Amis linuxien bonjour,
 
Dans ma boite, on va mettre un VPN MPLS sur tous nos sites.
Parrallèlement à cette mise en place, une problématique m'est posée : "pouvoir controler (interdire ou authoriser) l'accès à "internet" selon l'utilisateur. "
Entendre par la que certains utilisateurs auront droit à la navigation mais pas dautre, certain pouront recevoir des mail, etc...
 
Ma question est la suivante.
J'aimerais faire cela :
Je vais demander à mon FAI de rediriger tout le trafic qui sort de mon LAN vers une IP en particulier.
Cet Ip sera celle d'une machine que je vais placer devant un modem Adsl.
J'aimerais que cette machine soit "transparante" pour les users, je pense la faire à base d'Iptable ou d'ipcop.
Ca vous parait possible ?
 
Ou alors suis-je obligé de demander à mon FAI de bloquer toutes les sorties et vers le net et moi je devrais configurer chaque poste utilisateur pour qu'il utilise un proxy pour chaque appli (web, outlook, etc...)

Utilisation d'un proxy transparent.
Le VPN MPLS n'influe en rien.

 
Donc une passerelle iptable ou ipcop et c'est bon ?

passerelle iptables + un squid

Heu je me demande l'interet de mettre squid. Pour moi il s'agit de d'interdire en output l'acces à certains port en fonction de l'ip de départ (ou plus exactement de les authoriser pour certaines ip et tout interdire le reste).
 
Tu peux m'éclairer ?

oui nan rien, iptables suffit je sais pas pourquoi j'ai voulut foutre un proxy

et quid du spoofing ?

 
C'est géré au niveau des switchs ça...

pas de base non ?

Ah non, pas de base mais s'il veut un contrer les petits malins comme toi, il peut utiliser des switchs manageables et forcer une IP par port (après si les gars commencent à nater les connexions ça va pas le faire très longtemps ) .

mais je crois qu'il y a une fonction (notamment sur cisco) pour éviter l'arp cache poisonning

   
Faut pas m'agresser comme ca    
 
Non mais j'ai bien noté ta remarque
Juste que dans ma boite, ya pas de petit malin, ya juste des fumiste qui surfent toute la journée, et faut juste que je leur en fasse passer l'envie.
Bon si je suis pas trop con, je vais pas m'auto-sensurer  

oui il faut tjs se garder une porte de secours

Moi la porte elle va être grande ouverte, oui !  

l'admin = dieu

Heu, "monseigneur", ca me suffit  

Bon, je reviens vers vous.
 
J'ai vu avec mon FAI MPLS, ils peuvent configurer le pare-feu comme je le souhaite, en entrée comme en sortie. Donc bon en gros, si vais définir les Ip qui ont accès à tel ou tel port, et je sens que le 80 va être mon principal centre d'interet (oui, oui, le 445 aussi...)
 
Par contre, pas de logs...
Je me tatais à lui demander de tout interdire, et de faire passer tout le monde par un proxy (qui lui ne serait pas vérouillé of course).
 
Et c'est là que j'ai besoin de vous :
 
Si je met une machine Ipcop, puis-je faire passer par ce proxy toutes les connexions (http - bien sur, inutile de répondre, mais quand est-il des connexions ftp, ssh, pop3, smtp...)
Pour les clients mail, j'ai vu qu'on devait (pouvait) configurer le proxy http (pourtant, c'est pas du http   ).
 
Petite dernière question (subsidiaire) : Puis-je faire une authentification par login/mdp plutot que ip pour le proxy ?

tu peux faire un proxy transparent : tout les flux sont redirigés sur le port du proxy automatiquement
bien sûr avec login/pass c'est possible
 
après, pour ftp, smtp etc. il faut voir si les logiciels supportent le proxy

 
Nan, je le ferais pas transparant, car pour ca il faudrait que je demande à mon FAI de rediriger le flux de toutes les connexions vers mon proxy, et ca ca me coute des sous (un peu trop à mon gout).
 
Par contre ca me coute rien de lui demander de tout bloquer en sortie.
 
Ok pour le login/mdp
 
Juste par curiosité, on peut pas définir 2 passerelles sur un pc ? Me semble pas trop normal comme concept, m'enfin on sait jamais...

si il y a un login/pass spa transparent

aucun rapport

 
La "transparence" (enfin non transparance), c'est le fait de devoir définir les paramètres du proxy dans ton navigateur/client mail, etc...
Isn't it ?

en effet
mot de passe ou pas, c'est une autre histoire

http://www.nufw.org/
 
nufw pourrait repondre a tes besoins, je ne l'ai jamais testé mais ça à l'air très puissant ... bon c'est sur que tes utilisateurs vont vraiment te detester apres ^^

 
Si ça a un rapport : tu peux pas.. du moins avec squid
(testé et éprouvé)

Tu peux pas faire quoi avec Squid ?

le mettre en proxy transparent avec une authentification

Ca vous choque pas d'avoir tout ça dans la même phrase ?

moi si, mais pas tomate

squid stout pourrite

Accessoirement, s'il y a une authentification, on est bien d'accord que c'est plus transparent, non ?  
 
Sauf à installer une solution proprio et déployer qqchose sur chaque client, mais là, même si c'est transparent pour l'utilisateur, ça l'est bcp moins pour les admins réseau et système  
Sans parler du coût ...

Raconterais-je une connerie?  SNMP pour tout piloter sans quitter son bureau climatisé (matériel oblige)

pour moi transparent c'est pas besoin de conf sur les clients
 
l'auth ou non c'est une question de sécu

oui

mmm ... ou alors, y'a ptet moyen de faire qqchose niveau "authentification", en combinant DHCP, Squid, et ebtables/iptables ... ça me rappelle un truc
 
  Genre, tu forces l'utilisateur à s'authentifier lors de sa première connexion réseau de la journée, sinon il reste avec une adresse IP (privée en général) dans un "bac à sable", à partir duquel les services accessibles sont très limités.
  S'il s'authentifie correctement, il se voit attribuer une adresse IP différente et surtout "utilisable" qui lui donne l'accès à différents services et réseaux, et notamment le net. Une fois qu'il a été authentifié pour son accès réseau, il l'est aussi de façon implicite pour d'autres services comme Squid, qui peut du coup être configuré de façon (plus ou moins) transparente (y'a des limites qd même).
C'est un schéma du type "1 user authentifié = 1 adresse IP" où chaque user est responsable de tout ce qui se passe avec son adresse IP

SNMP sert à vérifier l'état d'équipements pas à les administrer