Salut,
 
Je souhaiterais savoir s'il y a une solution simple pour bloquer l'accès internet aux personnes ne faisant pas partie de mon domaine.  
 
En ce moment, si une personne se connecte en filaire sur une prise brassée, le dhcp lui fourni une adresse, avec la passerelle qui va bien pour aller directement sur internet.  
 
Pour les postes de mon domaine, c'est la même chose sauf qu'un proxy est configuré sur leurs navigateurs.
 
Comment cela ce passe chez vous ?
 
merci
 
 

Salut,
Il vient avec son propre matériel ? Il a le droit d'accéder au ressources réseau mais pas d'aller sur Internet

En fait, je préfererais qu'ils n'aient accès à rien. et qu'ils nous contacte si besoin..
 

Bloquer l'attribution d'un adresse IP via le DHCP en banissant son adresse MAC n'est pas envisageable ?
Sinon, y a moyen de jouer avec le firewall suivant le produit que vous utilisez.

Dans ta solution il faut connaitre l'adresse MAC par avance pas évident.  
 
La solution que je vois c'est du 802.1X, si une personne se connecte sur ton réseau ils vont devoir s'identifier pour obtenir une adresse IP. Le seule soucis, il faut que tes switchs le proposent déjà

Le dhcp distribue automatiquement la config proxy, ou bien est ce une GPO ? (ou les 2?)
 
Si tu ne laisse qu'une GPO pour définir les accès au proxy, un extérieur qui se branche devra connaitre l'adresse du proxy pour se connecter. C'est pas parfait mais c'est un début.
Pour vraiment filtrer, tu peux rajouter une authentification login/password sur ton proxy.
 
..et bloquer les accès de tous les postes sauf le proxy vers internet dans ton firewall. (obviously )

 
humm oui idée très intéressante surtout la dernière, je n'y avais pas pensé.  

 
+1 mais en version whitelist
 
N’importe quel serveur DHCP même les plus simple sont capable de ne pas donner un adresse ip a un poste dont la mac ne fais pas partie d'une liste
du coup ton boulot c'est de lister tout les mac des periph qui font réellement partie de ton domaine et de les coller la ou il faut
et tu laisse le dhcp faire le tri
 
Nota : on fait ça chez nous.
 
 
Plus dinfo :
https://technet.microsoft.com/fr-fr [...] s.11).aspx
 
Autre gestion plus poussé :
Via NAC (Network Access Control). (logiciel sur les poste client du domaine)
Via Vlan filtrant par mac un vlan d'acceuil pour les inconnu (hotspot ), un vlan domaine pour les mac connu.

Si sur le DHCP, tu met une passerelle à la noix mais que tes collègues gardent la configuration du proxy, c'est grave ?

autorise juste le proxy à se connecter à internet, pas les PC et du coup force l'utilisation du proxy sur les postes et utilise un proxy qui fait de l'authentification

 
Oui je pense me diriger vers cette solution ..
 
 
Je vais quand même vérifier s'il n'y a rien qui accède au net sans proxy.