AIDE - SBS2011 - Bloquer Internet

[Bilbotorm]

Hello

pour un ami patron d'une petite PME qui avait besoin d'un coup de main, je suis en train d'installer un serveur SBS 2011. Je précise que ce n'est pas mon métier premier :) La configuration se fait sans trop de difficulté, j'ajoute les clients au domaines (DHCP), j'nstalle les outlooks qui se connectent sans souci au serveur Exchange pour partage de calendriers etc.

Par contre, à la demande du boss, il faudrait désactiver complètement l'accès a Internet sur certains postes et la les difficultés commencent. J'ai vu qu'avec des GPOs ont pouvait forcer un Proxy bidon et faire capoter Internet Explorer, ou même bloquer le nom d'un exécutable; mais ça reste facilement contournable : renommer le fichier, installer Firefox, etc.

Y a t il un autre moyen de procéder pour bloquer complètement ? Ou à l'inverse, distribuer l'accès au routeur ADSL à seulement quelques computer identifiés fixes ?

Merci pour les conseils et avis, je suis pas mal perdu :(

[Invité]

Bonjour,

Quand j'ai à faire ça je bloque le port 80 8080 et 443 pour les ordinateurs concernés

[Carpe_Diem]

Un serveur ISA ? Ou une solution via GPO ?

[Bilbotorm]

Merci pour vos deux réponses. Je vais tenter de regarder les GPO pour bloquer et les ports, et imposer un faux proxy comme l'indique le thread sur hardware.fr.

Je ne maitrise pas encore l'outil GPO mais je m'y pencher plus sérieusement. J'avais juste un doute, imposer le proxy ça ne marche qu'avec IE ou ça le fera pour tous les browsers ? merci !

[spykeer]

Je connais un moyen, mais uniquement avec iptables ^^

[Amour]

Le SBS fait-il routeur et tout le monde surfe via cette machine, ou non ?

S'il ne fait que contrôleur de domaine, pas de réel moyen de bloquer Internet sur les postes à part GPO... sachant qu'une bonne GPO avec règle de pare-feu avancé Windows peut bloquer tout surf

[Bilbotorm]

Je ne suis pas sur de bien saisir la question en fait...

Y a un modem routeur en 192.168.0.254 sur lequel le DHCP est coupé (ça gênait notre ami SBS)

Y a le serveur SBS en 192.168.0.2 sur lequel le DHCP est activé et qui fait controleur de domaine

Y a les pc clients qui viennent se connecter en ip auto DHCP

est ce que ça repond à ta question ? je ne sais pas trop ce que tu entends par : tout le monde surfe via le serveur... comment puis je le verifier ? si je met un pc avec une ip fixe, il n'arrive pas a surfer, faut que je lui specifie les DNS a la main... alors qu'en DHCP par le SBS ça marche bien...

je me rends compte de ma noobitude rien qu'en me lisant.

Sinon pour les GPO; jai essayer de bidouiller un peu tout ça, maiss je suis qd même pas mal pommé; si vous avez un tuto qqpart je prends !

merci déjà pour tous vos retours!!!

[Amour]

Dans l'IP d'un PC client, la passerelle est l'IP du routeur ou du SBS ?

[fabien29200]

Personnellement, je gérerai ça au niveau réseau.

J'isolerai ces postes sur un sous réseau donné et un routeur bloquerait Internet pour cette plage.

Car c'est bien gentil de gérer ça logiciellement, mais si je mets un live CD, c'est mort.

Ou si j'installe VirtualBox avec un Linux en VM, c'est mort.

Bref, je sais que ça ne répond pas à ton souci de SBS, mais c'est comme ça que je le ferai

[Bilbotorm]

@Amour : un ipconfig/all sur un client du domaine me donne: ip .11 (dhcp), serv dhcp .2 (le server SBS), serv DNS .2, passerelle .254 (le modem routeur)

@Fabien : Les utilisateurs sont assez novices, ils peuvent mettre un firefox/chrome, mais pas s'amuser un live cd... Je comprends ton idée, mais pour le moment, le boss voudrait déjà simplement voir si la disuasion est suffisante /logiciel... me reste plus qu'a comprendre comment mettre un GPO (ipsec?), les tutos que je trouvent sont soient sur du 2003 (et ça ressemble pas du tout a SBS2011) soit trop obscur pour mes maigres compétences

en tout cas déjà merci pour tous vos avis

[fabien29200]

C'est pas si facile de bloquer Internet logiciellement.

Et par expérience, les utilisateurs peuvent très vite gagner en compétence quand on commence à les couper d'internet

Par exemple, sous Firefox, tu mets le proxy que tu veux. Et par défaut il ne reprend pas celui d'IE.

Donc, ta solution se contourne en installant Firefox ...

Et ça, crois moi, le lendemain de la mise en place du blocage, tout le monde aura déserté IE ... (ce qui n'est pas un mal tu me diras)

[Amour]

Les postes clients sont-ils récents, avec du Vista ou 7 ?

Si oui, le pare-feu avancé permet de bloquer les sorties vers le port TCP 80, et TCP 443, et adieu le surf.

Problème, ça risque aussi de bloquer les mises à jour Windows

A moins qu'il y ait WSUS dans le serveur pour les mises à jour, et on autorise les ports TCP 80 et 443 uniquement vers cette IP là.

Cela sent la belle usine à gaz...

Autrement on peut aussi imaginer un IPCOP transparent à la place du routeur, et là aussi on peut faire des choses sympa ; mais pas bloquer tous les petits malins

S'il y a un tunnel SSH ou VPN en direction d'un port non standard : pas la peine, très difficile à bloquer.

[fabien29200]

Sinon dans toutes les entreprises où je suis allé, on bloque la sortie vers le net pour tout. Ensuite on met un proxy qui lui a le droit de sortir sur le net. Et sur le proxy tu peux définir les règles que tu veux.

[Bilbotorm]

Wow ça fait plein d'idées, et pleins de truc technique que je ne connais pas du tout :=)

Les postes sont soient en XP pro; soit en 7 pro.

Il y a WSUS 3.x sur SBS

[Amour]

Pas bête le coup du proxy... d'autant plus que s'il y a du XP présent, les GPO pare-feu sortant ne fonctionneront pas

Dans ce cas vous pouvez soit :

- Enlever la passerelle dans la carte réseau des machines qui n'auront pas Internet, et activer WSUS

ou

- Enlever la passerelle dans toutes les machines, et ajouter un proxy pour celles qui ont besoin

ou

- Enlever la passerelle dans toutes les machines, et ajouter un proxy sur toutes les machines et régler les droits depuis le serveur de proxy

[Bilbotorm]

Ce proxy serait logiciel ? ou matériel et lié au routeur ? serait il possible d'avoir une mini description de ce plan ? merci en tout cas vous m'avez déjà bien éclairé !

[fabien29200]

Oui c'est un logiciel.

Pour le plan, je vois pas trop.

Y a pas grand chose à changer. Juste ne plus router les requêtes vers l'extérieur, sauf pour le proxy.

[Bilbotorm]

Oki, des conseils sur des proxy pas cher/open source pour sbs 2011 ? merci bcp !

[AHP_Nils]

Hello,

le plus compatible avec du SBS, c'est sans doute Microsoft ISA Server. Selon la version de SBS achetée, il est possible que ce soit déjà inclus. Côté Windows, en gratuit, j'avais à une époque lointaine essayé FreeProxy. Sinon la star, côté logiciels libres, c'est Squid. Si l'installation d'une distribution Linux de A à Z pose problème, il y a une solution presque clé en main pour installer une passerelle vers Internet avec un proxy, c'est IPCop : par défaut, les options du proxy sont maigres, mais il existe un addon qui étend ses possibilités et qui se nomme urlfilter.

Bon courage !

[Amour]

Dans le même genre, il y a aussi 3proxy, gratuit et open source

[Bilbotorm]

Merci pour toutes vos réponses je vais chercher de ce côté la!