Bonjour,
 
Voici le shéma de ma société.
 
Site 1                         Site 2                         Site 3                          Site 4
Routeur Oléane            Routeur Oléane             Routeur Oléane              Routeur Oléane
Switch 10/100/            Switch 10/100/             Switch 10/100/              Switch 10/100/
PC en WinXP, 2000, NT PC en WinXP, 2000, NT   PC en WinXP, 2000, NT   PC en WinXP, 2000, NT
 
Sur le site 1 j'ai en plus un serveur 2003 ou certaines machines se connectent.
 
Aujourd'hui pour autoriser Internet au personnel, je renseigne les DNS dans la connexion réseau et le personnel surf.
 
Le truc c'est que je voudrai interdir pour certains user tout ce qui est http://www.............. mais leur laisser tout de même un axx à internet pour la reception de mail.
 
Quels solutions puis-je avoir?
 
Merci

Un pc avec IPCop entre le routeur et le reseau

Donc le Routeur branché sur un PC qui a 2 carte ethernet et ce PC sur le switch?

si chaque site a un acces au net, il te faut un proxy par site.
 
le plus simple, (et le plus chere) 4 ISA en Array comme ca, une modification sur l un sera repliqué´sur tous.
 
un peut moins simple (mais gratos) 4 Squid avec un mecanisme de syncho des fichiers de configuration

Exacte
 
Et tu pourras meme relier tes site entre eux avec du VPN
 

Les sites sont déjà relié en VPN via Oléane

 
en fait ce qu il faudrait savoir c est comment ils accedent a Internet, est ce que toute leur connexion arrivent toutes sur un site et son redispatché ?
 
ou chaque site accede simplement a internet avec un petit trou fait dans le VPN ?

Chaque site accède à Internet de son côté.
 
Le lien VPN est fait par Oléane.

et ba alors un proxy sur chaque site ....
 
Hardware * 4
et si c est ISA enterprise : 3000€ * 4

Tu recuperes les mails en pop/imap ou via le webmail ?
 
Les solutions qui te sont préconisés au dessus sont bonnes mais lourdes et couteuses.  
Tu as sinon une autre alternative : tu renseignes dans le fichier hosts des machines à brider la correspondance ip/nom dns du serveur de mail etou des sites que tu veux autoriser, et tu ne configures aucun dns sur la carte reseau. Les postes ainsi configurés pourront aller chercher leurs mails mais ne pourront résoudre aucun autre nom dns et donc aucun site web (sauf s'ils connaissent les ips des sites).
 
Je connais pas ton environnement (si t'es en domaine, les dns sont indispensables) ni tes impératifs mais il me semble que ca correspond a ta demande

ctte solution est surtout lourde .... a chaque URL que tu veux ouvrir, il faut modifier l HOSTS du tout ls PC ....
 
preferer un squid dans chaque agence a ce moment la

 
 
apparemment il veut interdire tout le web

Ta solution n'en reste pas moins lourde, et facilement contournable pour peu que les users ait un minimum de droits sur les machines !
 
Pis, il parle de site, si ça se trouve, y'a 50 postes par site ! AMHA la meilleure solution reste de mettre un proxy par site. D'un point de vue Matériel, ça peut être peu cher. Après, on peut se demander quel solution logicielle utiliser !

 
Bonjour,
 
Je suis bien en pop / imap.
 
Ta solution m'interesse.
 
Le bridage d'internet ne concerne pas des millions d'ordinateurs.
Je souhaite bloquer l'axx à tout sauf au mail et au adresse http://192.168.5.4
 
Merci

up

Moi, ce qui me gene c est :
 
 

 
 
Ca veux dir que tu a 2 genre d utilisateurs ?
Groups 1 : +WWW +pop +imap
Groupe 2 : -WWW +pop +imap
 
 
Une autre solution, c est de ne mettre qu un seul proxy et tout le monde a accès restreint au travers ce proxy.  
mais ca va demander de la bande passante sur le site qui a l unique proxy
 
sinon, ça me parait dur de faire quelque chose de perin, la solution a bloquer le firewall reste le dernier recours, mais il va faloir un bon routeur qui accepte plein de regles

Le routeur est intouchable. COnfiguré par Oléane et aucun login en notre possession.
EN effet, j'ai 2 groupes d'User.

En gros, toute personne qui arrive a se connecter a switch arrive jusqu au routeur. et une fois sur le routeur (auquel vous n avez pas d acces) l utilisateur peut faire ce qu il veux ?
 
c est pas gagne votre histoire.
 
le seul moyen que je vois c est d intercaller un Firewall perso entre le routeur et le switch. a nouveau, ca peut etre un Squiod ou un ISA. mais un Firewall Hardware va couter la peau du cul si vous voulez gerer differnt typed acces en fonction du user.

le solution du hosts modifiable est facilement mis en oeuvre
 
tu met un script de connexion qui recopie le fichier hosts que tu trouve sur un partage dans le bon endroit sur le pc et ca doit faire l'affaire

 
Je vois pas bien comment tu imagine ca ...
 
comment tu bloque tout l internet a un groupe d utilisateur ou comment tu donne acces a tout l internet a un autre groupe ?

 
 
Ca depend si on parle d'utilisateur ou de poste. Si un ordinateur est affecté a un utilisateur, la solution du host est toute simple, via un script de copie ca prends 10 sec a mettre en place.  
Si plusieurs users sont sur un meme ordi et qu'ils n'ont pas les memes droits, la seule solution est le proxy avec authentification. Mais je doute que ca soit le cas ici.

Chaque utilisateur a 1 machine.
 
Je veux bloqué le net pour 2 - 3 machine.
 
Un exemple de script?

 
 
Je vois toujours pas comment tu veux donner ou pas des droits a des utilisateur uniquement avec avec le fichier Hosts

 
 
Relis ce que j'ai écrit, c'est pas une affectation de droit a un utilisateur mais a un poste (dans le cas ou un poste n'est accessible que par un utilisateur unique).
 
 
Pour le script, ce genre de trucs suffit (pense a créer un fichier machines.txt au meme endroit que ton script dans lequel tu inscrit les ip des machines a mettre a jour) :
 

certe, mais ... je vois pas en quoi un hosts peut empecher ou pas une machine a aller sur le Net.

 
 
Puisque d'apres son 1er post il configure les DNS de son FAI dans les cartes reseaux des clients, il n'a pas de domaine et donc il peut se passer de DNS.    
 

faut quand meme avoir affaire a des utilisateur assé debutant pour pas aller modifier leur parametre reseau ...

Ce sont des users débutant et qui n'ont pas les droits admin.

N'empêche, perso, je ne trouve pas que ce soit une bonne solution.

 
 
+1

ET QUE DOIS JE MARQUER DANS LE HOST?
 
Merci

ba deja, tu t est assuré qu ils avaient pas de resolution DNS ?
 
une fois que c est fait, dans le Host tu rajoute les IP et le nom DNS des serveurs de mail (pop et imap)