Debutant : interdire l'accès a des sites depuis un server 2000

Debutant : interdire l'accès a des sites depuis un server 2000 - Windows & Software

Marsh Posté le 07-01-2004 à 11:27:36    

Salut, j'ai un domaine avec un AD et plein de users sur un serveur 2000.
 
je voudrais savoir comment faire pour administrer depuis le serveur l'accès aux sites internets et en interdire l'accès a certains.
 
merci

Reply

Marsh Posté le 07-01-2004 à 11:27:36   

Reply

Marsh Posté le 07-01-2004 à 11:28:43    

il te faudra un proxy pour ça
 

Reply

Marsh Posté le 07-01-2004 à 11:32:22    

krapaud a écrit :

il te faudra un proxy pour ça
 
 


 
non non sans parler d'un proxy, jvais deja vu sur un serveur 2000 qu'on pouvait interdire plein de petites choses sur les stations clientes , du style "interdire lacces au panneau de config" et plein de petit trucs comme ca.
 
mais je sais plus comment y aller :)

Reply

Marsh Posté le 07-01-2004 à 11:46:09    

de là à interdire l'accès à certains site c'est autre chose.

Reply

Marsh Posté le 07-01-2004 à 11:53:47    

alucard17 a écrit :

Salut, j'ai un domaine avec un AD et plein de users sur un serveur 2000.
 
je voudrais savoir comment faire pour administrer depuis le serveur l'accès aux sites internets et en interdire l'accès a certains.
 
merci


 
Ton serveur sous 2000 fait office de passerelle pour internet ?
 
si non, quel matériel te sert de passerelle à l'heure actuelle ?

Reply

Marsh Posté le 07-01-2004 à 11:57:21    

non il ne fait pas passerelle

Reply

Marsh Posté le 07-01-2004 à 11:59:37    

Et ?
 
quel matériel fait passerelle ?
 
Car tu peux imaginer installer un ordi dédié à cette tache sous linux

Reply

Marsh Posté le 07-01-2004 à 12:02:13    

shongail a écrit :

Et ?
 
quel matériel fait passerelle ?
 
Car tu peux imaginer installer un ordi dédié à cette tache sous linux


 
oulala oulala , moi je veux juste savoir comment on fait pour aller paramerer ce genre de choses sur un serveur WINDOWS :) 2000

Reply

Marsh Posté le 07-01-2004 à 12:06:43    

oui mais on peut pas !
 
avec ton AD, tu peux paramétrer des GPO pour établir des restrictions au niveau de tes postes clients sous windows 2k/xp (pas de panneau de config, pas de clic droit, gnagnagna, ...) mais rien en rapport avec l'accès aux sites à partir d'un navigateur.
 
Si tu veux filtrer internet, il te faut agir au niveau du matériel qui est directement connecté à internet et qui le redistribue à ton réseau local. Ta passerelle quoi.

Reply

Marsh Posté le 07-01-2004 à 12:08:50    

shongail a écrit :

oui mais on peut pas !
 
avec ton AD, tu peux paramétrer des GPO pour établir des restrictions au niveau de tes postes clients sous windows 2k/xp (pas de panneau de config, pas de clic droit, gnagnagna, ...) mais rien en rapport avec l'accès aux sites à partir d'un navigateur.
 
Si tu veux filtrer internet, il te faut agir au niveau du matériel qui est directement connecté à internet et qui le redistribue à ton réseau local. Ta passerelle quoi.


 
Ah ok je comprends mieux.
 
alors deja je voudrais savoir comment interdire les panneau de config et clic droit...
 
Deuxieme chose , je suis pas expert mais la passerelle est notre routeur je suppose, donc fodrait configurer le routeur ?

Reply

Marsh Posté le 07-01-2004 à 12:08:50   

Reply

Marsh Posté le 07-01-2004 à 12:11:28    

le serveur 2000 fait dns, on peux pas configurer

Reply

Marsh Posté le 07-01-2004 à 12:11:39    

alucard17 a écrit :

le serveur 2000 fait dns, on peux pas configurer  


 
a ce niveau la ?

Reply

Marsh Posté le 07-01-2004 à 17:49:39    

alucard17 a écrit :

le serveur 2000 fait dns, on peux pas configurer  


 
non. Tes postes font leurs requetes DNS surement directement auprès des serveurs DNS de ton FAI.
 
Au niveau de ton routeur, certains permettent de spécifier des sites interdits. Peut-être voir à ce niveau là.
 
Mais la meilleure solution reste une vieille machine (style PII, PIII@...) que tu montes en routeur/firewall/proxy à l'aide de distribution spécialisés sous linux (très peu de connaissances à avoir, quasi tout automatique)
 
Pour tes restrictions, tu dois définir des GPO au niveau de tes OU sous AD.
A ce niveau là, je peux t'aider si tu veux par ICQ, mail ou autre (pour dire de ne pas transformer le forum en discussion à 2)
Tu peux aussi trouver des sujets au niveau des GPO ou des pages web dessus.
C'est pour quels types d'utilisateurs ? Dans quel cadre ?

Reply

Marsh Posté le 07-01-2004 à 22:11:03    

shongail, tu fais erreur à propos du DNS, les clients interrogent le serveur DNS de l'AD qui utilise ses redirecteurs pour chercher les adresses qu'il ne peut résoudre lui-même.
 
Par ailleurs faire d'un proxy un routeur et un firewall c'est un peu l'inverse de ce qu'il faut faire, routeur/firewall j'veux bien, mais pas le proxy sur la même machine ;)

Reply

Marsh Posté le 07-01-2004 à 23:45:42    

C'est vrai pour le DNS, mille excuses. C'est vrai que je crains un peu niveau DNS :D
 
A partir de là, peut-on imaginer faire pointer dans le serveur DNS le nom de domaine d'un site qu'on voudrait filtrer vers une ip bidon ?
 
Sinon, pour les distrib spécialisées sous linux, elles font bien routage/firewall ET proxy et cela ne semble pas déranger. C'est vrai que dans l'absolu, il vaut mieux séparer mais là est-ce bien nécessaire ?

Reply

Marsh Posté le 08-01-2004 à 00:22:20    

quand tu parles de proxy, un simple soft style winproxy suffit il ???
 
sinon à propos des serveurs DNS locaux, Krapaux a effectivement raison. Bien entendu si on spécifier a ses clients que l'on resout nos ip sur notre DNS local.  
 
Je me souviens plus trop, mais si tu veux interdire l'acces au net dans la zone de recherche tu mets "." dans ton DNS local. De cette facon le serveur local ne cherchera pas à demander vers l'exterieur la resolution ip-DNS.  "." designe le serveur "le plus haut possible"... (enfin bon il se fait tard et j'ai du mal à tourner ma phrase, j'espere que je me suis fait comprendre).
 
Enfin bon cela repond pas a la question, mais je ne pense que l'on puisse filtrer a partir de nom dns.

Reply

Marsh Posté le 08-01-2004 à 00:24:55    

shongail a écrit :


Sinon, pour les distrib spécialisées sous linux, elles font bien routage/firewall ET proxy et cela ne semble pas déranger. C'est vrai que dans l'absolu, il vaut mieux séparer mais là est-ce bien nécessaire ?


tu veux lui faire installer un firewall/routeur alors qu'il l'a déja en hardware.  
Une distrib en mettant seulement le proxy, oki !!!!!!!!

Reply

Marsh Posté le 08-01-2004 à 07:27:06    

weed a écrit :


tu veux lui faire installer un firewall/routeur alors qu'il l'a déja en hardware.  
Une distrib en mettant seulement le proxy, oki !!!!!!!!


 
on peut très bien imaginer après le routeur hard les serveurs  et la bécanne sous linux. Les postes de travail viendraient derrière le routeur/firewall/proxy monté sous linux. Comme ça tout est utilisé.

Reply

Marsh Posté le 08-01-2004 à 07:52:25    

weed a écrit :


Je me souviens plus trop, mais si tu veux interdire l'acces au net dans la zone de recherche tu mets "." dans ton DNS local. De cette facon le serveur local ne cherchera pas à demander vers l'exterieur la resolution ip-DNS.  "." designe le serveur "le plus haut possible"... (enfin bon il se fait tard et j'ai du mal à tourner ma phrase, j'espere que je me suis fait comprendre).


 
Définir au niveau du DNS une zone ".", c'est a dire le faire fonctionner en root server c'est un peu bourrin comme méthode. En effet dans ce mode le DNS ne pourra plus utiliser le moindre redirecteur ce qui signifie qu'il faut que l'administrateur se coltine la maintenance des mappings noms dns <-> IP pour tous les sites autorisés.
 
La meilleure solution pour limiter le surf reste le proxy ou les options de filtrages d'url disponibles sur certains routeurs / firewall.

Reply

Marsh Posté le 08-01-2004 à 08:15:56    

shongail a écrit :

C'est vrai pour le DNS, mille excuses. C'est vrai que je crains un peu niveau DNS :D
 
A partir de là, peut-on imaginer faire pointer dans le serveur DNS le nom de domaine d'un site qu'on voudrait filtrer vers une ip bidon ?
 
Sinon, pour les distrib spécialisées sous linux, elles font bien routage/firewall ET proxy et cela ne semble pas déranger. C'est vrai que dans l'absolu, il vaut mieux séparer mais là est-ce bien nécessaire ?


 
bah là tu ne te sers pas des fonctionnalités de routage et de firewall dans tous les cas ;) juste de squid par ex.
 
Par contre je pense que c'est possible en effet de remplacer des noms de domaine dans le DNS en les faisant pointer vers des adresses bidons mais tout le monde sera limité.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed