'en ai conclu. ce n'est peut être pas le cas. A lui de nous dire.

par **HARBONNIER** » 02 Mai 2009 16:43

merci à vous 2 (ccnet et franck 78) de réfléchir sur mon problème :

le scénario que je veux éviter est le suivant :

un élève se pointe avec son portable perso qui n'est donc pas enregistré sur le domaine. Je ne veux pas qu'il puisse utiliser internet sans être filtré.

Quant au VLAN, j'aurais besoin de switchesde manageable ce qui suppose un coûtprohibitif et des compétences d'administration + nécessité de récupérer toutes les adresses MAC ou IP. J'aimerais éviter.

Au pire je préfèrerai dire : "tant pis pour celui qui n'est pas sur le domaine"

Par-contre le captive portail me séduit ...

Il y a un plugin je crois ... v creuser et tenter de l'installer

D'autres infos sur le sujet ?

@ bientôt

Arnaud

par **HARBONNIER** » 02 Mai 2009 17:06

Bonjour,

suite au post de franck78 ...
je suis allé regardé du côté de copspot ... ai-je obligatoirement besoin d'un serveur radius et d'une interface gray ou blue ?

Arnaud

par **Franck78** » 02 Mai 2009 17:09

sans parler de vlan ou switches manageables ou quoi d'autre, il est évident dans ton cas qu'il y a deux réseaux. Le réseau des élèves et le réseau pédago.

auto-configuration du proxy

auto-configuration du proxy

auto-config proxy

COPSPOT

Qui est en ligne ?