Bilbotorm Posté(e) le 5 août 2011 Partager Posté(e) le 5 août 2011 Hello pour un ami patron d'une petite PME qui avait besoin d'un coup de main, je suis en train d'installer un serveur SBS 2011. Je précise que ce n'est pas mon métier premier :) La configuration se fait sans trop de difficulté, j'ajoute les clients au domaines (DHCP), j'nstalle les outlooks qui se connectent sans souci au serveur Exchange pour partage de calendriers etc. Par contre, à la demande du boss, il faudrait désactiver complètement l'accès a Internet sur certains postes et la les difficultés commencent. J'ai vu qu'avec des GPOs ont pouvait forcer un Proxy bidon et faire capoter Internet Explorer, ou même bloquer le nom d'un exécutable; mais ça reste facilement contournable : renommer le fichier, installer Firefox, etc. Y a t il un autre moyen de procéder pour bloquer complètement ? Ou à l'inverse, distribuer l'accès au routeur ADSL à seulement quelques computer identifiés fixes ? Merci pour les conseils et avis, je suis pas mal perdu :( Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 5 août 2011 Partager Posté(e) le 5 août 2011 Bonjour, Quand j'ai à faire ça je bloque le port 80 8080 et 443 pour les ordinateurs concernés Lien vers le commentaire Partager sur d’autres sites More sharing options...
Carpe_Diem Posté(e) le 5 août 2011 Partager Posté(e) le 5 août 2011 Un serveur ISA ? Ou une solution via GPO ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 5 août 2011 Auteur Partager Posté(e) le 5 août 2011 Merci pour vos deux réponses. Je vais tenter de regarder les GPO pour bloquer et les ports, et imposer un faux proxy comme l'indique le thread sur hardware.fr. Je ne maitrise pas encore l'outil GPO mais je m'y pencher plus sérieusement. J'avais juste un doute, imposer le proxy ça ne marche qu'avec IE ou ça le fera pour tous les browsers ? merci ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
spykeer Posté(e) le 5 août 2011 Partager Posté(e) le 5 août 2011 Je connais un moyen, mais uniquement avec iptables ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 5 août 2011 Partager Posté(e) le 5 août 2011 Le SBS fait-il routeur et tout le monde surfe via cette machine, ou non ? S'il ne fait que contrôleur de domaine, pas de réel moyen de bloquer Internet sur les postes à part GPO... sachant qu'une bonne GPO avec règle de pare-feu avancé Windows peut bloquer tout surf Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 5 août 2011 Auteur Partager Posté(e) le 5 août 2011 Je ne suis pas sur de bien saisir la question en fait... Y a un modem routeur en 192.168.0.254 sur lequel le DHCP est coupé (ça gênait notre ami SBS) Y a le serveur SBS en 192.168.0.2 sur lequel le DHCP est activé et qui fait controleur de domaine Y a les pc clients qui viennent se connecter en ip auto DHCP est ce que ça repond à ta question ? je ne sais pas trop ce que tu entends par : tout le monde surfe via le serveur... comment puis je le verifier ? si je met un pc avec une ip fixe, il n'arrive pas a surfer, faut que je lui specifie les DNS a la main... alors qu'en DHCP par le SBS ça marche bien... je me rends compte de ma noobitude rien qu'en me lisant. Sinon pour les GPO; jai essayer de bidouiller un peu tout ça, maiss je suis qd même pas mal pommé; si vous avez un tuto qqpart je prends ! merci déjà pour tous vos retours!!! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 6 août 2011 Partager Posté(e) le 6 août 2011 Dans l'IP d'un PC client, la passerelle est l'IP du routeur ou du SBS ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 6 août 2011 Partager Posté(e) le 6 août 2011 Personnellement, je gérerai ça au niveau réseau. J'isolerai ces postes sur un sous réseau donné et un routeur bloquerait Internet pour cette plage. Car c'est bien gentil de gérer ça logiciellement, mais si je mets un live CD, c'est mort. Ou si j'installe VirtualBox avec un Linux en VM, c'est mort. Bref, je sais que ça ne répond pas à ton souci de SBS, mais c'est comme ça que je le ferai Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 6 août 2011 Auteur Partager Posté(e) le 6 août 2011 @Amour : un ipconfig/all sur un client du domaine me donne: ip .11 (dhcp), serv dhcp .2 (le server SBS), serv DNS .2, passerelle .254 (le modem routeur) @Fabien : Les utilisateurs sont assez novices, ils peuvent mettre un firefox/chrome, mais pas s'amuser un live cd... Je comprends ton idée, mais pour le moment, le boss voudrait déjà simplement voir si la disuasion est suffisante /logiciel... me reste plus qu'a comprendre comment mettre un GPO (ipsec?), les tutos que je trouvent sont soient sur du 2003 (et ça ressemble pas du tout a SBS2011) soit trop obscur pour mes maigres compétences en tout cas déjà merci pour tous vos avis Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 6 août 2011 Partager Posté(e) le 6 août 2011 C'est pas si facile de bloquer Internet logiciellement. Et par expérience, les utilisateurs peuvent très vite gagner en compétence quand on commence à les couper d'internet Par exemple, sous Firefox, tu mets le proxy que tu veux. Et par défaut il ne reprend pas celui d'IE. Donc, ta solution se contourne en installant Firefox ... Et ça, crois moi, le lendemain de la mise en place du blocage, tout le monde aura déserté IE ... (ce qui n'est pas un mal tu me diras) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 7 août 2011 Partager Posté(e) le 7 août 2011 Les postes clients sont-ils récents, avec du Vista ou 7 ? Si oui, le pare-feu avancé permet de bloquer les sorties vers le port TCP 80, et TCP 443, et adieu le surf. Problème, ça risque aussi de bloquer les mises à jour Windows A moins qu'il y ait WSUS dans le serveur pour les mises à jour, et on autorise les ports TCP 80 et 443 uniquement vers cette IP là. Cela sent la belle usine à gaz... Autrement on peut aussi imaginer un IPCOP transparent à la place du routeur, et là aussi on peut faire des choses sympa ; mais pas bloquer tous les petits malins S'il y a un tunnel SSH ou VPN en direction d'un port non standard : pas la peine, très difficile à bloquer. Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 7 août 2011 Partager Posté(e) le 7 août 2011 Sinon dans toutes les entreprises où je suis allé, on bloque la sortie vers le net pour tout. Ensuite on met un proxy qui lui a le droit de sortir sur le net. Et sur le proxy tu peux définir les règles que tu veux. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 7 août 2011 Auteur Partager Posté(e) le 7 août 2011 Wow ça fait plein d'idées, et pleins de truc technique que je ne connais pas du tout :=) Les postes sont soient en XP pro; soit en 7 pro. Il y a WSUS 3.x sur SBS Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 8 août 2011 Partager Posté(e) le 8 août 2011 Pas bête le coup du proxy... d'autant plus que s'il y a du XP présent, les GPO pare-feu sortant ne fonctionneront pas Dans ce cas vous pouvez soit : - Enlever la passerelle dans la carte réseau des machines qui n'auront pas Internet, et activer WSUS ou - Enlever la passerelle dans toutes les machines, et ajouter un proxy pour celles qui ont besoin ou - Enlever la passerelle dans toutes les machines, et ajouter un proxy sur toutes les machines et régler les droits depuis le serveur de proxy Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 9 août 2011 Auteur Partager Posté(e) le 9 août 2011 Ce proxy serait logiciel ? ou matériel et lié au routeur ? serait il possible d'avoir une mini description de ce plan ? merci en tout cas vous m'avez déjà bien éclairé ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabien29200 Posté(e) le 9 août 2011 Partager Posté(e) le 9 août 2011 Oui c'est un logiciel. Pour le plan, je vois pas trop. Y a pas grand chose à changer. Juste ne plus router les requêtes vers l'extérieur, sauf pour le proxy. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 10 août 2011 Auteur Partager Posté(e) le 10 août 2011 Oki, des conseils sur des proxy pas cher/open source pour sbs 2011 ? merci bcp ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
AHP_Nils Posté(e) le 11 août 2011 Partager Posté(e) le 11 août 2011 Hello, le plus compatible avec du SBS, c'est sans doute Microsoft ISA Server. Selon la version de SBS achetée, il est possible que ce soit déjà inclus. Côté Windows, en gratuit, j'avais à une époque lointaine essayé FreeProxy. Sinon la star, côté logiciels libres, c'est Squid. Si l'installation d'une distribution Linux de A à Z pose problème, il y a une solution presque clé en main pour installer une passerelle vers Internet avec un proxy, c'est IPCop : par défaut, les options du proxy sont maigres, mais il existe un addon qui étend ses possibilités et qui se nomme urlfilter. Bon courage ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 11 août 2011 Partager Posté(e) le 11 août 2011 Dans le même genre, il y a aussi 3proxy, gratuit et open source Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bilbotorm Posté(e) le 11 août 2011 Auteur Partager Posté(e) le 11 août 2011 Merci pour toutes vos réponses je vais chercher de ce côté la! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.