Conversation
precedente ou
suivante
Une passerelle (partiel), où et comment ?
Envoyé par:
Pyngu
Bonjour à tous.
Après avoir installé Mandrake et ne rien avoir compris, certainement à cause du mode graphique trop "windowsiser" pour être complètement intuitif, je me suis lancer sur une Débian que j'ai bousiller deux fois pour mieux comprendre ce qu'on peut et ne peut pas faire :-/.
Tout ça pour dire que je suis nouveau, autodidacte prêt à passer des nuits blanches et pas (trop) préssé.
Ma question est simple :
Cela concerne un petit réseau d'entreprise avec 17 PCs station de travail, 1 serveur de domaine/fichiers et 1 serveur Terminal Serveur pour 5 personnes qui se connectent de l'extérieur.
Tout les postes on un accès au net, on a une IP externe fixe (pour les TSE) mais certains en abusent.
Schéma du réseau
Ce que je veux faire (on me l'a demandé et une augementation à la clé ;-) ) c'est monter une passerelle sur le réseau pour les 5/6 postes à "sureveiller" mais que cela soit complètement transparent.
Ma première idée (qui semble si évidente) c'est de mettre mon serveur linux avec l'IP 192.168.254.101 et de changer la passerelle pour les postes à sureveiller par cette IP.
Est-ce que cette simple modification permet de contrôler le flux internet des postes modifiés?
Si par la suite je veux ajouter les fonctions de serveur Web et Mail pour ce serveur linux ça ne pose pas de problème?
Voilà même si je commence à comprendre linux, j'ai encore beaucoup de chemin à faire, et j'espère que je peut compter sur vous pour me tenir la main le temps de savoir marcher correctement.
Après avoir installé Mandrake et ne rien avoir compris, certainement à cause du mode graphique trop "windowsiser" pour être complètement intuitif, je me suis lancer sur une Débian que j'ai bousiller deux fois pour mieux comprendre ce qu'on peut et ne peut pas faire :-/.
Tout ça pour dire que je suis nouveau, autodidacte prêt à passer des nuits blanches et pas (trop) préssé.
Ma question est simple :
Cela concerne un petit réseau d'entreprise avec 17 PCs station de travail, 1 serveur de domaine/fichiers et 1 serveur Terminal Serveur pour 5 personnes qui se connectent de l'extérieur.
Tout les postes on un accès au net, on a une IP externe fixe (pour les TSE) mais certains en abusent.
Schéma du réseau
Ce que je veux faire (on me l'a demandé et une augementation à la clé ;-) ) c'est monter une passerelle sur le réseau pour les 5/6 postes à "sureveiller" mais que cela soit complètement transparent.
Ma première idée (qui semble si évidente) c'est de mettre mon serveur linux avec l'IP 192.168.254.101 et de changer la passerelle pour les postes à sureveiller par cette IP.
Est-ce que cette simple modification permet de contrôler le flux internet des postes modifiés?
Si par la suite je veux ajouter les fonctions de serveur Web et Mail pour ce serveur linux ça ne pose pas de problème?
Voilà même si je commence à comprendre linux, j'ai encore beaucoup de chemin à faire, et j'espère que je peut compter sur vous pour me tenir la main le temps de savoir marcher correctement.
Poste le Thursday 6 October 2005 13:54:53
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
chromosome
Bon, tu as plusieurs problemes :
-Effectivement tu peux mettre un proxy SQUID en transparent mode, ca c'est pas un probleme et tu peux trouver pleins d'exemples sur Internet (par exemple : [www.fido-fr.net])
-Mais par contre maintenant y mettre un serveur web, ca devient complique (car le port 80 est deja re-route vers squid), mais pas insurmontable, tu peux toujours vers un redirect dans ton squid vers un autre port local, mais c'est un peu le bordel question config.
Maintenant comment controler les autres traffics que le port 80 ? Exemple le 443,25,21,110,23,22, ... (https, smtp, ftp, pop3, telnet, ssh, ...) ? Comptes-tu y mettre un firewall ? Si c'est le cas commetn comptes-tu faire pour que la personne ne le voit pas ?
-Effectivement tu peux mettre un proxy SQUID en transparent mode, ca c'est pas un probleme et tu peux trouver pleins d'exemples sur Internet (par exemple : [www.fido-fr.net])
-Mais par contre maintenant y mettre un serveur web, ca devient complique (car le port 80 est deja re-route vers squid), mais pas insurmontable, tu peux toujours vers un redirect dans ton squid vers un autre port local, mais c'est un peu le bordel question config.
Maintenant comment controler les autres traffics que le port 80 ? Exemple le 443,25,21,110,23,22, ... (https, smtp, ftp, pop3, telnet, ssh, ...) ? Comptes-tu y mettre un firewall ? Si c'est le cas commetn comptes-tu faire pour que la personne ne le voit pas ?
Poste le Thursday 6 October 2005 14:11:42
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
Pyngu
Non, ce n'est pas utile.Citation
chromosome
Comptes-tu y mettre un firewall ?
Et il n'est pas indispensable que les personnes ne sachent rien, je peut très bien aller modifier la configuration sur leurs postes. Mais par contre il ne faut pas que ça leur posent de problème pour le travail sur le réseau déjà existant.
Poste le Thursday 6 October 2005 14:16:11
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
chromosome
Tu vas donc avoir des problemes de routage.
Bon si tu mets la machine Linux comme default gateway, alors tous le traffic de ces machines allant vers un autre subnet passera par cette machine, du moins la premiere fois, car ton router se trouve dans le meme range que les PC, donc les PC recevrons le redirect (icmp) et ils mettrons automatiquement une route en 255.255.255.255 vers ce host via le router (et donc ils ne passeront plus par le proxy)
Tu as donc 3 choix :
-Faire passer TOUT le traffic web via le proxy (sans distinction de PC)
-Faire un autre subnet pour ces pc mais alors ils doivent aussi passer par le gateway pour atteindre les autres machines
-Forcer les settings du proxy dans leur browser, et leur interdir de les changer.(tu peux controler ca en mettant en plus un firewall)
Personnellement je crois que la solution 3 est la meilleur et la plus simple.
Bon si tu mets la machine Linux comme default gateway, alors tous le traffic de ces machines allant vers un autre subnet passera par cette machine, du moins la premiere fois, car ton router se trouve dans le meme range que les PC, donc les PC recevrons le redirect (icmp) et ils mettrons automatiquement une route en 255.255.255.255 vers ce host via le router (et donc ils ne passeront plus par le proxy)
Tu as donc 3 choix :
-Faire passer TOUT le traffic web via le proxy (sans distinction de PC)
-Faire un autre subnet pour ces pc mais alors ils doivent aussi passer par le gateway pour atteindre les autres machines
-Forcer les settings du proxy dans leur browser, et leur interdir de les changer.(tu peux controler ca en mettant en plus un firewall)
Personnellement je crois que la solution 3 est la meilleur et la plus simple.
Poste le Thursday 6 October 2005 14:23:42
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
lolotux
Salut,
Mon idée à moi est simple...?
Intercaler entre le terminal serveur 192.168.254.199 et le HUB, une machine avec IPTABLES et faire un comptage simple des connexion... 192.168.254.200
Cette machine étant routeur elle verrait tout le trafic... entre le terminal serveur et ceux qui si connectent...
# Bande passante
iptables -I INPUT -i eth1 -j LOG --log-prefix BANDWIDTH_1_IN: --log-level debug
iptables -I FORWARD -i eth1 -j LOG --log-prefix BANDWIDTH_1_IN: --log-level debug
iptables -I FORWARD -o eth1 -j LOG --log-prefix BANDWIDTH_1_OUT: --log-level debug
iptables -I OUTPUT -o eth1 -j LOG --log-prefix BANDWIDTH_1_OUT: --log-level debug
# Bande passante
iptables -I INPUT -i eth0 -j LOG --log-prefix BANDWIDTH_0_IN: --log-level debug
iptables -I FORWARD -i eth0 -j LOG --log-prefix BANDWIDTH_0_IN: --log-level debug
iptables -I FORWARD -o eth0 -j LOG --log-prefix BANDWIDTH_0_OUT: --log-level debug
iptables -I OUTPUT -o eth0 -j LOG --log-prefix BANDWIDTH_0_OUT: --log-level debug
Tu installe Webmin et avec le module de bande passante tu peux faire une analyse par hôte, port, IP... etc
Ici aucune config de squid (pas de temps perdu), iptables en ACCEPT ALL mais en comptage !
Et comme ce terminal serveur est accèdé pour sa fonction...
Mon idée à moi est simple...?
Intercaler entre le terminal serveur 192.168.254.199 et le HUB, une machine avec IPTABLES et faire un comptage simple des connexion... 192.168.254.200
Cette machine étant routeur elle verrait tout le trafic... entre le terminal serveur et ceux qui si connectent...
# Bande passante
iptables -I INPUT -i eth1 -j LOG --log-prefix BANDWIDTH_1_IN: --log-level debug
iptables -I FORWARD -i eth1 -j LOG --log-prefix BANDWIDTH_1_IN: --log-level debug
iptables -I FORWARD -o eth1 -j LOG --log-prefix BANDWIDTH_1_OUT: --log-level debug
iptables -I OUTPUT -o eth1 -j LOG --log-prefix BANDWIDTH_1_OUT: --log-level debug
# Bande passante
iptables -I INPUT -i eth0 -j LOG --log-prefix BANDWIDTH_0_IN: --log-level debug
iptables -I FORWARD -i eth0 -j LOG --log-prefix BANDWIDTH_0_IN: --log-level debug
iptables -I FORWARD -o eth0 -j LOG --log-prefix BANDWIDTH_0_OUT: --log-level debug
iptables -I OUTPUT -o eth0 -j LOG --log-prefix BANDWIDTH_0_OUT: --log-level debug
Tu installe Webmin et avec le module de bande passante tu peux faire une analyse par hôte, port, IP... etc
Ici aucune config de squid (pas de temps perdu), iptables en ACCEPT ALL mais en comptage !
Et comme ce terminal serveur est accèdé pour sa fonction...
Poste le Thursday 6 October 2005 17:00:33
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
chromosome
Lolotux tu as des problemes avec ca.
Si tu ne mets pas les established, alors chaque paquet sera comptes, et mis dans le log, je suis pas sur que son disque soit assez grand pour ce genre de stockage.
Et aussi que le controle a mon avis ne se fait pas des utilisateurs sur le terminal serveur mais plutot des 17 pc.
Et comment vas-tu faire pour que les personnes passent "forcement" par la machine iptables ?
Etant donne que les PC se trouvent dans 192.168.254.0/24 (aussi bien l'iptables, que le terminal server, mais surtout le router) Donc apres le premier paquet le terminal server va directement se connecter sur le router sans passer par l'iptables. (Et j'en suis sur car je me sert de ce genre d'infra pour distribuer les routes sur les machines).
Et pour moi dans la demande initiale
En tenant compte de tout ca on retombe sur ma proposition 1. ;-)
Si tu ne mets pas les established, alors chaque paquet sera comptes, et mis dans le log, je suis pas sur que son disque soit assez grand pour ce genre de stockage.
Et aussi que le controle a mon avis ne se fait pas des utilisateurs sur le terminal serveur mais plutot des 17 pc.
Et comment vas-tu faire pour que les personnes passent "forcement" par la machine iptables ?
Etant donne que les PC se trouvent dans 192.168.254.0/24 (aussi bien l'iptables, que le terminal server, mais surtout le router) Donc apres le premier paquet le terminal server va directement se connecter sur le router sans passer par l'iptables. (Et j'en suis sur car je me sert de ce genre d'infra pour distribuer les routes sur les machines).
Et pour moi dans la demande initiale
Et donc je cromprends que certaines personnes vont sur internet durant leur heure de travail (un peu trop au gout du patron), et il aimerait montrer au personnes en question sur quel site et a quelle heure ils ont etes.Citation
Pyngu
Ce que je veux faire c'est monter une passerelle sur le réseau pour les 5/6 postes à "sureveiller" mais que cela soit complètement transparent.
En tenant compte de tout ca on retombe sur ma proposition 1. ;-)
Poste le Thursday 6 October 2005 22:05:42
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
lolotux
Citation
chromosome
-Forcer les settings du proxy dans leur browser, et leur interdir de les changer.(tu peux controler ca en mettant en plus un firewall)
Ce qui revient à se poser les questions :
Où mettre la machine ?
Comment et quoi loguer comme info ?
PS : Mais effectivement le routeur firewall je l'avait mal placé. Mais entre le cisco et le hub serais mieux.
Quant aux logs, et bien les limiter au port 80 : -dport 80 ? -dport 443 ?
On ne diffère que peu dans les moyens cher Chromosome, mais je trouve un proxy plus lourd à mettre en place...
J'ai toujours trouvé plus simple iptables que squid ou autre !?
Poste le Friday 7 October 2005 21:06:58
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
chromosome
Oui, mais ca depend un peu de ce qu'il veut faire. Ici j'ai l'impression que le patron veut demontrer qu'ils passent plus de temps sur internet, qu'a bosse ?
Et si c'est pour analyzer un traffic web, le proxy est fait pour, pas trop le firewall.
Exemple avec IPTABLES tu recevras les adresses IP des machines pas le nom du web site visite sur cette machine.
Ni meme le temps qu'il y sera reste (car tu ne peux decement pas loger TOUT le traffic d'iptables) N'oublie pas que maintenant les serveurs web permettent de paralleliser les requetes et donc le client etabli plusieurs sessions vers le meme serveur web pour downloader les differentes partie de page. Maintenant comment faire ce genre de recoupement avec iptables ???
Mais maintenant si le traffic est autre chose que simplement du web, alors la je ne dit pas ;-)
Et si c'est pour analyzer un traffic web, le proxy est fait pour, pas trop le firewall.
Exemple avec IPTABLES tu recevras les adresses IP des machines pas le nom du web site visite sur cette machine.
Ni meme le temps qu'il y sera reste (car tu ne peux decement pas loger TOUT le traffic d'iptables) N'oublie pas que maintenant les serveurs web permettent de paralleliser les requetes et donc le client etabli plusieurs sessions vers le meme serveur web pour downloader les differentes partie de page. Maintenant comment faire ce genre de recoupement avec iptables ???
Mais maintenant si le traffic est autre chose que simplement du web, alors la je ne dit pas ;-)
Poste le Saturday 8 October 2005 08:01:39
Re: Une passerelle (partiel), où et comment ?
Envoyé par:
Pyngu
C'est effectivement le but rechercher.Citation
chromosome
Oui, mais ca depend un peu de ce qu'il veut faire.
Ici j'ai l'impression que le patron veut demontrer
qu'ils passent plus de temps sur internet, qu'a
bosse ?(...)
Il faut savoir aussi que ce sera fait avec un "vieux" pc de récupération (PIII 800) et je ne veut pas ralentir le trafic des personnes qui travaillent correctement.
Dans mon premier post je disait que ça devait être transparent, mais si il faut aller sur les machines cliente pour configurer un peu l'accès web ça ne pose pas de problème.
Merci de votre aide déjà, je commence à lire un peu les avis sur SQUID dans un premier temps, mais il me semble que ce soit un peu lourd pour le peu d'utilité (quoique le boss n'est pas de cet avis
, il sait ce que lui coute les gens qui ne bossent pas 
) )
Poste le Saturday 8 October 2005 16:19:18
Ce forum !
Une passerelle (partiel), où et comment ?
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons