Paramétrage Proxy automatique

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Paramétrage Proxy automatique

Messagepar Tistou34 » 24 Nov 2010 13:27

Bonjour tout le monde :)

Je vous explique la situation :
Ce serait pour bloquer dans une école privée, l'accès à certains sites pendant une plage horaire.
Sachant que les ordinateurs appartiennent aux élèves (donc pas domaine, aucune restriction de paramétrage sur leurs ordinateurs)

J'aurai voulu savoir, si il était possible, avec IPCop, d'attribuer automatiquement (de manière transparente) le PROXY, pour éviter que les élèves aient à le configurer à chaque fois ?

D'après ce que j'ai trouvé, il ne serait pas nécessaire de paramétrer un serveur PROXY sur chaque poste, en mettant physiquement le serveur entre le modem et les switchs.
On parle d'activation par le mode " transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du réseau pour que celui-ci utilise le serveur.

En faisant ca, je bloquerai de manière transparente les sites sans qu'ils aient à ajouter un PROXY ?
Est-ce bien ca ?

Merci par avance pour vos éclaircissements 8)
Tistou34
Matelot
Matelot
 
Messages: 5
Inscrit le: 23 Nov 2010 14:04

Re: Paramétrage Proxy automatique

Messagepar rv91 » 24 Nov 2010 14:33

A priori, c'est BOT, module tres fortement conseillé avec IpCop, qui te permettra d'écrire les règles de restriction de sites et/ou de plages horaires par défaut pour toute IP ...
On peut imaginer des règles avec :
de 0h00 à 10h30 = aucun traffic
de 10h31 à 11h00 (récréation) = traffic limité (blacklist, greylist, whitelist ...)
de 11h01 à 12h30 = aucun traffic
etc ...
La doc sur BOT est épinglée.

@+
rv91
Major
Major
 
Messages: 76
Inscrit le: 28 Jan 2008 13:58
Localisation: Essonne

Re: Paramétrage Proxy automatique

Messagepar Tistou34 » 24 Nov 2010 14:48

Déjà merci pour votre réponse rapide RV91, ca m'aiguille un peu plus dans l'utilisation de IPCop.

Ce que je voudrai surtout savoir, c'est si il n'y a pas besoin de configurer obligatoirement le proxy dans les option internet de chaque poste client.

Merci à vous :)
Tistou34
Matelot
Matelot
 
Messages: 5
Inscrit le: 23 Nov 2010 14:04

Re: Paramétrage Proxy automatique

Messagepar jdh » 24 Nov 2010 15:00

(Bien que BOT soit LE premier addons à installer sur IPCOP, bien qu'il soit tout à fait indispensable, ce n'est pas BOT qui gère le proxy.)

Le proxy transparent est une technique qui consiste à "dérouter" le flux http vers le proxy (Squid).
La plupart du temps cela s'effectue via l'utilisation de Squid SUR l'ipcop. Et ça c'est mal !
Il vaut mieux utiliser un proxy dédié !

Par contre, il existe un protocole Web Proxy Auto Detection qui permet de fournir l'indication d'un proxy à un client.
C'est loin d'être universel (IE/FF) et cela suppose de cocher la cache "autodétection" (dans IE et FF et autres logiciels).

Ensuite SquidGuard peut agir en fonction de tranche horaire (comme Squid).
Mais, sur ce point, j'ai beaucoup de mal à comprendre que certains sites puissent être accédés à certaines heures et pas à d'autres.
Par exemple, les sites de boules sont interdits purement et simplement.

Enfin, dans cette utilisation, il y a lieu de respecter les lois, et notamment la loi qui impose, pour du public, de garder les logs de navigation.
(Raison supplémentaire pour dédier une machine à ce rôle de proxy !)


Il y a sur le forum moult fils parlant de ce sujet, merci de faire une recherche (+digestion) des divers points de vue/mise en oeuvre.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Paramétrage Proxy automatique

Messagepar Tistou34 » 24 Nov 2010 15:22

Merci pour votre réponse très détaillée jdh :)

J'ai déjà regardé sur la google bien entendu avant de poster ...
Comme chaque cas est complètement différent et que tout le monde explique dans son propre parlé avec plusieurs logiciels ...

Je pensais que en installant physiquement le serveur entre le modem et les clients, les données étant obligées de passer par le server, que ces dernières seraient automatiquement filtrées par IPCOP.

Je comprends pas trop ce que vous voulez dire :
jdh a écrit:Le proxy transparent est une technique qui consiste à "dérouter" le flux http vers le proxy (Squid).
La plupart du temps cela s'effectue via l'utilisation de Squid SUR l'ipcop. Et ça c'est mal !

Dérouter le flux HTTP vers Squid grâce à IPCop ?
Pourquoi me servir de Squid puisque IPCop avec BOT fait Proxy ?

J'ai vu que avec Iptables c'était faisable de rediriger.

Merci encore :) Autrement je vais me rediriger vers une solution CISCO ...
Tistou34
Matelot
Matelot
 
Messages: 5
Inscrit le: 23 Nov 2010 14:04

Re: Paramétrage Proxy automatique

Messagepar jdh » 24 Nov 2010 16:03

Il y a confusion !

Ce n'est pas "iptables" qui est capable de dire si l'url est ou non autorisé : c'est le rôle du proxy Squid et de son complément naturel SquidGuard !
(Et l'utilisation et config de la blacklist de Toulouse est le travail de Frank78 !)

Bien sur que chaque config est différente, mais il ne faut pas confondre qui et quoi.

Cisco peut certes faire l'affaire, je n'ai aucun doute; mais ipcop (ou pfsense) le fera aussi très bien (à moins cher !).

Mais il importe de comprendre l'utilité et l'importance d'un proxy dédié dont ce sera le boulot.


Je réitère mon indication : lisez les nombreux fils sur le sujet, intégrez, digérez, pesez, ... pas de précipitation !
La bonne réponse, vous ne la mettrez pas en oeuvre en 2 minutes ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Paramétrage Proxy automatique

Messagepar Tistou34 » 24 Nov 2010 16:09

Je parle de IPtable pour rediriger toutes les connexions du port 80 vers IPCOP ...

Pourquoi me servir de Squid puisque IPCop avec BOT fait Proxy ?

Merci pour tous vos conseils :)
Tistou34
Matelot
Matelot
 
Messages: 5
Inscrit le: 23 Nov 2010 14:04

Re: Paramétrage Proxy automatique

Messagepar jdh » 24 Nov 2010 16:33

Relisez ce que j'écris !

"Pourquoi me servir de Squid puisque IPCop avec BOT fait Proxy ?" NON !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Paramétrage Proxy automatique

Messagepar Tistou34 » 24 Nov 2010 16:40

rv91 a écrit:A priori, c'est BOT, module tres fortement conseillé avec IpCop, qui te permettra d'écrire les règles de restriction de sites et/ou de plages horaires par défaut pour toute IP ...


Ce n'est pas la fonction d'un proxy ca ?

Merci
Tistou34
Matelot
Matelot
 
Messages: 5
Inscrit le: 23 Nov 2010 14:04

Re: Paramétrage Proxy automatique

Messagepar jdh » 24 Nov 2010 16:49

NON !


On dirait que vous ne voulez lire que ce seul fil et cette réponse hélas partiellement erronée ...

Dans recherche, proxy + forum Ipcop = 2384 fils ! Cela en fait de l'information !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Paramétrage Proxy automatique

Messagepar rv91 » 28 Nov 2010 10:05

C'est de ma faute ma réponse, trop rapide, est erronée : elle crée la confusion.

Sans aggraver les choses, je l'espère, je précise ceci :
- j'ai activé le proxi transparent
- BOT me permet (aussi) de définir des plages horaires par jour pour autoriser ou non l'accès au web
- DabsGardian Content Filter me permet de bloquer l'accès au contenu indésirable.

Au résultat, je défini strictement, pour tout client du LAN, à quel moment le web est accessible (exemple : rien avant 19h00 sauf le dimanche, pour que les enfants se consacrent aux devoirs en sortant de l'école) et ce qui n'est pas accessible (par exemple : les sites de boules car le fait de présenter à des mineurs ce type de films est illégal ...).

C'est un usage domestique qui n'est sans doute qu'indicatif pour une école.
Encore une fois désolé d'avoir créé le trouble dans votre recherche.

@+
rv91
Major
Major
 
Messages: 76
Inscrit le: 28 Jan 2008 13:58
Localisation: Essonne

Re: Paramétrage Proxy automatique

Messagepar jdh » 28 Nov 2010 10:37

Il n'y a pas de problème rv91.

BOT permet de conditionner horairement ses règles de filtrage ... ce qui peut s'appliquer à un flux http. (Ce ne doit pas être très utilisé.)
Squid est un proxy pour http lui permet, outre des restrictions horaires, d'analyser la validité ou non d'une requête (url) selon plusieurs critères (blacklist, whitelist voire horaire, utilisateur, ...).

J'aurais pu écrire cela plus tôt d'où ma remarque entre parenthèses elle aussi incomplète.

Le fond du problème est bien de comprendre, un, qui fait quoi et, deux, d'agir pour que cela fonctionne (comme pensé).

Le proxy http est une plaie :
- transparent : il complique la perception de ce qui se passe, est très mal placé sur le firewall, est limité aux fonctionnalités présentes,
- dédié : il faut gérer/créer l'auto-détection et/ou la préconfig de tous postes et logiciels,
- absent : c'est l'inefficacité et l'absence de contrôle pourtant obligatoire (et légal).
En plus, il faut y ajouter blacklist, gestion utilisateurs voire horaires, consultation et stockage des logs ...

Pour le un et deux, il faut ajouter étape zéro : se documenter (et interpréter ce qui se rapporte au besoin) ... Etape semble-t-il absente !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité