bloquer l'accès internet sur un poste mais pas au réseau - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 08-01-2008 à 18:21:10
comment tes postes accèdent-ils à Internet (proxy, nat, etc.) ?
Marsh Posté le 08-01-2008 à 18:26:41
Déjà si tu n'as qu'un seul sous réseau tu peux virer la route par défaut
Marsh Posté le 08-01-2008 à 19:01:12
Si t'as un proxy, tu le fait directement sur le serveur proxy (dans squid ou ISA).
Si tu as du NAT (comme je le présume), il faut bloquer l'accès sur le routeur qui vous sert de passerelle.
Marsh Posté le 08-01-2008 à 23:11:29
Oui si on connait pas précisément ton infrastructure on peut pas trop te répondre, le plus courant est en effet de bloquer tous les accès par un firewall et de n'acepter les sorties http qu'en passant par un proxy... (ex squid + squidguard)
Après libre à toi d'instaurer la politique que tu veux sur squid... tu peux même obliger es utilisateurs internet a utiliser un couple login mot de passe
Marsh Posté le 09-01-2008 à 00:13:14
Si ton poste passe par un routeur, il est possible de poser un ACL par exemple empéchant l'accès au port 80 pour le poste.
Marsh Posté le 09-01-2008 à 08:20:56
Pour ce qui est de l'infrastructure, je viens d'arriver dans l'entreprise et je n'ai que très peu (voir pas du tout) d'informations...
Pour ce qui est de la configuration, les postes sont en IP fixes. La connexion se fait sur le serveur et l'adresse par défaut est l'adresse IP du routeur.
Sinon pour faire au plus simple, la solution ne pourrait pas être tout simplement de desinstaller IE ?
Marsh Posté le 09-01-2008 à 09:41:22
c'est un quoi ton routeur??BOX? .... plus de précision stp
Marsh Posté le 09-01-2008 à 10:24:57
C'est un routeur SDSL fourni par le FAI et branché sur le switch
Marsh Posté le 09-01-2008 à 11:58:33
windows xp pro
(pour l'instant, j'ai indiqué une fausse adresse de proxy dans IE, ça fonctionne, mais c'est facilement débloquable)
Marsh Posté le 09-01-2008 à 12:33:16
Tu peux réduire les privilège des comptes utilisateurs...
Marsh Posté le 09-01-2008 à 13:21:19
ben oui c'est ça qu'il faut faire si tu ne maitrises pas trop le reste de l'infra réseau.
Marsh Posté le 09-01-2008 à 20:14:26
Si les gens ne sont pas admin sur leur poste, tu te connectes en admin, tu changes la passerelle par défaut ou les DNS (tu effaces l'existant), et comme ça plus d'accès à Internet.
Marsh Posté le 10-01-2008 à 00:32:43
mouef je trouve pas ca très élégant... sachant que même si tu ne veux pas avoir que tes utilisateurs aient accès à internet, c'est toujours un plus que les OS aient accès aux mise à jour de sécurité et aussi aux mise à jour antivirus... sans passerelle....
Marsh Posté le 10-01-2008 à 10:21:02
Sur un réseau d'entreprise un tant soit peu complet, les postes ne vont pas chercher leurs mises à jour sur Internet mais sur des serveurs internes.
Marsh Posté le 10-01-2008 à 10:49:50
hello ...
solution à l'arrache ..
tu lui installes un firewall en local avec un mot de passe et tu lui bloc, soit par port, soit par application
ou le filtrage de port dans les parametres tcp avancées .... un peu chiant mais ca doit marcher
Marsh Posté le 11-01-2008 à 11:58:22
Plusieurs solutions :
- de base tu peux bloquer la navigation sous IE : verrouillage par mot de passe (options internet -> contenu -> contrôle d'accès)
- si le poste ne doit jamais aller vers l'exterieur ben tu dégages l'adresse de la passerelle (risquera plus d'aller visiter autre chose que ton réseau local)
- si le poste est sous Xp : regarde dans le firewall logiciel de Windows pour fermer le port 80 et 443 (voir bloquer tout court la navigation)*
- certains antivirus ont cette fonction
- après si ton réseau est plus costaud : voir si tu as un proxy pour fermer l'accès, un firwall, etc.
Marsh Posté le 11-01-2008 à 21:01:32
Si il n y a qu un seul sous reseau, le plus simple et basique, c est de le mettre en ip fixe et ne pas mettre de passerelle x)
sinon au niveau du firewall tu bloques ce qui vient de son ip
Marsh Posté le 11-01-2008 à 22:14:12
Bonsoir,
Excusez-moi de m'immiscer dans cette conversation, mais j'aimerais savoir comment bloquer "par intervention au niveau machine exclusivement" l'accès Web tout en préservant l'accès réseau local.
Architecture sur AD2000, mais le poste concerné par l'interdiction est sous Windows 98SE (et son utilisateur est plus bidouilleur que la moyenne !)
Je ne souhaite pas intervenir au niveau Firewall ou AD, pour rester sur une manip "basique" si elle existe...
Merci pour votre aide
Marsh Posté le 11-01-2008 à 22:28:09
Enlevé la passerelle te cantonne en plus a ton sous réseau... dans une entreprise il est rare d'avoir un seul réseau...
C'est bien il a plus le net, mais il a plus acces non plus au reste de son réseau d'entreprise...
Bon si il y a qu'un sous réseau ca peut passer, mais si il n'y a qu'un sous réseau, je dout que se soit une grosse entreprise, donc je doute qu'il fasse des maj par wsus ou autre... donc si pas de serveur de maj et pas de passerelle bah pas de maj du tout
Je reste sur mon idée la plus propre, un vrai proxy...
Marsh Posté le 12-01-2008 à 10:38:26
Ou bloquer son accès depuis IE puisque IE peut le gérer (solution immédiate en attente proxy ) : un ptit proxy squid sous Linux c'est très simple à mettre en place.
Marsh Posté le 12-01-2008 à 12:00:39
Oui c'est assez simple a mettre en place, après si on veut faire ca sérieusement il faut mettre en place du firewalling...
empecher tous les flux http autre que pour l'ip du proxy, ce qui implique l'obligation totale de passer par le proxy pour surfer...
Car même en bloquant IE sur le proxy par une GPO et en enlevant les droits d'admin pour qu'ils n'installent pas un navigateur tiers, il reste toujours la possibilité de passer par un autre OS, live cd ou autre... et pourquoi pas par un pc qui ne vient pas de l'entreprise (PC perso d'un utilisateur ou d'un intervenant extérieur)
Marsh Posté le 14-01-2008 à 08:44:07
Sinon une autre solution un peu "bricolage" tu mets une fausse IP dans son fichier host pour le proxy (si tu en a un et que tu ne souhaites pas tout modifier) et c'est reglé.
Marsh Posté le 19-01-2008 à 12:25:34
bartounet16 a écrit : mouef je trouve pas ca très élégant... sachant que même si tu ne veux pas avoir que tes utilisateurs aient accès à internet, c'est toujours un plus que les OS aient accès aux mise à jour de sécurité et aussi aux mise à jour antivirus... sans passerelle.... |
suffit de modifier le fichier host de la machine pour donner au niveau dns les ips pr les majs os et av. Bon faut pas qu'ils changent souvent les ip mais c facilement faisable.
Marsh Posté le 19-01-2008 à 12:43:30
wonee a écrit : |
Je répondais sur le fait de changer la passerelle...
tu auras beau mettre toutes les correspondances que tu veux dans le fichiers hosts.. si tu n'a pas de passerelle pour sortir de ton sous réseau.... tu n'ira pas bien loin...
Marsh Posté le 19-01-2008 à 13:40:31
bartounet16 a écrit : |
tout a fait. je parlai de mettre que les dns interne. Et mettre seulement pr l'av et l'up de l'os ds le fichiers host.
Marsh Posté le 19-01-2008 à 17:37:05
ReplyMarsh Posté le 20-01-2008 à 11:10:55
ReplyMarsh Posté le 21-01-2008 à 01:54:47
Tu retires le cable réseau ! Là il ira plus sur internet et t'auras pas touché au firewall.
Le plus simple reste un ACL sur l'équipement de sécurité.
Marsh Posté le 14-08-2009 à 15:24:23
Bonjour,
Je me permets de me servir de ce topic.
Dans notre parc, on a deux types de "postes" :
- les postes avec la possib d'aller sur internet
- les autres avec la seule de possibilité d'aller sur deux sites web notamment les pages jaunes.
Je voudrais savoir ou tout cela se gere sur le proxy.
L'un d'entre vous parlais de ISA ou Squib mais sur notre proxy ProxyInspector..je ne vois rien de tout ca.
Pourriez vous m'aider..en l'absence de notre tech reseau en congés
Merci
Marsh Posté le 25-12-2012 à 20:25:35
POUR AVOIR LE RÉSEAU LOCAL QUI FONCTIONNE
SANS INTERNET SUR UNE MACHINE EN LOCAL
Aller dans Panneau de configuration du PC en question
-> Réseau et Internet
-> Centre Réseau et partage
puis
-> Connexion au réseau local
-> Propiétés
-> Protocole Internet version 4 (TCP/IPv4)
-> Propiétés
puis
-> mettre momentanément 127.0.0.1 dans "Utiliser l'addresse de server DNS suivante"
Pour retrouver internet :
-> même manip
-> et remettre : "Obtenir les adresses des serveurs DNS automatiquement"
Voilà
Marsh Posté le 08-01-2008 à 18:03:30
Bonjour à tous !
Je cherche à bloquer l'accès Internet à un poste (terminal atelier), tout en gardant l'accès au réseau de l'entreprise. Quels sont les solutions à mettre en place ?
Le mieux étant que la solution soit réversible.
D'avance merci pour votre aide !
Alex
Message édité par Krapaud le 10-01-2008 à 11:11:08