interdire la connexion à Internet

Forum de discution sur la distribution smoothwall de linux, dédiée à la mise en place de passerelles sécurisées.

Modérateur: modos Ixus

Messagepar fifik » 28 Jan 2002 09:01

Salut,
<BR>
<BR>Comment faire interdire l'accès Internet à un client en zone verte?
<BR>
<BR>(Je veux obliger ce client à passer par le proxy)
<BR>
<BR>_________________
<BR>L'experience est une lanterne accrochée dans le dos qui n'éclaire que le chemin déjà parcouru
<BR>
<BR><font size=-1>[ Ce Message a été édité par: fifik le 2002-01-28 08:01 ]</font><BR><BR><font size=-1>[ Ce Message a été édité par: fifik le 2002-01-28 08:14 ]</font>
Avatar de l’utilisateur
fifik
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2002 01:00
Localisation: Angers/France

Messagepar OXO90 » 29 Jan 2002 09:15

Tu veux lui interdir le net ? Mais qu'il est une IP ou pas? <BR>Car sinon tu alloue tes ip par MAC adresse afin qu'elle soit attribuer tjs de la même manière. Et celle qui sont pas ds la table des hosts adieu pas d'ip. <BR>C'est pas le top mais disons que 90% des utilisateurs ne seront pas le contourner de base. <BR>Après le top se serait de faire une regle authorisant uniquement certaines IP du lan à sortir par une règle. <BR> <BR>MAis donne un peu plus de détails....
"Passe Le Fun Autour De Toi ..."
Avatar de l’utilisateur
OXO90
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 29 Déc 2001 01:00
Localisation: Strasbourg

Messagepar fifik » 29 Jan 2002 09:32

Pour le moment on va dire que le client il a une adresse IP fixe, il a le droit de se balader sur le réseau local, mais pas sur Internet <BR>Donc mon problème est de créer une regle qui lui interdise la sortie : <BR>Est-ce possible par l'interface graphique de Smoothwall (ça m'étonnerait) <BR>Sinon, quelle règle mettre et où ? <BR>(Je verrais plus tard le pb du DHCP/MAC adresse, car là aussi j'ai une chtite question tordue mais j'ouvrirai un autre sujet) <BR> <BR>
Avatar de l’utilisateur
fifik
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2002 01:00
Localisation: Angers/France

Messagepar wann » 29 Jan 2002 13:09

Si le client a une IP fixe et que tu veux lui interdire d'aller sur le net, tu peux tout simplement ne pas lui donner de passerelle par défaut, et/ou ne pas lui donner de DNS. Ca limite déjà pas mal <IMG SRC="images/smiles/icon_smile.gif">) <BR>
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar wann » 29 Jan 2002 13:12

Et si tu veux obliger un client à passer par le proxy, ne lui donnes ni de DNS, ni de passerelle par défaut et configure les logiciels clients (navigateur notamment) pour qu'ils utilisent le proxy (@IP du smooth en port 800). <BR>Configure le proxy de Smooth en mode NON transparent ! <BR>
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar fifik » 29 Jan 2002 15:53

J'aurai une maitrise du poste client, je ne dis pas, mais imaginons que je ne l'ai pas. C'est à dire que la personne peut configurer sont poste (passerelle, DNS, navigateur) <BR> <BR>Je veux opérer uniquement du serveur <BR> <BR>Au passage ki ni ce le mode transparent/ Non transparent ?<BR><BR><font size=-1>[ Ce Message a été édité par: fifik le 2002-01-29 14:55 ]</font>
Avatar de l’utilisateur
fifik
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2002 01:00
Localisation: Angers/France

Messagepar disky » 30 Jan 2002 23:27

smotthwall utilise le proxy SQUID je pense que ta solution doit se trouver dans le parametrage des acl du fichier squid.conf <BR>/var/smootwall/proxy/squid.conf <BR> <BR>du genre rajouter une ligne de type <BR>acl autorises src (plage d'adresse) <BR>Il suffit d'affecter une IP hors de cette plage au micro qui ne doit pas sortir ! <BR> <BR>Un paramétrage plus fin est possible (heure, temps de cnx etc .. ) est possible en rajoutant le module squidguard. <BR> <BR>
Avatar de l’utilisateur
disky
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 12 Nov 2001 01:00

Messagepar fifik » 31 Jan 2002 00:27

Oui, mais cela n'empeche pas mon utilisateur d'aller directement sur Internet sans passer par le proxy <BR>
Avatar de l’utilisateur
fifik
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2002 01:00
Localisation: Angers/France

Messagepar bruno » 31 Jan 2002 00:32

A toi de jongler avec les IPChains et d'interdire toutes les requêtes qui vont des machines des utilisateurs vers un port 80 externe (ou 8080, 3128, 1080 en cas de proxy externe, pas folle la guêpe). <BR> <BR>Comme ça tous les utilisateurs devront systématiquement passer par le proxy smoothwall pour avoir accès au web. <BR>
Ixus, it's us !
Avatar de l’utilisateur
bruno
AdminIxus
AdminIxus
 
Messages: 1667
Inscrit le: 23 Mai 2001 00:00
Localisation: Sous le soleil de Nice


Retour vers Smoothwall

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité