Bonjour,  
dans un reseau géré par SBS 2003 R2 avec 15 postes, nous avons remarqués des gens qui chattent et qui surfent régulièrement (sur les postes de travail)! Je cherche donc une solution pour bloquer tous les sites internet sauf deux (des sites qui concernent notre travail) sites et également bloquage de chat avec MSN ! Toutes les idées sont les bienvenues !
 
Merci d'avance. Cordialement.

Je le fais pour une partie de mes utilisateurs via Squid....

Merci pour la réponse, avez-vous une idée pour la mise en place de ce Squid ?

Bonjour,
 
Pour reprendre la réponse de boobaka, plus généralement il faut un serveur proxy et configurer les postes clients pour passer par ce proxy. A partir de celui-ci, il est ensuite possible de filtrer les URL, en créant une whitelist pour les sites autorisés et interdire par défaut toutes les autres.  
 
Squid n'est qu'un exemple de proxy, et tu trouveras par exemple un tutoriel expliquant son utilisation / installation ici : http://www.fido-fr.net/linux_proxy_transparent.shtml
 
(j'ai pris le premier que j'ai trouvé, il y en a certainement d'autres sur le net)

y a pas un proxy intégré dans SBS 2k3 ?

Ah si visiblement il y a ISA2004 d'intégré

Dans la version premium de SBS uniquement, pas dans la version standard.

Le 1er truc à faire je pense est de voir avec la direction pour prévenir les salariés de se calmer.
 
Ensuite, au niveau technique, tu peux déjà avec les GPO bloquer certains exe (MSN, SKYPE, etc.) et entrer de fausses correspondances IP pour certains sites sans le serveur DNS de ton SBS.
 
Après, pour un contrôle total des sites, il faut un proxy c'est clair.

Ahh quand-même ! Donc si j'ai bien compris, il n y a aucun autre moyen à parts un serveur proxy? Est-ce possible de faire une manipulation sur les PC's concernés ? J'ai lu sur un site ceci (je me permet de faire un copier/coller):
 
"tu peut virtuellement bloquer l'acces a tout les sites sauf un c'est tout simple. Mais d'abord un petit peu d'histoire: avant qu'existent les serveurs DNS (pour donner la correspondance nom de domaine adresse ip en dynamique) on utilisait le fichier "hosts". C'est un fichier qui existe sur tout les ordinateurs (mac,pc,linux,windows,unix...) on y renseignait en statique (c'est à dire par une liste d'adresse) les correspondances.  
Donc: si tu veut n'avoir acces qu'à un site, il te suffit de désactiver ton DNS (dans les propriétés réseau...) et de renseigner ton fichier host en y rajoutant la ligne:  
207.68.173.245 www.hotmail.com  
 
Ce fichier se trouve à l'emplacement suivant :  
 
Linux /etc/hosts  
MacOS X /etc/hosts  
Windows 95, 98 c:\windows\  
Windows NT, 2000 c:\winnt\system32\drivers\etc\  
Windows XP c:\windows\system32\drivers\etc\  
 
A ce moment là, tu aura beau taper toutes les adresses que tu veut tu n'aura acces à rien d'autre. seul www.hotmail.com fonctionnera."
 
Qu'en pensez-vous sur cette manipulation ?
Cordialement !

Oui c'est possible, en revanche vérifie bien que tu n'as pas de services accédés via le nom DNS dans ton entreprise, sinon il faudra que tu les rajoutes tous dans le fichier hosts. Ensuite, si un utilisateur connaît l'adresse IP du site auquel il souhaite accéder, ça fonctionnera toujours.  
 
C'est une méthode un peu barbare, mais ça peut t'aider à résoudre ton problème.

ou alors si tu as un routeur (celui qui fait ton NAT par exemple) avec quelques fonctionnalités, tu interdis toutes les adresses IP en sortie sauf celles des sites concernés
 
la c'est sur ça ne passera plus

Alors dans ce cas, que est-ce qu'ils feront les autres PC's (PC's qui doivent acceder à l'internet ? ) ?

tu peux faire des regles pour autoriser certaines @IP à acceder à tout et restreindre pour les autres ... par contre ça t'oblige à avoir des IP fixe ou un pool DHCP statique sur les machines avec ces @IP
 
enfin ça va dépendre de ce que ton routeur c'est faire aussi
 

je pense que tu te met trop dans le cas de la bricole que tu ferais à la maison avec un petit routeur...
 
on parle d'entreprise ici...
 
Le plus souvent dans une boite, tu as le materiel LAN qui appartient à la boite...
 
et tu as les routeurs internet qui sont souvent loués chez un prestataire (FT, cegetel etc...) et le plus souvent tu n'a pas la main sur ces routeurs et encore heureux... il font leur propre maintenance dessus...
 
Tout ca pour dire, que cette solution n'est pas viable pour une entreprise...
 
Le mieux est de passer par un serveur proxy, qui bloque les site de chat, porno etc...
 
Bien sur comme bcp d'autre j'utilise Squid + Squidguard... c'est à mon avis le plus performant...
 
Squid permet même l'authentification par mot de passe...
 
tu peux très bien instaurer des droits d'accès internet... les gens qui ont droit à internet auront un mot de passe pour utiliser le proxy les autres non...
 
A moment donné je pense qu'il faut arreter de bidouiller... et monter quelquechose de sérieux...
 
Pour ma part ca marche comme ca...
Un firewall qui empeche tout trafic entre le LAN et l'internet, sauf pour l'ip du proxy...
 
On ne peut surfer qu'en passant par squid...  
Tu n'a que des avantages... tu peux suivre en temps réèls les consomations internet... et faire des statistiques...

 
ah désolé j'étais pas au courant que les access-list sur un routeur (ou sur un firewall) c'est de la bricole ... tu m'en apprends une bonne la, faut vite que j'aille changer toutes mes confs  
 
bon blag à part effectivement un proxy permet de faire pas mal de chose (gestion user, authentification, stats...) et c'est sûr que dans l'aboslu c'est un très bonne solution pour gérer l'accès à Internet dans une entreprise
 
 
a un moment donné je pense qu'i faut prendre en considération le contexte et trouver la solution technico-économie la mieux adaptée
 
quand je vois "un reseau géré par SBS 2003 R2 avec 15 postes" bizarement mon petit doit me dit que le budget informatique/réseau dans une entreprise comme celle là doit être plutôt limité (enfin je peux me tromper... ) donc faire acheter un serveur et tout le tintouin pour mettre un squid c'est bien mais je suis pas sur que la direction apprécie la facture surtout pour 15 postes il y a de forte chance que finalement la personne qui valide fasse les gros yeux et dit quelque chose comme "Oula, ça fait cher pour pouvoir contrôler MSN et tout le reste !!! Bon ben finalement on va laisser l'accès..." et donc conclusion rien n'aura été fait
 
alors que potentiellement en fonction de ce qu'il a déjà sous la main il peut peut être faire quelque chose  
 
 
et au passage une ACL ce n'est pas contournable (bon d'accord si c'est un chimpanzé qui à créer les ACL il peut y avoir des "trous" ) contrairement à un proxy (bon sauf dans le cas où le proxy est entre 2 firewalls et qu'on filtre le trafic LAN )

Pour ma part je ne trouve pas cette solution satisfaisante..
D'une part tu parle de cout, je pense qu'il n'a pas non plus les moyens de se payer un routeur qui gère les acl... de plus c'est très peu ergonomique...
 
je me vois mal faire une acl pour tel ou tel site...  
c'est pas du tout modulable... tu as pas vraiment la visu sur ce qui se passe...
 
Pour monter un proxy squid tu n'a pas besoin d'un foudre de guerre... il as peut etre même dejà ce qu'il faut dans ses locaux...
 
Je trouve que le proxy a tous les avantages: filtrage, statistique, cache ... et surtout modulable...

Oui effectivement, le problème est le cout, deux postes qui nous posent des problèmes et les autres (et le reseau) doivent subir des conséquences assez graves ! Je suis un peu perdu, je ne sais quoi appliquer comme solution.

ben un proxy c'est effectivement plus propre et plus efficace ... mais tu devras au minimum soit avoir une machine pour faire tourner un linux avec un squid (coûts de la machine, les softs c'est gratos) ou acheter un proxy "Windows" que tu mets sur ton serveur SBS
 
après effectivement tu peux faire ça en brut sur ton routeur et/ou firewall de manière un peu bourrin s'ils le permettent techniquement
 
où alors sinon tu n'as pas moyen de discipliner tes 2 utilisateurs qui posent problème ?

En ce qui concerne le coût d'une machine pour un proxy sous linux, j'ai tourné 2 ans avec un routeur/firewall/proxy sous Ipcop 1.3 + dansguardian sur un celeron 400, 384mo de RAM, HDD de 40Go et jusqu'à 50 users en // derrière pour du surf.
 
Tout ça pour dire que si on veut faire dans la débrouille pas cher pour du très bien, c'est possible niveau proxy HTTP.

C'est toujours le même probleme... tout dépend ce qu'on veut...
en effet on peut faire un un proxy avec un vieux pc ... Mais bon en général en entreprise on met du sérieux... Serveur de marque, Raid, alim redondante ... etc ...
 

je suis ok
mais pas besoin de bi xéon et X Go de ram, voilà mon propos

Perso , j'utilise mon firewall (Sonic Wall ) pour filtrer les access internets.
J'autorise ou non l'utilisateur a se connecter à internet .  
 
Et suivant le groupe auquel il appartient je peux autoriser un site et desactiver le surf sous tout autre site que ceux de la liste blanche .
 
Pas compliqué à configurer maintenant au niveau prix c'est plus cher qu'un vieux pc mais j'espere qu'il a des compétences en linux car ok l'install est assez simple mais en cas de problème va falloir savoir mettre les mains dans le cambouis ...

Ca s'installe en local ou faut-il une machine dédiée ?

Si tu me parles à moi cela se configure simplement en prenant la main par https sur le pare feu donc pas de machine dédié .