Aller au contenu

AIDE - SBS2011 - Bloquer Internet


Messages recommandés

Hello

pour un ami patron d'une petite PME qui avait besoin d'un coup de main, je suis en train d'installer un serveur SBS 2011. Je précise que ce n'est pas mon métier premier :) La configuration se fait sans trop de difficulté, j'ajoute les clients au domaines (DHCP), j'nstalle les outlooks qui se connectent sans souci au serveur Exchange pour partage de calendriers etc.

Par contre, à la demande du boss, il faudrait désactiver complètement l'accès a Internet sur certains postes et la les difficultés commencent. J'ai vu qu'avec des GPOs ont pouvait forcer un Proxy bidon et faire capoter Internet Explorer, ou même bloquer le nom d'un exécutable; mais ça reste facilement contournable : renommer le fichier, installer Firefox, etc.

Y a t il un autre moyen de procéder pour bloquer complètement ? Ou à l'inverse, distribuer l'accès au routeur ADSL à seulement quelques computer identifiés fixes ?

Merci pour les conseils et avis, je suis pas mal perdu :(

Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos deux réponses. Je vais tenter de regarder les GPO pour bloquer et les ports, et imposer un faux proxy comme l'indique le thread sur hardware.fr.

Je ne maitrise pas encore l'outil GPO mais je m'y pencher plus sérieusement. J'avais juste un doute, imposer le proxy ça ne marche qu'avec IE ou ça le fera pour tous les browsers ? merci !

Lien vers le commentaire
Partager sur d’autres sites

Le SBS fait-il routeur et tout le monde surfe via cette machine, ou non ?

S'il ne fait que contrôleur de domaine, pas de réel moyen de bloquer Internet sur les postes à part GPO... sachant qu'une bonne GPO avec règle de pare-feu avancé Windows peut bloquer tout surf ;)

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis pas sur de bien saisir la question en fait...

Y a un modem routeur en 192.168.0.254 sur lequel le DHCP est coupé (ça gênait notre ami SBS)

Y a le serveur SBS en 192.168.0.2 sur lequel le DHCP est activé et qui fait controleur de domaine

Y a les pc clients qui viennent se connecter en ip auto DHCP

est ce que ça repond à ta question ? je ne sais pas trop ce que tu entends par : tout le monde surfe via le serveur... comment puis je le verifier ? si je met un pc avec une ip fixe, il n'arrive pas a surfer, faut que je lui specifie les DNS a la main... alors qu'en DHCP par le SBS ça marche bien...

je me rends compte de ma noobitude rien qu'en me lisant.

Sinon pour les GPO; jai essayer de bidouiller un peu tout ça, maiss je suis qd même pas mal pommé; si vous avez un tuto qqpart je prends !

merci déjà pour tous vos retours!!!

Lien vers le commentaire
Partager sur d’autres sites

Personnellement, je gérerai ça au niveau réseau.

J'isolerai ces postes sur un sous réseau donné et un routeur bloquerait Internet pour cette plage.

Car c'est bien gentil de gérer ça logiciellement, mais si je mets un live CD, c'est mort.

Ou si j'installe VirtualBox avec un Linux en VM, c'est mort.

Bref, je sais que ça ne répond pas à ton souci de SBS, mais c'est comme ça que je le ferai ;)

Lien vers le commentaire
Partager sur d’autres sites

@Amour : un ipconfig/all sur un client du domaine me donne: ip .11 (dhcp), serv dhcp .2 (le server SBS), serv DNS .2, passerelle .254 (le modem routeur)

@Fabien : Les utilisateurs sont assez novices, ils peuvent mettre un firefox/chrome, mais pas s'amuser un live cd... Je comprends ton idée, mais pour le moment, le boss voudrait déjà simplement voir si la disuasion est suffisante /logiciel... me reste plus qu'a comprendre comment mettre un GPO (ipsec?), les tutos que je trouvent sont soient sur du 2003 (et ça ressemble pas du tout a SBS2011) soit trop obscur pour mes maigres compétences

en tout cas déjà merci pour tous vos avis

Lien vers le commentaire
Partager sur d’autres sites

C'est pas si facile de bloquer Internet logiciellement.

Et par expérience, les utilisateurs peuvent très vite gagner en compétence quand on commence à les couper d'internet ;)

Par exemple, sous Firefox, tu mets le proxy que tu veux. Et par défaut il ne reprend pas celui d'IE.

Donc, ta solution se contourne en installant Firefox ...

Et ça, crois moi, le lendemain de la mise en place du blocage, tout le monde aura déserté IE ... (ce qui n'est pas un mal tu me diras)

Lien vers le commentaire
Partager sur d’autres sites

Les postes clients sont-ils récents, avec du Vista ou 7 ?

Si oui, le pare-feu avancé permet de bloquer les sorties vers le port TCP 80, et TCP 443, et adieu le surf.

Problème, ça risque aussi de bloquer les mises à jour Windows :transpi:

A moins qu'il y ait WSUS dans le serveur pour les mises à jour, et on autorise les ports TCP 80 et 443 uniquement vers cette IP là.

Cela sent la belle usine à gaz...

Autrement on peut aussi imaginer un IPCOP transparent à la place du routeur, et là aussi on peut faire des choses sympa ; mais pas bloquer tous les petits malins ;)

S'il y a un tunnel SSH ou VPN en direction d'un port non standard : pas la peine, très difficile à bloquer.

Lien vers le commentaire
Partager sur d’autres sites

Pas bête le coup du proxy... d'autant plus que s'il y a du XP présent, les GPO pare-feu sortant ne fonctionneront pas ;)

Dans ce cas vous pouvez soit :

- Enlever la passerelle dans la carte réseau des machines qui n'auront pas Internet, et activer WSUS

ou

- Enlever la passerelle dans toutes les machines, et ajouter un proxy pour celles qui ont besoin

ou

- Enlever la passerelle dans toutes les machines, et ajouter un proxy sur toutes les machines et régler les droits depuis le serveur de proxy

Lien vers le commentaire
Partager sur d’autres sites

Hello,

le plus compatible avec du SBS, c'est sans doute Microsoft ISA Server. Selon la version de SBS achetée, il est possible que ce soit déjà inclus. Côté Windows, en gratuit, j'avais à une époque lointaine essayé FreeProxy. Sinon la star, côté logiciels libres, c'est Squid. Si l'installation d'une distribution Linux de A à Z pose problème, il y a une solution presque clé en main pour installer une passerelle vers Internet avec un proxy, c'est IPCop : par défaut, les options du proxy sont maigres, mais il existe un addon qui étend ses possibilités et qui se nomme urlfilter.

Bon courage !

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...