Soucis : filtrage URL selon l'adresse IP

[Kkain66]

Bonjour à tous,

Voilà j'ai déjà cherché sur plusieurs forums et autres sites internet, et je n'ai pas trouvé la solution à mon problème. Je m'explique :

Je dois filtrer l'accès à Internet sur un réseau en entreprise (dans un hôpital). Connaissant un peu IPCOP, j'entame des tests sur celui ci. Seulement voilà, je dois effectuer un filtre différent selon la personne qui travaille sur le poste. Exemple : Sur un poste X, la personne aura le droit d'aller sur tel ou tel site, alors que, sur un poste Y, il pourra aller sur d'autres sites. En gros, pouvoir segmenter mon filtrage selon les postes (par adresses IP si possible). Les adresses IP sont fixes, heureusement. Je ne sais pas si cela est possible avec IPCOP, ou même un autre soft si vous avez des suggestions n'hésitez pas .

Je fais pour l'instant des tests en virtualisation, j'ai installé le plugin URL FILTER et ADVPROXY.

Si je n'ai pas été assez clair, je reformulerai mon problème.

Merci à tous et bonne année 2010

[Kkain66]

J'ai réussi a filtrer selon des groupes, mais par adresse MAC. Un grand merci au poste de Jackos :

http://forums.ixus.fr/viewtopic.php?t=3 ... +par+poste

Cependant, je cherche à effectuer un filtre par adresse IP. Si vous connaissez un moyen je suis preneur !

Je vous tiens au courant de mes recherches.

Amicalement,

[shwing]

Essaye ceci

http://ww2.wiki.sidsolutions.net:8888/i ... Banish_FAQ

[ccnet]

Vous avancez et semblez trouver des solutions, c'est tant mieux.
Si votre énoncé du problème est compréhensible sans difficulté, le problème lui même est à mon sens mal perçu. Ce que je comprend de votre besoin, c'est filter les contenus web accessible selon l'utilsateur, c'est à dire selon son identité finalement.
Là où vous faites selon moi fausse route c'est en associant une identité un utilisateur à une adresse ip sous prétexte que celle ci est fixe alors que le principal besoin serait d'authentifier l'utilisateur, c'est à dire s'assurer que la personne est bien celle qu'elle prétend être du simple fait qu'elle utilise cette machine plutôt qu'une autre. Ce que les utilisateurs ne tarderons pas à faire dès qu'il comprendront ce qu'il en est.

Voilà pourquoi à mon sens le problème est mal posé, ou, dit autrement, pourquoi le problème en cours de résolution n'est pas celui qui se pose.

Le premier point, toujours selon moi est de forcer l'utilisateur à s'authentifier par un moyen quelconque. Discuter ce moyen à se stade n'est pas encore le moment.

Ensuite le bon outil. Ipcop est un firewall sur lequel on peut monter des addons. Mais c'est avant tout un firewall. Si vous avez besoin d'un outil pour faire du filtrage de contenu selon une identité, utilisez l'outils fait pour cela : le proxy. C'est à dire Squid le plus souvent parce qu'il a fait ces preuves, qu'il est flexible et puissant.

Le filtrage par adresse MAC est une illusion dans ce contexte. De plus il est peu commode à administrer en pratique. Le filtrage par adresse ip répond à un problème qui n'est pas le vôtre.

Voilà ce que j'en pense avant même de discuter de problème de configuration.

[Kkain66]

Merci Ccnet pour votre poste.

je suis tout à fait d'accord avec vous, et vous avez largement compris la problématique qui m'a été imposée. J'utilise advproxy sous IPCOP, qui marche, je crois, de la même manière que Squid (si je me trompe n'hésitez pas à me le signaler).

En fait, je dois proposer 2 ou 3 solutions pour répondre à mon problème : filtrage par adresse MAC, IP, et utilisateur (ou authentification si vous préférez).

Ensuite, en théorie (je dis bien en théorie), les utilisateurs n'ont pas accès à un autre ordinateur que le leur (voilà pourquoi le chef du service recherche pour l'instant une solution via adresse IP). Je suis dans un hôpital et les connexions se font via un compte Novell. Je n'ai pas encore réussi à m'en servir, mais je crois qu'on peut utiliser ces utilisateurs pour se logger via ADVPROXY d'IPcop.

Si vous avez des suggestions, je suis preneur.

Je vous tiens au courant de mon avancée, ça peut toujours aider.

Amicalement,

PS @ shwing : je vais voir pour Banish, merci à vous

[Kkain66]

Bon j'ai configuré AdvProxy pour une authentification locale. Cela fonctionne correctement cependant j'en suis maintenant au point le plus important. Je dois réussir à gérer le filtrage selon l'utilisateur. Comme dit précédemment, j'ai déjà fait cela en fonction de l'adresse MAC du poste. Cependant, cela me parait beaucoup plus compliqué à réaliser pour les utilisateurs authentifiés.

J'ai vu ce post la : http://forums.ixus.fr/viewtopic.php?t=2 ... tification mais j'avoue sécher pas mal.

Il faut toucher à certains fichiers qui sortent de mes compétences (hélas trop faibles encore...).

Si quelqu'un pourrait m'éclaircir

Amicalement,

[Kkain66]

En fait si vous savez comment modifier les fichiers acl pour indiquer les domaines restreints en fonction des utilisateurs, se serait parfait. Je sais déjà faire cela avec les adresses MAC, mais pas avec les utilisateurs ou meme les adresses IP.

Merci à vous

[ccnet]

Si vous disposez d'un (ou plusieurs) serveur Netware, donc de e-directory (ex NDS) vous pouvez utilisez Ldap pour authentifier vos utilisateurs et tester leur appartenance à un groupe.

Je renouvelle mon point de vue : utilisez Squid sur une Debian par exemple plutôt qu'Ipcop qui encore une fois est d'abord un firawall, de surcroit avec des règles de fonctionnement implicites bien particulières.
Vous pourrez ajouter Squidguard à Squid pour réaliser du filtrage de contenu.

Squid 3 sait gérer l'authentification via Ldap et tester l'appartenance à un groupe pour appliquer des acl.

[Kkain66]

Merci Ccnet de ta réponse, mais ce que je ne comprends pas, c'est qu'elle est la différence entre un SQUID et IPCOP avec AdvProxy qui m'a l'air de marcher tout simplement avec Squid. C'est ce que j'ai lu sur d'autres forums mais c'est vrai que celui ci est le plus pointue. Le problème, c'est qu'une fois mon système installé, la personne qui l'administrera ne sera ni moi, ni un informaticien (mais le chef responsable du service auquel j'effectue ce travail). Il faut donc une interface accessible sous Windows XP et relativement simple (je dis ça sans savoir si Squid possède une interface graphique consultable sous XP).

@Ccnet : Aurait-tu quelques connaissances en matière d'acl? Je suis tombé sur une doc qui m'a l'air pas mal du tout mais je rame un peu pour tout comprendre et réaliser ce que je souhaite : http://www.linux-france.org/prj/edu/arc ... 40s05.html

Merci à vous

Amicalement,

[Kkain66]

Bon pour ceux qui seraient intéressé à réaliser un filtrage suivant les adresses IPs, la syntaxe pour les acls est :

acl aclname src 192.168.200.25/32
http_access deny aclname all


Ici, l'adresse IP sera filtrée complètement. Suffit de rajouter quelques contraintes :

acl aclname src 192.168.200.25/32
acl url_permise url_regex "/var/....../url_permise.txt"
http_access deny aclname all !url_permise

Ici, toujours sur l'ordinateur qui possède cette adresse IP, il sera filtré complètement excepté les URLs indiqué dans le fichier txt url_permise.txt

Évidemment, libre à vous de remplacer aclname par le nom de votre choix, ainsi que url_permise et url_permise.txt
Il faut en revanche conserver la syntaxe sinon ça ne marche pas, vous vous en douter

Voilà maintenant toujours le plus dur, effectuer ce filtrage en fonction de groupe d'utilisateur. Cela doit être possible avec les acl.

J'ai réalisé ces acls sur IPCOP avec AdvProxy à l'aide d'une doc SQUID. Je pense que les deux marchent pareils.

Amicalement,

PS : Ah oui au fait ces commandes sont à écrire dans le fichier include.acl qui à la base est vierge. Il se trouve par défaut dans /var/ipcop/proxy/advanced/acls/include.acl

[Kkain66]

Bon j'arrive à filtrer avec l'utilisateur authentifié mais je n'arrive pas à faire un filtrage définit par groupe. Mon acl ressemble à ça :

acl auth_user proxy_auth REQUIRED
acl google_user proxy_auth user1 user2 user3
acl url_restricted url_regex "/var...../url_restricted.txt"
http_access allow all !google_user
http_access deny auth_user all !url_restricted


A l'intérieur de url_restricted je met les seuls url qui seront accessible (évidemment on peut prendre le problème à l'inverse et mettre dans un fichier texte les urls permisent en modifiant un peu la syntaxe de la requête).
Donc ceci fonctionne cependant je ne sais pas comment faire pour que disons user4 user5 et user6 soit soumis aux règles d'un autre fichier disons url_restricted_group2.txt

Si vous avez des idées.

Merci !

[Kkain66]

Bonjour,

Bon je cherche toujours pour administrer des groupes avec les acls. De plus, me demandais si c'était possible de bloquer un navigateur bien définit ?

Dans ADVPROXY, il y a bien un option qui le permet, mais cela ne fonctionne qu'en mode transparent. Or, le mode transparent ne fonctionne pas quand on est en authentification (locale dans mon cas).

Merci de votre aide amis Ixusien


Amicalement,

[Kkain66]

Petit up ? :'( personne ne peut m'aider svp ?

Ne serait-ce que pour le filtre de navigateur : il ne marche pas en authentification, il ne marche qu'en mode proxy transparent .

Amicalement,