Dans ma Quête de la répression (oui, c'est Mal), j'ai encore un soucis avec mon proxy.
En effet, sur mon réseau j'ai un poste ayant l'ip, par exemple, 192.168.1.42.
Dans mon proxy j'ai des acl du type "acl caramail dstdomain caramail.lycos.fr", avec des http_access deny caramail, qui me servent à bloquer qlqs sites, j'ai aussi des acl qui marchent par mots clés, mais je cherche l'acl me permettant de dire "l'ip 192.168.1.42 n'a pas le droit de passer à travers le proxy.
A votre bon coeur messieurs dames, parce que les sites de boules au boulot, c'est Mal. :-p
# Et la doc c'est pour les chiens ?
Posté par LaBienPensanceMaTuer . Évalué à 3.
Faut arrêter d'abuser de la solution de facilité que sont les journaux et ce servir un peu de cette gelatine grisatre qu'on appelle "cervelle" les mecs.
[^] # Re: Et la doc c'est pour les chiens ?
Posté par Ian X . Évalué à 1.
Figure toi que je me suis consciencieusement tapé la doc sans rien trouver, et que les jolis commentaires du squid.conf ne m'ont franchement pas dépanné...
Eh oui, je viens de découvrir que quand ils disent :
acl aclname src ip-address/netmask ... (clients IP address)
et bien ils devraient écrire :
acl aclname src ip-address-range/netmask ... (clients IP address)
Ben oui,
acl aclname src 192.168.1.42/255.255.255.0
ça ne marche pas, il faut préciser 192.168.1.42-192.168.1.42/255.255.255.0
Après pas mal d'expérimentations et googlisation, ma seule solution vient d'être de demander à webmin de le faire à ma place pour trouver la syntaxe...
Le truc rigolo étant qu'entre des versions différentes de squid, la syntaxe n'est pas tjrs exactement la même, ce qui a l'art de ne pas forcément faciliter les recherches. :-)
Sur ce je te laisse à ta mauvaise humeur et je retourne dans mon monde. :-)
[^] # Re: Et la doc c'est pour les chiens ?
Posté par Antonio Da Silva (site web personnel) . Évalué à 4.
http://www.squid-cache.org/Doc/FAQ/FAQ.html(...) chapitre 10, c'est très détaillé je trouve
et un
"
acl obsede src 192.168.1.42
http_access deny osbede
"
devrait bien le faire
[^] # Re: Et la doc c'est pour les chiens ?
Posté par Ian X . Évalué à 1.
Quand je recharge squid, il me dit :
2004/05/13 10:44:46| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.1.1.192-192.1.1.192/255.255.255.0'
Alors que l'ip et le netmask de la machine cliente sont bien ceux là...
Ce qui me laisse sceptique aussi, c'est que juste au dessus de mon http_access deny toto, j'ai un http_access accept localNet, l'acl localNet étant du type :
acl localNet src 192.1.1.0/255.255.255.0
Cette acl donnant autorisant naturellement le réseau 192.1.1.XX à accèder au net...
Je me demande si une fois que j'ai autorisé tout le monde à passer à travers le proxy, je peux lui dire "ah mais nan pas cette ip là", c'est dingue de galérer pour quelque chose d'apparemment si simple. :-)
[^] # Re: Et la doc c'est pour les chiens ?
Posté par Dragon . Évalué à 3.
La remarque à faire, c'est l'inverse du routage qui consiste à s'occuper des cas particulier avant de s'occuper du cas général.
[^] # Re: Et la doc c'est pour les chiens ?
Posté par Ian X . Évalué à 2.
je considérais squid comme une entrée de boite de nuit, avec un videur en plein milieu.
Je pensais que le videur laissait passer tout le monde, puis qu'il se décidait à arrêter ceux qui ne lui plaisaient pas APRES que tout le monde soit passé. D'où mon deny du src APRES le accept src du localNet...
Mais en fait, j'ai eu Faux. Le videur commence par bloquer le "coupable", puis laisse passer les autres.
Et donc en mettant le deny de l'ip spécifique avant d'accepter l'accès à tout le réseau 192.1.1.0, ça s'est mis à marcher...
Ca manque de logique à mon sens, mais bon pourquoi pas. :-)
Ne me reste plus qu'à tenter de trouver un programme mettant en forme mes logs, on m'en a déjà conseillé quelques uns, ne reste plus qu'à batailler avec. ;-)
[^] # Re: Et la doc c'est pour les chiens ?
Posté par grrrreg . Évalué à 2.
ça ne marche pas, il faut préciser 192.168.1.42-192.168.1.42/255.255.255.0
Erf c'est un peu normal: le netmask 255.255.255.0 représente une plage de 256 IPs.
Si tu veux ne spécifier qu'une seule IP, il faut que tu utilise un netmask ... qui ne représente qu'une seule IP: 255.255.255.255.
Enfin peut-être que squid fera la gueule, mais au moins ça suit plus les spécifications IP.
# Et squidguard ?
Posté par Funix (site web personnel, Mastodon) . Évalué à 1.
Je l'utilise à la maison pour que mes gosses puissent surfer sans risquer de tomber sur un site craignos.
https://www.funix.org mettez un manchot dans votre PC
[^] # Re: Et squidguard ?
Posté par Ian X . Évalué à 1.
Et à ce que j'ai lu c'est trop léger, car Squidguard demande pas mal de ressources... Donc bon, maintenant que j'ai réussi à prouver que linux c'est bien, peut être que j'arriverais à avoir une machine un peu plus musclée pour mon proxy, auquel cas j'essairais Squidguard.
[^] # Re: Et squidguard ?
Posté par Yann Hirou . Évalué à 1.
# webalizer?
Posté par Ian X . Évalué à 1.
En effet j'aimerais bien savoir quels sites fréquente quelles personnes, et quand. Genre "à 14h43, robert est allé sur google".
Webalizer ne le fait pas?
[^] # Re: webalizer?
Posté par Funix (site web personnel, Mastodon) . Évalué à 1.
https://www.funix.org mettez un manchot dans votre PC
[^] # Re: webalizer?
Posté par gaston1024 . Évalué à 1.
[^] # Re: webalizer?
Posté par Ian X . Évalué à 1.
Mais bon d'abord je voudrais être sûr que même en toute connaissance de cause, ils ne pourront rien faire pour contourner le proxy. ;-)
Parce qu'à l'heure actuelle ce n'est pas le cas, il suffit qu'ils décochent la case du proxy dans leurs browsers et qu'il change manuellement leurs passerelles pour accèder au net et hop, protection contournée! :-/
D'ailleurs je me demande comment je vais faire, puisque dans tout les cas il leur suffira de changer la passerelle de leurs postes afin de se connecter directement au routeur sans passer par le proxy. :-(
C'est en cours de cogitation...
A priori je ne peux pas dire au routeur de refuser toutes les connexions sauf celles venant du proxy, c'est dommageable. Même si je met un firewall, je pense que ça ne changera rien... Saleté de routeur matériel. :-(
[^] # Re: webalizer?
Posté par Funix (site web personnel, Mastodon) . Évalué à 1.
cause, ils ne pourront rien faire pour contourner le proxy. ;-)
Dans ce cas il faut que tu mettes en place un proxy transparent, quelque soit la configuration du navigateur (par proxy, ou connexion directe), ils passeront obligatoirement par ton proxy. Tu devrais trouver assez facilement des infos à ce sujet avec google.
https://www.funix.org mettez un manchot dans votre PC
[^] # Re: webalizer?
Posté par gaston1024 . Évalué à 0.
Est-il vraiment indispensable d'appeler Big Brother à la rescousse dans une entreprise ?
Ne serait-il pas possible de responsabiliser plutôt le personnel (qui serait probablement alors plus productif qu'en leur interdisant purement et simplement de surfer quelques minutes pour se distraire).
Ne peut-on pas accepter un minimum de site de boules au boulot (qui, s'ils sont légaux, n'ont pas de raison d'être plus inerdits que la consultation de DLFP pendant les heures de taff...) à partir du moment où cette consultation reste raisonnable ?
[^] # Re: webalizer?
Posté par Yann Hirou . Évalué à 1.
Ensuite, la responsabilisation du "personnel" ne peut être obtenue qu'avec une individualisation dudit "personnel". Sinon la règle classique du "c'est pas moi, c'est le voisin", ou sa variante "ben le voisin l'a fait, alors moi aussi" s'applique à coup sûr.
L'éducation des masses en entreprise, sans passer par de l'information (genre "le service marketing est number one du surf cette semaine") ou de la répression (couper les accès aux mecs qui passent leur temps sur des sites de warez parce qu'ils ont pas le net chez eux) est une tâche à plein temps.
A voir ensuite si on préfère faire plus l'admin ou la police... mais un admin est *toujours* facho. Sinon c'est un admin laxiste, donc un mauvais admin.
La meilleure situation pour bosser pour un admin, c'est lorsqu'il n'y a pas d'utilisateurs... au moins il peut ne faire que son boulot !
Dans tous les cas cités ci-dessus, évidement les salariés ou leurs représentants doivent être tenus informés.
Tout comme les salariés doivent être tenus informés que les administrateurs systèmes/réseaux ont possibilité de voir ce qu'ils font, le contenu de leurs mails, etc... le tout protégé par un secret professionnel aussi fort que le secret médical (exemple de secret professionnel connu de tous, contrairement à celui des administrateurs informatiques)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.