Soucis : filtrage URL selon l'adresse IP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Soucis : filtrage URL selon l'adresse IP

Messagepar Kkain66 » 05 Jan 2010 11:48

Bonjour à tous,

Voilà j'ai déjà cherché sur plusieurs forums et autres sites internet, et je n'ai pas trouvé la solution à mon problème. Je m'explique :

Je dois filtrer l'accès à Internet sur un réseau en entreprise (dans un hôpital). Connaissant un peu IPCOP, j'entame des tests sur celui ci. Seulement voilà, je dois effectuer un filtre différent selon la personne qui travaille sur le poste. Exemple : Sur un poste X, la personne aura le droit d'aller sur tel ou tel site, alors que, sur un poste Y, il pourra aller sur d'autres sites. En gros, pouvoir segmenter mon filtrage selon les postes (par adresses IP si possible). Les adresses IP sont fixes, heureusement. Je ne sais pas si cela est possible avec IPCOP, ou même un autre soft si vous avez des suggestions n'hésitez pas :).

Je fais pour l'instant des tests en virtualisation, j'ai installé le plugin URL FILTER et ADVPROXY.

Si je n'ai pas été assez clair, je reformulerai mon problème.

Merci à tous et bonne année 2010 :)
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 05 Jan 2010 13:31

J'ai réussi a filtrer selon des groupes, mais par adresse MAC. Un grand merci au poste de Jackos :

http://forums.ixus.fr/viewtopic.php?t=3 ... +par+poste

Cependant, je cherche à effectuer un filtre par adresse IP. Si vous connaissez un moyen je suis preneur !

Je vous tiens au courant de mes recherches.

Amicalement,
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar shwing » 05 Jan 2010 17:59

Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar ccnet » 06 Jan 2010 00:00

Vous avancez et semblez trouver des solutions, c'est tant mieux.
Si votre énoncé du problème est compréhensible sans difficulté, le problème lui même est à mon sens mal perçu. Ce que je comprend de votre besoin, c'est filter les contenus web accessible selon l'utilsateur, c'est à dire selon son identité finalement.
Là où vous faites selon moi fausse route c'est en associant une identité un utilisateur à une adresse ip sous prétexte que celle ci est fixe alors que le principal besoin serait d'authentifier l'utilisateur, c'est à dire s'assurer que la personne est bien celle qu'elle prétend être du simple fait qu'elle utilise cette machine plutôt qu'une autre. Ce que les utilisateurs ne tarderons pas à faire dès qu'il comprendront ce qu'il en est.

Voilà pourquoi à mon sens le problème est mal posé, ou, dit autrement, pourquoi le problème en cours de résolution n'est pas celui qui se pose.

Le premier point, toujours selon moi est de forcer l'utilisateur à s'authentifier par un moyen quelconque. Discuter ce moyen à se stade n'est pas encore le moment.

Ensuite le bon outil. Ipcop est un firewall sur lequel on peut monter des addons. Mais c'est avant tout un firewall. Si vous avez besoin d'un outil pour faire du filtrage de contenu selon une identité, utilisez l'outils fait pour cela : le proxy. C'est à dire Squid le plus souvent parce qu'il a fait ces preuves, qu'il est flexible et puissant.

Le filtrage par adresse MAC est une illusion dans ce contexte. De plus il est peu commode à administrer en pratique. Le filtrage par adresse ip répond à un problème qui n'est pas le vôtre.

Voilà ce que j'en pense avant même de discuter de problème de configuration.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Kkain66 » 06 Jan 2010 09:14

Merci Ccnet pour votre poste.

je suis tout à fait d'accord avec vous, et vous avez largement compris la problématique qui m'a été imposée. J'utilise advproxy sous IPCOP, qui marche, je crois, de la même manière que Squid (si je me trompe n'hésitez pas à me le signaler).

En fait, je dois proposer 2 ou 3 solutions pour répondre à mon problème : filtrage par adresse MAC, IP, et utilisateur (ou authentification si vous préférez).

Ensuite, en théorie (je dis bien en théorie), les utilisateurs n'ont pas accès à un autre ordinateur que le leur (voilà pourquoi le chef du service recherche pour l'instant une solution via adresse IP). Je suis dans un hôpital et les connexions se font via un compte Novell. Je n'ai pas encore réussi à m'en servir, mais je crois qu'on peut utiliser ces utilisateurs pour se logger via ADVPROXY d'IPcop.

Si vous avez des suggestions, je suis preneur.

Je vous tiens au courant de mon avancée, ça peut toujours aider.

Amicalement,

PS @ shwing : je vais voir pour Banish, merci à vous
Dernière édition par Kkain66 le 06 Jan 2010 12:03, édité 1 fois au total.
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 06 Jan 2010 11:28

Bon j'ai configuré AdvProxy pour une authentification locale. Cela fonctionne correctement cependant j'en suis maintenant au point le plus important. Je dois réussir à gérer le filtrage selon l'utilisateur. Comme dit précédemment, j'ai déjà fait cela en fonction de l'adresse MAC du poste. Cependant, cela me parait beaucoup plus compliqué à réaliser pour les utilisateurs authentifiés.

J'ai vu ce post la : http://forums.ixus.fr/viewtopic.php?t=2 ... tification mais j'avoue sécher pas mal.

Il faut toucher à certains fichiers qui sortent de mes compétences (hélas trop faibles encore...).

Si quelqu'un pourrait m'éclaircir :)

Amicalement,
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 06 Jan 2010 15:47

En fait si vous savez comment modifier les fichiers acl pour indiquer les domaines restreints en fonction des utilisateurs, se serait parfait. Je sais déjà faire cela avec les adresses MAC, mais pas avec les utilisateurs ou meme les adresses IP.

Merci à vous
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar ccnet » 06 Jan 2010 17:52

Si vous disposez d'un (ou plusieurs) serveur Netware, donc de e-directory (ex NDS) vous pouvez utilisez Ldap pour authentifier vos utilisateurs et tester leur appartenance à un groupe.

Je renouvelle mon point de vue : utilisez Squid sur une Debian par exemple plutôt qu'Ipcop qui encore une fois est d'abord un firawall, de surcroit avec des règles de fonctionnement implicites bien particulières.
Vous pourrez ajouter Squidguard à Squid pour réaliser du filtrage de contenu.

Squid 3 sait gérer l'authentification via Ldap et tester l'appartenance à un groupe pour appliquer des acl.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Kkain66 » 07 Jan 2010 09:54

Merci Ccnet de ta réponse, mais ce que je ne comprends pas, c'est qu'elle est la différence entre un SQUID et IPCOP avec AdvProxy qui m'a l'air de marcher tout simplement avec Squid. C'est ce que j'ai lu sur d'autres forums mais c'est vrai que celui ci est le plus pointue. Le problème, c'est qu'une fois mon système installé, la personne qui l'administrera ne sera ni moi, ni un informaticien (mais le chef responsable du service auquel j'effectue ce travail). Il faut donc une interface accessible sous Windows XP et relativement simple (je dis ça sans savoir si Squid possède une interface graphique consultable sous XP).

@Ccnet : Aurait-tu quelques connaissances en matière d'acl? Je suis tombé sur une doc qui m'a l'air pas mal du tout mais je rame un peu pour tout comprendre et réaliser ce que je souhaite : http://www.linux-france.org/prj/edu/arc ... 40s05.html

Merci à vous

Amicalement,
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 07 Jan 2010 12:29

Bon pour ceux qui seraient intéressé à réaliser un filtrage suivant les adresses IPs, la syntaxe pour les acls est :

acl aclname src 192.168.200.25/32
http_access deny aclname all


Ici, l'adresse IP sera filtrée complètement. Suffit de rajouter quelques contraintes :

acl aclname src 192.168.200.25/32
acl url_permise url_regex "/var/....../url_permise.txt"
http_access deny aclname all !url_permise

Ici, toujours sur l'ordinateur qui possède cette adresse IP, il sera filtré complètement excepté les URLs indiqué dans le fichier txt url_permise.txt

Évidemment, libre à vous de remplacer aclname par le nom de votre choix, ainsi que url_permise et url_permise.txt
Il faut en revanche conserver la syntaxe sinon ça ne marche pas, vous vous en douter :)

Voilà maintenant toujours le plus dur, effectuer ce filtrage en fonction de groupe d'utilisateur. Cela doit être possible avec les acl.

J'ai réalisé ces acls sur IPCOP avec AdvProxy à l'aide d'une doc SQUID. Je pense que les deux marchent pareils.

Amicalement,

PS : Ah oui au fait ces commandes sont à écrire dans le fichier include.acl qui à la base est vierge. Il se trouve par défaut dans /var/ipcop/proxy/advanced/acls/include.acl
Dernière édition par Kkain66 le 07 Jan 2010 15:28, édité 1 fois au total.
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 07 Jan 2010 15:26

Bon j'arrive à filtrer avec l'utilisateur authentifié mais je n'arrive pas à faire un filtrage définit par groupe. Mon acl ressemble à ça :

acl auth_user proxy_auth REQUIRED
acl google_user proxy_auth user1 user2 user3
acl url_restricted url_regex "/var...../url_restricted.txt"
http_access allow all !google_user
http_access deny auth_user all !url_restricted


A l'intérieur de url_restricted je met les seuls url qui seront accessible (évidemment on peut prendre le problème à l'inverse et mettre dans un fichier texte les urls permisent en modifiant un peu la syntaxe de la requête).
Donc ceci fonctionne cependant je ne sais pas comment faire pour que disons user4 user5 et user6 soit soumis aux règles d'un autre fichier disons url_restricted_group2.txt

Si vous avez des idées.

Merci !
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 08 Jan 2010 10:36

Bonjour,

Bon je cherche toujours pour administrer des groupes avec les acls. De plus, me demandais si c'était possible de bloquer un navigateur bien définit ?

Dans ADVPROXY, il y a bien un option qui le permet, mais cela ne fonctionne qu'en mode transparent. Or, le mode transparent ne fonctionne pas quand on est en authentification (locale dans mon cas).

Merci de votre aide amis Ixusien


Amicalement,
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50

Messagepar Kkain66 » 11 Jan 2010 09:11

Petit up ? :'( personne ne peut m'aider svp ?

Ne serait-ce que pour le filtre de navigateur : il ne marche pas en authentification, il ne marche qu'en mode proxy transparent :(.

Amicalement,
Kkain66
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 05 Jan 2010 09:50


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron