Besoin de conseils Serveur Proxy Linux

Besoin de conseils Serveur Proxy Linux - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 14-04-2010 à 12:05:12    

Bonjour :-)
 
J'ai besoin d'installer un serveur proxy sous linux pour sauvegarder l'historique de navigation dans un cybercafé, mais je ne sais pas par quel bout m'y prendre.
 
Je connais déjà linux en tant qu'utilisatrice et aussi sous forme de serveur ftp mais pas en proxy.
 
Est-ce que quelqu'un connaîtrait un site / livre qui traite de ce sujet ou pourrait me conseiller une distribution ?
 
Mes besoins :
- proxy
- sauvegarde de l'historique de navigation (avec le nom ou Ip du poste qui a visité le site et l'heure)
- antivirus
- éventuellement filtrage de certains sites.
 
Le PC dont je dispose pour réaliser ce serveur n'est pas très récent, pensez vous que ça va beaucoup ralentir le surf ?
 
Merci d'avance :)

Reply

Marsh Posté le 14-04-2010 à 12:05:12   

Reply

Marsh Posté le 14-04-2010 à 12:33:19    

squid et squidgard.
'Pas récent' et sans connaitre le nombre d'utilisateur en simultané, on ne va pas pouvoir répondre sur le dimensionnement...


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-04-2010 à 12:46:58    

Je plussoie pour squid et squidguard (proxy et filtrage d'url). Je rajouterai au deux précédents lightsquid qui ajoute les fonctions de reporting.  
 
Il nous faut un peu plus d'informations pour la suite. Peux tu détaillé un peu plus la configuration de la machine et donner aussi une plage pour le nombre d'utilisateurs.  
 

Citation :

Je connais déjà linux en tant qu'utilisatrice et aussi sous forme de serveur ftp mais pas en proxy.


 
Le serveur ftp c'est toi l'a installer ? Quel distrib ? Te sent tu à l'aise avec ?

Reply

Marsh Posté le 14-04-2010 à 14:17:04    

Bonjour :-)
 
Oui c'est moi qui ai installé le ftp il y a déjà plus d'un an. Je l'ai fait à partir d'une ubuntu, je ne sais pas si c'était la meilleure solution mais en tout cas il fonctionne très bien :-)
Je connais aussi Freenas (je ne l'ai pas installé mais je l'administre) et pas mal d'autres distributions linux en tant qu'utilisatrice.
 
Sinon, pour le nombre d'utilisateurs : 6 fixes et 6 nomades maximum (portables sous windows XP familial, pro, vista, windows 7, et même un mac).
 
je n'ai pas besoin nécessairement de l'historique pour les nomades, c'est surtout pour les fixes.
 
La machine : un athlon 1ghz, 1 go de ram, carte réseau realtek, HDD 80go.
Est ce que ce sera suffisant ?
 
Si c'est trop juste je peux me procurer un athlon 64 2,2 Ghz, 2 go ram, carte réseau marvell yukon.
 
Qu'en pensez vous ?
 

Reply

Marsh Posté le 14-04-2010 à 14:20:17    

ça suffira :o


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-04-2010 à 14:44:02    

Partir sur une base de ubuntu minimale ou debian, ca devrait le faire.

Reply

Marsh Posté le 15-04-2010 à 17:42:37    

shaenwe a écrit :

Je connais aussi Freenas (je ne l'ai pas installé mais je l'administre)


Ah bon ? il y a quelque chose à administrer dessus ? :D (petit joke).
 
Donc déjà est-ce que tout peut passer dans ta machine ?
Je vois dans ton descriptif qu'il y a du portable dedans, WiFi donc ? Connecté par quoi ? (pas par un routeur/wifi j'espère :sweat: )


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 09-06-2010 à 11:44:25    

Bonjour :-)

 

Désolée j'ai dû mettre ce projet entre parenthèses pendant qq mois faute de temps, mais je m'y remets.

 

Que veux tu dire par :

 

"Donc déjà est-ce que tout peut passer dans ta machine ? "
Si c'est matériel, il s'agit pour l'instant d'un PC de 4/5 ans mais qui tourne bien sous windows XP et Linux en dual boot. Je compte supprimer windows puisqu'on ne s'en sert plus sur ce poste. Sinon il a 2 cartes réseau (une sur carte mère et une realtek PCI), 2 HDD en miroir, 2 go de ram (est-ce suffisant ?), etc...

 

Pour les portables on les connecte en ethernet, le routeur fait DHCP. Et le wifi est désactivé par précaution.

 

Par contre après coup j'aimerais aussi avoir un historique pour les nomades '^^

 

Je vais déjà me documenter sur squid, squidguard et lightsquid :-)

 

Savez-vous si cette solution permet de mémoriser l'adresse mac de la carte qui a consulté tel ou tel site ?

 

Merci beaucoup pour votre aide :)

 

Heureusement qu'il y a des forums comme celui-ci et des personnes sympathiques pour aider les "bleus" ;)

Message cité 1 fois
Message édité par shaenwe le 09-06-2010 à 11:49:07
Reply

Marsh Posté le 09-06-2010 à 13:13:22    

shaenwe a écrit :

Savez-vous si cette solution permet de mémoriser l'adresse mac de la carte qui a consulté tel ou tel site ?


L'adresse MAC non mais l'IP oui.

Reply

Marsh Posté le 09-06-2010 à 16:02:22    

erf c'est dommage puisque l'IP sera attribuée par le serveur DHCP aux portables. Du coup ils seront anonymes :s
 
est-ce qu'il y aurait une autre solution ?
 
Est-ce que le "logiciel" (désolée je n'ai jamais non plus paramétré de linux en serveur DHCP, par contre je l'ai eu fait sur windows server) qui sert de serveur DHCP sous linux pourrait sauvegarder les adresses mac correspondant aux IP qu'il attribue ?
 
ou alors il faudrait que le serveur demande un identifiant pour se connecter à internet, mais est-ce possible si les postes qui se connectent sont des versions familiales (et ne peuvent donc pas rejoindre de domaine) ?
 
Ou peut-être qu'il y a une autre façon d'avoir une traçabilité des sites consultés ? (c'est juste pour être en règle avec la loi, pas pour farfouiller dans les sites visités)

Message cité 1 fois
Message édité par shaenwe le 09-06-2010 à 16:05:36
Reply

Marsh Posté le 09-06-2010 à 16:02:22   

Reply

Marsh Posté le 09-06-2010 à 16:13:32    

Ton serveur DHCP n'a pas de log ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 09-06-2010 à 16:14:47    

shaenwe a écrit :

Est-ce que le "logiciel" (désolée je n'ai jamais non plus paramétré de linux en serveur DHCP, par contre je l'ai eu fait sur windows server) qui sert de serveur DHCP sous linux pourrait sauvegarder les adresses mac correspondant aux IP qu'il attribue ?


C'est un peu une de ses principales tâches normalement...

 
shaenwe a écrit :

ou alors il faudrait que le serveur demande un identifiant pour se connecter à internet, mais est-ce possible si les postes qui se connectent sont des versions familiales (et ne peuvent donc pas rejoindre de domaine) ?


802.1x + radius

shaenwe a écrit :

Ou peut-être qu'il y a une autre façon d'avoir une traçabilité des sites consultés ? (c'est juste pour être en règle avec la loi, pas pour farfouiller dans les sites visités)


Authentification login/password lié à la personne pour l'accès au proxy + charte stipulant que l'accès à internet et à l'intranet se fait après authentification, que les sites consultés sont loggués + petit courier à la CNIL indiquant les infos que tu stockes + batte à clous pour ceux qui s'échangent les logins/password

 

Sur le site de la cnil tu as un pdf qui explique ce que tu as à faire pour la constitutions d'une charte potable.


Message édité par o'gure le 09-06-2010 à 16:18:31

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 09-06-2010 à 16:39:17    

Citation :

C'est un peu une de ses principales tâches normalement...


 
La question a dû te paraître un peu bête mais je n'avais pas envie de me lancer dans l'installation d'un serveur pour m'apercevoir qu'il était finalement impropre à l'usage que je voulais en faire ;-)
 
Du coup je n'ai plus qu'a m'y mettre :-)
 
La charte est déjà affichée et signée par les utilisateurs et il y a un contrôle humain mais sommaire de l'activité des "clients" pour éviter le piratage et ce genre de choses. Mais je me suis dit qu'une solution entièrement automatisée serait quand même plus sure. Surtout que légalement on y est tenus.
 
Et on a déjà fait une déclaration à la CNIL :)
Peut-être faudra-t-il en refaire une quand le serveur sera en place, mais ça ne devrait pas poser de problème. Les données stockées ne seront pas utilisées, c'est juste pour être en règle.
 

Citation :

Authentification login/password lié à la personne pour l'accès au proxy


 
J'aimerais vraiment pouvoir me passer de l'étape login/mdp vu que c'est public et que beaucoup de gens viennent avec leurs portables (à peu près 2/3 en même temps) et c'est un peu galère de devoir à chaque fois paramétrer le PC, surtout que ça circule beaucoup.
 

Citation :

+ batte à clous pour ceux qui s'échangent les logins/password


 
Un peu extrême peut-être non ? ;)
 
Surtout que je n'effraie pas grand monde avec mon gabarit ^^
 
merci beaucoup pour tes conseils, je vais retrousser mes manches et me mettre au travail :)

Reply

Marsh Posté le 09-06-2010 à 16:54:47    

Y a pas de question bête, on ne peut pas tout savoir [:mrbrelle]
La fonction d'un serveur DHCP c'est, basiquement, d'affecter une adresse IP lors d'une demande. Le standard veut que le serveur tente de donner la même adresse IP aux équipements lorsqu'ils se connectent plusieurs fois de suite sur le même réseau. Ils ont donc une sorte de petite base de données contenant l'adresse MAC et/ou le nom de machine et l'adresse IP qui a déjà été affectée.
Par contre baser l'identification sur ça c'est trop léger, notamment pour un cyber café et en face de la justice.

 

J'ai relu le topic, j'avais un peu oublié le contexte de départ, mais si c'est pour un cyber café, je t'invite plutôt à regarder sur les pistes suivantes :
    - les distributions de type "kiosk"
    - les portails "captifs" généralement utilisés pour le wifi mais utilisables aussi pour les réseaux ethernet

 

Le "process" serait le suivant :
   1. Les gens arrivent dans le cyber café, passe à l'accueil
   2. l'accueil fait photocopie de carte d'identité + création d'un compte dans le portail / dans le système gérant le kiosk
   3. les gens connectent leur machine ou se mette à un poste
   4.a si c'est sur un poste : ils rentrent le code que l'accueil leur a donné
   4.b si c'est sur leur propre laptop, ils ouvrent un browser et rentrent leur code

 

L'adresse IP/Mac + les sites concernés sont facilement retrouvable via le système de gestion normalement.

 

Afin d'éviter de gérer plusieurs système, je te conseille uniquement le portail captif. Je vois ça souvent dans les hotels lorsqu'ils mettent des postes à disponibilités des clients.

 

http://fr.wikipedia.org/wiki/Captive_portal

 

De cette manière les personnes sont clairement identifiées.

 

Pour la batte à clous tu peux prendre une pelle aussi. On en a une pour cette catégorie que l'on s'échange suivant les besoin [:cupra]


Message édité par o'gure le 09-06-2010 à 17:03:28

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 09-06-2010 à 17:41:37    

rebonjour :-)

 

Je viens de regarder la distribution kiosk mais elle ne conviendrait pas car elle change l'apparence du navigateur et comme on fait aussi de la formation avec besoin d'accéder à toutes les fonctions du PC (panneau de config, options, internet, installation de logiciels, etc...) il faut que le PC reste le plus ordinaire possible.

 

La doc sur les portails captifs n'est pas évidente à trouver. Mais si j'ai bien compris il me faut aussi un serveur et lorsque les clients viendront se connecter avec leurs portables sous windows XP, vista, 7, MAC, etc... ils seront redirigés sur une page leur demandant leur identifiant et leur mdp, créés par avance à l'accueil. Et ça ne demandera aucune installation ni paramétrage autre sur le PC du client ?

 

C'est une solution qui pourrait me convenir. Est-ce que tu aurais une distribution à me conseiller ? Certains de ces projets semblent à l'abandon...

 

(le wiki de captive portal sur wikipedia est vraiment minuscule ^^)

 
Citation :

Pour la batte à clous tu peux prendre une pelle aussi. On en a une pour cette catégorie que l'on s'échange suivant les besoin

 

LOL

Message cité 1 fois
Message édité par shaenwe le 09-06-2010 à 17:44:59
Reply

Marsh Posté le 09-06-2010 à 17:56:53    

shaenwe a écrit :

La doc sur les portails captifs n'est pas évidente à trouver. Mais si j'ai bien compris il me faut aussi un serveur et lorsque les clients viendront se connecter avec leurs portables sous windows XP, vista, 7, MAC, etc... ils seront redirigés sur une page leur demandant leur identifiant et leur mdp, créés par avance à l'accueil. Et ça ne demandera aucune installation ni paramétrage autre sur le PC du client ?


C'est bien ça le concept :jap:

shaenwe a écrit :

C'est une solution qui pourrait me convenir. Est-ce que tu aurais une distribution à me conseiller ? Certains de ces projets semblent à l'abandon...


Celle avec laquelle tu as l'habitude de travailler.
Personnellement j'aime bien debian car ça fait longtemps que je bosse avec, mandriva n'est pas trop mal non plus

shaenwe a écrit :


(le wiki de captive portal sur wikipedia est vraiment minuscule ^^)


je sais :/


---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed