PhenIXUS

[molter85]

Bonjour,

Je dois réaliser une machine qui a pour objectif de filtrer et de loguer tous les accès à internet, la contrainte c'est pas de proxy et aucune configuration à faire sur les clients, ma machine devra être derrière le routeur et faire office de firewall à la place du routeur. IPCop est une solution ou pas, si oui, avez-vous des pistes...

Merci d'avance

[BobFlyer]

Salut,

je pense en effet qu'IPCop fera l'affaire, en effet tu peut journalisé les règles du pare feu.

Il n'est donc pas obligatoire d'avoir un proxy qui journalise puisque le pare feu le fait.

essaye donc avec virtualbox, 1 IPCop virtuel et une machine cliente. Tu verras réellement si ça répond à tes besoins.

[molter85]

Le pare feu journalise les règles et non pas les urls ?! De plus je veux faire du filtrage d'url, je ne vois pas comment le faire directement avec le pare feu.

[BobFlyer]

En effet le pare feu journalise seulement les règles.

Tu dépasse surement mon domaine de compétence, mais il me semble que le serveur mandataire est obligatoire pour faire ce que tu veux faire.

@+

[ShelbyGT500]

Bonjour,

Je dois réaliser une machine qui a pour objectif de filtrer et de loguer tous les accès à internet,

Pour les accès, voir journaux> journaux du serveur mandataire

Si vous utilisez :
- IPCOP 1.4.21: essayez l'addon URL filter (mais cette version n'est plus mise à jour)

- IPCOP 2.0.6 :
le filtrage d'URL existe mais n'est pas fonctionnel. vous trouverez sur ce forum ou d'autres le mode d'emploi pour l'activer.
Sinon, vous pouvez utiliser Copfilter 2.091beta3 (version stable) , qui possède une fonction de filtrage d'URL .
la prochaine version 2.1.1 devrait apportr cette fonctionnalité.


Cordialement.

[molter85]

Je ne dois pas utiliser de proxy.

[jdh]

Et, sans proxy, comment traiter une URL ? (C'est le titre du fil, non ?)
Je ne vois pas de solution ...

La bonne réponse (à cette demande de manager qui n'y connait pas grand chose), c'est
- contrôle accès sortant : table définie des flux sortants autorisés (=pas de sortie par défaut à TOUT),
- contrôle de la navigation : mise en place d'un proxy qui logue tout, et qui, en option, peut éliminer certains sites inutiles (blacklists type adult, ...)

[molter85]

Ok, donc avec IPCop je peux faire un proxy transparent, avec filtrage (blacklist/whitelist) et que dans les logs il y est l'utilisateur Windows qui apparaisse ?
Un serveur OpenVPN intégré serait un plus.

[molter85]

Up

[jdh]

Il y a une suite (très) logique :
- Un firewall s'occupe de règles de filtrage IP (tcp ou udp ou autres) (niveau transport),
- les URL sont au niveau applicatif,
- un proxy (http) sait gérer les url.

Donc, nécessairement et obligatoirement, il faut un proxy (http).
Et ce n'est pas le boulot du firewall de faire proxy (à partir d'une certaine taille, disons 15 utilisateurs).

Pour utiliser un proxy, soit on le configure, soit la case "détection auto" est coché ou non.
La case "détection auto" DOIT être cochée, car cela permet de bénéficier d'une possibilité de découverte automatique du proxy à utiliser.

Les "naifs" (=ceux qui n'ont pas vraiment réfléchi) pensent que la méthode du "proxy transparent" n'a que des avantages.
Elle semble avoir l'avantage de la non configuration des postes MAIS elle a pas mal de défauts : ne fonctionne que pour http et sans authentification.

La bonne méthode est la case "détection auto" cochée plus la technique WPAD.
Je ne suis pas sur que cela ne soit pas incompatible avec l'authentification ...


Bref, les demandes sans travail de réflexion, à la "il va bien y avoir quelqu'un pour faire mon boulot à ma place", cela suffit pour moi !
Pour votre question, c'est à mon avis, proxy obligatoire, case "détection auto" cochée et wpad !
On est loin des contraintes irréalistes !