je cherche une solution linux avec un proxy cache qui me permette d'avoir des temps de réponse très corrects pour une activité en entreprise.
 
Pour l'instant j'opte pour une solution debian mais je ne suis pas figé sur celle-ci (en tout cas je ne veux ni mandrake ni gentoo). Pour le proxy je lis beaucoup de choses à propos de Squid notamment mais je n'ai pas suffisament de routeurs d'utilisateurs sur un réseau qui sans être haute disponibilité doit répondre dans un délai correct.
 
Autre chose je souhaiterais pouvoir permettre la navigation uniquement aux utilisateurs connectés sur le domaine AD 2000 ce qui suppose une validation du login depuis les informations comptable des clients et ce de façon transparente : inutile de préciser que je n'ai pas l'intention de contacter les quelques 250 utilisateurs pour leur demander leur mot de passe pour recréer leurs comptes ailleurs.
 
Voilà donc pour résumer :  
linux + proxy
          |
          \_connecteur LDAP / AD 2000
 

 
merci!

squid a mon avis, mais pour AD il faudra matter un peu plus en profondeur que mes connaissances

Squid également pour moi

En dehors de squid je vois pas...

est-il possible d'envisager une debian + squid + samba
samba pour récuperer les comptes AD et permettre de générer les authentifications automatiquement?

 
Absolument

Et comme je suis de bonne humeur :
 
http://www.hacom.nl/~richard/software/smb_auth.html

ok cool, ça me retire une punaise dans l'oreiller.
 
bon je vais essayer de regarder ça.
 
2 questions pratique :  
- pour un novice en linux, combien de temps prévoir pour installer/configurer complètement la solution avant sa mise en production?
- comment sont gérés les filtres web et comment sont-ils mis à jour?
 
 
Squid permet-il également de faire du filtre de protocole (suppression du P2P par ex)?

airbat & jar jar ->

Difficile de dire combien de temps ca va te prendre. Autant l'installation va etre vite faite, merci debian, autant apres...
 
Faut gérer le souci de l'auth, les ACL etc...
J'aurais bien du mal à estimer ca, meme pour moi.
 
Si tu veux filtrer le web, regarde du coté de squidGuard, ca sera peut etre plus adapté (c'est un module qui s'ajoute).

il faut installer squidguard
 
 
utiliser l'auth smb_auth dans squid
 
pour l'install: 5 min sous debian,  
 
pour la config... bah c'est pas si compliqué...
allez zou: http://christian.caleca.free.fr/sq [...] dguard.htm

 
oui je veux le filtrage de contenu et le filtrage de port.
 
Contenu avec une définition de catégories et des exceptions et des mises à jour de la base de données
Port avec la définition de protocoles d'accès uniques sur le port 80 par ex.
 
Et comment ça marche squid avec les streaming realplayer par ex?

 
merci.
 
en fait il n'existe pas de base de données pré-conçue tel qu'il en existe dans websense ou dans surfcontrol par exemple?

Bin le streaming utilise d'autres ports, donc tu les ouvres ou tu les fermes, mais je doutes qu'on puisse les gérer avec le proxy.

 
si, pour le porno c'est sur. Apres ca depend ce que tu veux filtrer.

 
avec mon précédent système : checkpoint  + isa/surfcontrol c'était impossible d'avoir le streaming sans bypasser le proxy
c'est pour ça que je me pose la question.

 
porno, webmail, gambling, violence, ...

Comme je ne sais pas ce que sont checkpoint, isa et surfcontrol, je vais sûrement tomber à côté, mais tu es sûr que ce système ne se contente pas de forwarder les ports correspondant au streaming ?

checkpoint = firewall
isa = proxy Microsoft
surfcontrol = surcouche de filtrage web + catégories pour ISA
 
le proxy devait pourtant laisser passer mais ça n'a jamais marché.

 
outil de MAJ : http://rath.ca/Linux/refreshSG/index.shtml
les blacklists : http://www.squidguard.org/blacklist/

arf je découvre refreshSG
 
Tant pis, mon script bash + cron doit faire aussi bien

Installe aussi Webmin pour paramétrer et administrer le proxy depuis un navigateur et un poste quelconque.
A+

 

 
webmin ça pue. SSH est largement suffisant.

Pourtant, les outils de base en ligne de commande sont les mêmes.
 
Et puis une Mandrake configurée avec squid + shorewall, ça prend vraiment pas longtemps à installer (y compris en permettant le streaming realvideo etc.).

yes!
 
merci!!

 
houla je n'ai que des mauvais retour de webmin

 
mandrake 7 était bien, depuis je trouve ça hyper merdique. Très pratique pour de la  bureautique mais si tu as kde 3.1 et que tu fais les mises à jour de sécurité ça plante kde

webmin par ssl en limitant à certaines ip la maitenance, c'est toujours un outil de plus.
 
Personnellement, je le trouve plutôt pas mal.

c'est possible de limiter les accès?

 
Oui oui

ah ok, j'croyais qu'il était accessible à tous.
Bon bah j'vais regarder ça, si j'peux mettre un linux ça serait cool

En général les logiciels libres sont plutôt pas mal conçus, leurs concepteurs ayant déterminé à l'avance nombre de nos besoins et travaillé souvent gracieusement pour y répondre. Il peut s'avérer que certaines fonctionnalités viennent à manquer, mais rien n'empêche de mettre alors la main à la pâte.
 
Bonne continuation sous GNU/Linux

je ne suis pas developpeur so
 
par contre linux / gnu etc... je connais, j'ai ma débian depuis belle lurette et j'étais sous mandrake 6 il y a qq années mais je connais comme utilisateur c'est tout
 

 
j'ai une 5.3 dans un coin

 
checKpoint travaille maintenant en couche 7 aussi ... (filtrage smtp et etc etc ..) ...... c plus qu'un firewall maintenant comme bcp de matos d'ailleurs (style switch ou routeur qui bossent now dans les couches 4 etc )
 
ISA = internet acceleration server (il combine MS proxy et LE firewall MS ) c donc un pure equivalent de squid+squidguard avec l'interoperabilité total avec l'AD.
 
 
a mon ancienne boite on avait squid+squidguard (pour isa j'ai eu le cours cad 7 jours + le mcp associé ... c une usine a gaz : les debut serieux de MS en secu quoi )
 
je pense que suid peut taper dans l'ad sans pb pour ce que tu veux faire, avec notre webmail on ouvrait les boite aux lettre exchange 2000 (donc en ad le coco) donc ca doit forcément marcher , et sans samba !!
 
Par contre je ne saurais que trop te conseiller de mettre du radius en place !!
 
car tu interrogeras directement ton ad depuis le proxy et ca c pas secure du tout, si tu peux eviter donc ...

 
TIPS important :
 
veilles bien, sur ton serveur proxy, à dimensionner avantageusement ton /var ( endroit ou se place les log par defaut) car un proxy sa trace bcp de chose et donc les log se charge tres vite.
 
Pour les blacklists tu as des sites trés bien fait et l'integration a squidguard est tres aisé

 
une licence radius c'est quand même sérieusement cher
 
mais de toute façon coté sécurité si je prends du linux je pourrais prendre le risque de mettre un reverse proxy en tête de réseau et des firewall iptables à droite et à gauche
     

 

 
en fait pour les logs je ferais un dump régulier (je pense m'enregistrer à la CNIL avec un historique mensuel) donc ça devrait aller, à moins qu'il ne gonfle vraiment trop

tiens une question me turlupine !
 
si on regarde les sites visites de nos employes si ils sont prevenus dans la charte info? faut il quand meme le declare a la CNIL ?
 
sinon pour le streaming et bien j arrive pas les stream real qui tape sur des serveurs rstp:// mais pour tout le reste c est good !