Bonjour,

je souhaite empêcher toute connexion internet à certaines plages horaire
et sur certains postes.

Par contre cela doit se faire depuis le serveur (SBS 2003), j'ai déjà
essayé un programme du style contrôle d'accès sur le PC mais les
utilisateurs ont trouvés le moyen de le contourner.

J'ai pensé à un truc du style forcer la réinitialisation DHCP à zéro sur
le poste cible, mais bon, je ne suis pas sur que ça soit possible !

Je précise qu'il ne m'est pas possible d'installer ISA Server

Si quelqu'un à une idée ?

Merci

Notre ami <Marco> tapota :

> Bonjour,
>
> je souhaite empêcher toute connexion internet à certaines plages
> horaire et sur certains postes.
>

Bonjour,

Il existe un système dévelloppé dans l'académie de Toulouse ...
Cela utilise un SLIS modifié.
Il faut ajouter un service particulier sur le serveur ET il faut que
les machines soient toutes en IP fixes pour que cela fonctionne. Il y
a un répertoire sur le serveur dans lequel le SLIS vient lire les
interdictions/autorisations.
On peut alors restreindre l'accès internet à un individu ou à un
groupe d'individus ou à une machine ou à un groupe de machines très
facilement.

Avant d'envisager qqchose, il faudrait connaître qq détails car
tout dépend de la façon dont l'accès à concrètement lieu ...
J'imagine qu'il existe une machine dédiée qui sert de passerelle
(proxy ?) ???

A+

HB

Est-ce que le SBS2003 en question est la machine physiquement qui fait la
passerelle entre ton réseau local et ton accès à Internet ?

Est-ce que l'accès doit être bloqué pour tous les équipements du réseau ou
uniquement certaines machines ou encore certains utilisateurs ?

Personnellement je combine l'association DHCP de mon serveur Windows 2003
(IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon serveur
qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
tâche planifiée tu peux facilement changer la règle de filtration.

Si tu utilises un router du genre D-Link, il y a souvent des règles de
filtrage que tu peux configurer d'une telle heure à une autre également qui
donerait le même résultat.

Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse et
que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).

Il y a peut-être une possibilité avec l'utilisation de 2 plages d'adresses
sur un seul réseau et de couper le routage à une heure spécifique encore là
avec une tâche planifiée.

--------------------

Glenn Gagné
Technicien MCP

"moi" <moi@pas.la.ici> a écrit dans le message de
news:OjaFwHEVHHA.1000@TK2MSFTNGP05.phx.gbl...
> Notre ami <Marco> tapota :
>
> > Bonjour,
> >
> > je souhaite empêcher toute connexion internet à certaines plages
> > horaire et sur certains postes.
> >
>
> Bonjour,
>
> Il existe un système dévelloppé dans l'académie de Toulouse ...
> Cela utilise un SLIS modifié.
> Il faut ajouter un service particulier sur le serveur ET il faut que
> les machines soient toutes en IP fixes pour que cela fonctionne. Il y
> a un répertoire sur le serveur dans lequel le SLIS vient lire les
> interdictions/autorisations.
> On peut alors restreindre l'accès internet à un individu ou à un
> groupe d'individus ou à une machine ou à un groupe de machines très
> facilement.
>
> Avant d'envisager qqchose, il faudrait connaître qq détails car
> tout dépend de la façon dont l'accès à concrètement lieu ...
> J'imagine qu'il existe une machine dédiée qui sert de passerelle
> (proxy ?) ???
>
> A+
>
> HB
>
>

Glenn Gagné a écrit :
> Est-ce que le SBS2003 en question est la machine physiquement qui fait la
> passerelle entre ton réseau local et ton accès à Internet ?
>
> Est-ce que l'accès doit être bloqué pour tous les équipements du réseau ou
> uniquement certaines machines ou encore certains utilisateurs ?
>
> Personnellement je combine l'association DHCP de mon serveur Windows 2003
> (IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon serveur
> qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
> règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
> tâche planifiée tu peux facilement changer la règle de filtration.
>
> Si tu utilises un router du genre D-Link, il y a souvent des règles de
> filtrage que tu peux configurer d'une telle heure à une autre également qui
> donerait le même résultat.
>
> Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
> c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse et
> que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).
>
> Il y a peut-être une possibilité avec l'utilisation de 2 plages d'adresses
> sur un seul réseau et de couper le routage à une heure spécifique encore là
> avec une tâche planifiée.
>
> --------------------
>
> Glenn Gagné
> Technicien MCP

Le serveur ne fait pas office de passerelle et le routeur est très
basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
bloqué que pour quelques PC.

C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
un routeur haut de gamme ou dans un ISA Server.

Je pense effectivement que je vais me pencher pour couper d'une façon ou
d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
virtual server pour faire ça !

bonjour,

vous pourriez mettre deux tâche planifiées:
une pour couper
une pour remettre l'accès

une solution assez tordue pour occuper vos utilisateurs (sauf s'ils peuvent
couper les tâches planifiées):
arp -s X.X.X.X 00-aa-00-62-c6-09
cela va rentrer une adresse MAC bidon qui empêchera le pc de contacter la
passerelle

arp -d X.X.X.X
cela permet de contacter de nouveau la passerelle.

de mémoire, le arp -s résiste à un reboot.

L'astuce est de protéger les .cmd qui feront les deux commandes.

ca devrait suffire pour quelques mois

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"<Marco>" <moi@nospam.fr> wrote in message
news:45da078d$0$11549$426a74cc@news.free.fr...
> Glenn Gagné a écrit :
>> Est-ce que le SBS2003 en question est la machine physiquement qui fait la
>> passerelle entre ton réseau local et ton accès à Internet ?
>>
>> Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
>> ou
>> uniquement certaines machines ou encore certains utilisateurs ?
>>
>> Personnellement je combine l'association DHCP de mon serveur Windows 2003
>> (IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
>> serveur
>> qui fait office de passerelle (Un serveur Linux dans mon cas) je fais une
>> règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
>> tâche planifiée tu peux facilement changer la règle de filtration.
>>
>> Si tu utilises un router du genre D-Link, il y a souvent des règles de
>> filtrage que tu peux configurer d'une telle heure à une autre également
>> qui
>> donerait le même résultat.
>>
>> Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
>> c'est lui qui fait la passerelle) qui bloque une certaine plage d'adresse
>> et
>> que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).
>>
>> Il y a peut-être une possibilité avec l'utilisation de 2 plages
>> d'adresses
>> sur un seul réseau et de couper le routage à une heure spécifique encore
>> là
>> avec une tâche planifiée.
>>
>> --------------------
>>
>> Glenn Gagné
>> Technicien MCP
>
> Le serveur ne fait pas office de passerelle et le routeur est très
> basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
> bloqué que pour quelques PC.
>
> C'est pour du temporaire, quelques mois, donc pas envie d'investir dans un
> routeur haut de gamme ou dans un ISA Server.
>
> Je pense effectivement que je vais me pencher pour couper d'une façon ou
> d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en virtual
> server pour faire ça !
>

pour mettre un plus de piment:

depuis un serveur, exécutez les commandes précédentes à distance via psexec:
psexec \\pc_pas_gentil arp -s X.X.X.X 00-aa-00-62-c6-09

téléchargement de psexec:
http://www.microsoft.com/technet/sys...es/psexec.mspx


--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Mathieu CHATEAU" <gollum123@free.fr> wrote in message
news:2C4585C1-6D9C-4D89-A350-B8C7AD04D274@microsoft.com...
> bonjour,
>
> vous pourriez mettre deux tâche planifiées:
> une pour couper
> une pour remettre l'accès
>
> une solution assez tordue pour occuper vos utilisateurs (sauf s'ils
> peuvent couper les tâches planifiées):
> arp -s X.X.X.X 00-aa-00-62-c6-09
> cela va rentrer une adresse MAC bidon qui empêchera le pc de contacter la
> passerelle
>
> arp -d X.X.X.X
> cela permet de contacter de nouveau la passerelle.
>
> de mémoire, le arp -s résiste à un reboot.
>
> L'astuce est de protéger les .cmd qui feront les deux commandes.
>
> ca devrait suffire pour quelques mois
>
> --
> Regards,
> Mathieu CHATEAU
> http://lordoftheping.blogspot.com
>
>
> "<Marco>" <moi@nospam.fr> wrote in message
> news:45da078d$0$11549$426a74cc@news.free.fr...
>> Glenn Gagné a écrit :
>>> Est-ce que le SBS2003 en question est la machine physiquement qui fait
>>> la
>>> passerelle entre ton réseau local et ton accès à Internet ?
>>>
>>> Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
>>> ou
>>> uniquement certaines machines ou encore certains utilisateurs ?
>>>
>>> Personnellement je combine l'association DHCP de mon serveur Windows
>>> 2003
>>> (IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
>>> serveur
>>> qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
>>> une
>>> règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
>>> tâche planifiée tu peux facilement changer la règle de filtration.
>>>
>>> Si tu utilises un router du genre D-Link, il y a souvent des règles de
>>> filtrage que tu peux configurer d'une telle heure à une autre également
>>> qui
>>> donerait le même résultat.
>>>
>>> Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
>>> c'est lui qui fait la passerelle) qui bloque une certaine plage
>>> d'adresse et
>>> que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).
>>>
>>> Il y a peut-être une possibilité avec l'utilisation de 2 plages
>>> d'adresses
>>> sur un seul réseau et de couper le routage à une heure spécifique encore
>>> là
>>> avec une tâche planifiée.
>>>
>>> --------------------
>>>
>>> Glenn Gagné
>>> Technicien MCP
>>
>> Le serveur ne fait pas office de passerelle et le routeur est très
>> basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
>> bloqué que pour quelques PC.
>>
>> C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
>> un routeur haut de gamme ou dans un ISA Server.
>>
>> Je pense effectivement que je vais me pencher pour couper d'une façon ou
>> d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en virtual
>> server pour faire ça !
>>
>

Un simple router D-Link Di-614+ à 50$ permet de faire des planification
d'horaire (je n'ai pas testé la possibilité exigée, mais je sais qu'il est
possible de programmer des actions de filtrage à certaines heures avec ce
modèle).

Il ya peut-être une possibilité de faire du VLAN aussi, le réseau des postes
à bloquer se trouvera sur des adresses d'une plage différentes qui seront
routé via le serveur qui lui aura 2 adresses IP sur la même carte réseau.
Cela exigerait une adresse IP fixe sur les postes (ou un moyen de forcer
l'utilisation d'un DHCP différent via leur MAC address).

Glenn

"<Marco>" <moi@nospam.fr> a écrit dans le message de
news:45da078d$0$11549$426a74cc@news.free.fr...
> Glenn Gagné a écrit :
> > Est-ce que le SBS2003 en question est la machine physiquement qui fait
la
> > passerelle entre ton réseau local et ton accès à Internet ?
> >
> > Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
ou
> > uniquement certaines machines ou encore certains utilisateurs ?
> >
> > Personnellement je combine l'association DHCP de mon serveur Windows
2003
> > (IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
serveur
> > qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
une
> > règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
> > tâche planifiée tu peux facilement changer la règle de filtration.
> >
> > Si tu utilises un router du genre D-Link, il y a souvent des règles de
> > filtrage que tu peux configurer d'une telle heure à une autre également
qui
> > donerait le même résultat.
> >
> > Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003 (si
> > c'est lui qui fait la passerelle) qui bloque une certaine plage
d'adresse et
> > que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).
> >
> > Il y a peut-être une possibilité avec l'utilisation de 2 plages
d'adresses
> > sur un seul réseau et de couper le routage à une heure spécifique encore
là
> > avec une tâche planifiée.
> >
> > --------------------
> >
> > Glenn Gagné
> > Technicien MCP
>
> Le serveur ne fait pas office de passerelle et le routeur est très
> basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
> bloqué que pour quelques PC.
>
> C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
> un routeur haut de gamme ou dans un ISA Server.
>
> Je pense effectivement que je vais me pencher pour couper d'une façon ou
> d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
> virtual server pour faire ça !
>

la mise en place de 2 vlan implique que les serveurs locaux soient double
attachés aux 2 vlan ce qui implique d'autres problèmes (enregistrement DNS
en double), ou alors gérer les vlan aussi sur les serveurs via les outils
broadcom ou intel.

Cela me semble complexifier la configuration pour seulement bloquer un accès
Internet.

Mais est-ce que les utilisateurs ne vont pas tout simplement aller sur un
autre ordinateur ?
--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Glenn Gagné" <glenn_gagne@hotmail.com> wrote in message
news:%23%23ZTVZSVHHA.4380@TK2MSFTNGP03.phx.gbl...
> Un simple router D-Link Di-614+ à 50$ permet de faire des planification
> d'horaire (je n'ai pas testé la possibilité exigée, mais je sais qu'il est
> possible de programmer des actions de filtrage à certaines heures avec ce
> modèle).
>
> Il ya peut-être une possibilité de faire du VLAN aussi, le réseau des
> postes
> à bloquer se trouvera sur des adresses d'une plage différentes qui seront
> routé via le serveur qui lui aura 2 adresses IP sur la même carte réseau.
> Cela exigerait une adresse IP fixe sur les postes (ou un moyen de forcer
> l'utilisation d'un DHCP différent via leur MAC address).
>
> Glenn
>
> "<Marco>" <moi@nospam.fr> a écrit dans le message de
> news:45da078d$0$11549$426a74cc@news.free.fr...
>> Glenn Gagné a écrit :
>> > Est-ce que le SBS2003 en question est la machine physiquement qui fait
> la
>> > passerelle entre ton réseau local et ton accès à Internet ?
>> >
>> > Est-ce que l'accès doit être bloqué pour tous les équipements du réseau
> ou
>> > uniquement certaines machines ou encore certains utilisateurs ?
>> >
>> > Personnellement je combine l'association DHCP de mon serveur Windows
> 2003
>> > (IP statique dédié par DHCP aux ordinateurs non désiré) et sur mon
> serveur
>> > qui fait office de passerelle (Un serveur Linux dans mon cas) je fais
> une
>> > règle Iptables (firewall) sur la plage IP des ces ordinateurs. Avec une
>> > tâche planifiée tu peux facilement changer la règle de filtration.
>> >
>> > Si tu utilises un router du genre D-Link, il y a souvent des règles de
>> > filtrage que tu peux configurer d'une telle heure à une autre également
> qui
>> > donerait le même résultat.
>> >
>> > Sinon, faudrait que tu utilises un logiciel pare-feu sur le SBS 2003
>> > (si
>> > c'est lui qui fait la passerelle) qui bloque une certaine plage
> d'adresse et
>> > que celui-ci soit exécuté via une tâche planifié (et arrêté aussi).
>> >
>> > Il y a peut-être une possibilité avec l'utilisation de 2 plages
> d'adresses
>> > sur un seul réseau et de couper le routage à une heure spécifique
>> > encore
> là
>> > avec une tâche planifiée.
>> >
>> > --------------------
>> >
>> > Glenn Gagné
>> > Technicien MCP
>>
>> Le serveur ne fait pas office de passerelle et le routeur est très
>> basique, pas de réglage possible de ce coté la. Et l'accès ne doit être
>> bloqué que pour quelques PC.
>>
>> C'est pour du temporaire, quelques mois, donc pas envie d'investir dans
>> un routeur haut de gamme ou dans un ISA Server.
>>
>> Je pense effectivement que je vais me pencher pour couper d'une façon ou
>> d'une autre l'accès via l'adresse IP, quitte à mettre un Linux en
>> virtual server pour faire ça !
>>
>
>

Bonjour,

> arp -s X.X.X.X 00-aa-00-62-c6-09
> cela va rentrer une adresse MAC bidon qui empêchera le pc de
> contacter la passerelle

Et avec le driver SMAC tout passe sans soucis surtout si
les utilisateurs sont administrateur de leur machine et si il ne
ne sont pas mais qu'ils veulent le devenir sur des portables
a la maison a la maison bien tranquillment on se rend sur le
site de JCB et c'est dans la poche.
A part on pare-feu digne de ce nom il n'y a aucune solution
viable et surtout pas d'essayer de faire de la sécurtié a la
petite semaine avec des adresses MAC, C'était valable il
y a 10 ans, mais sur les moindres news et forums on va
renseigner le fraudeur sans problème.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/

on peut aussi venir aussi avec son portable personnel et se brancher sur le
réseau.

La plupart de nos utilisateurs ne savent toujours pas remettre la barre des
tâches ou une barre de menu dans office quand ils cliquent au mauvais
endroit.

L'objectif n'est pas de résister à "gégé la fripouille", mais juste de
bloquer des utilisateurs standards

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"GG [MVP]" <news@nospam.assysm.com> wrote in message
news:e3BdoXaVHHA.3948@TK2MSFTNGP05.phx.gbl...
> Bonjour,
>
>> arp -s X.X.X.X 00-aa-00-62-c6-09
>> cela va rentrer une adresse MAC bidon qui empêchera le pc de
>> contacter la passerelle
>
> Et avec le driver SMAC tout passe sans soucis surtout si
> les utilisateurs sont administrateur de leur machine et si il ne
> ne sont pas mais qu'ils veulent le devenir sur des portables
> a la maison a la maison bien tranquillment on se rend sur le
> site de JCB et c'est dans la poche.
> A part on pare-feu digne de ce nom il n'y a aucune solution
> viable et surtout pas d'essayer de faire de la sécurtié a la
> petite semaine avec des adresses MAC, C'était valable il
> y a 10 ans, mais sur les moindres news et forums on va
> renseigner le fraudeur sans problème.
>
> --
> Cordialement.
> GG.
> http://sbsfr.free.fr/forums/
>

Bonjour,

> L'objectif n'est pas de résister à "gégé la fripouille", mais juste de
> bloquer des utilisateurs standards

Certes, mais votre réflexion montre bien que vous connaissez
plutot très mal le monde SBS, et surtout en PME.
L'admin SBS ne connait pas grand chose et ce n'est pas son
role (ou pas trop) et que parfois certains stagiaires en connaissent
beaucoup plus pour faire ch... le monde et dans ces cas là ils
savent aussi se servir des news ou de google pour arriver a leur
fin et la sécurité a la petite semaine sur les adresses MAC ou a
2 balles que vous conseillez ne leur résistent pas plus de quelques
minutes, et si Micorsoft propose un ISA server sur SBS, c'est
qu'ils ont bien etudié la chose et ils savent eux qu'ISA est un
outil qui peut servir sur un SBS, et qu'avec cela ca ne bronche,
la ce n'est plus de la sécurité a la petite semaine.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/

la contrainte initiale est bien "isa serveur n'est pas une option"

c'est pour cela que je propose une solution "basique".

--
Regards,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"GG [MVP]" <news@nospam.assysm.com> wrote in message
news:Oex7UfgVHHA.4796@TK2MSFTNGP05.phx.gbl...
> Bonjour,
>
>> L'objectif n'est pas de résister à "gégé la fripouille", mais juste de
>> bloquer des utilisateurs standards
>
> Certes, mais votre réflexion montre bien que vous connaissez
> plutot très mal le monde SBS, et surtout en PME.
> L'admin SBS ne connait pas grand chose et ce n'est pas son
> role (ou pas trop) et que parfois certains stagiaires en connaissent
> beaucoup plus pour faire ch... le monde et dans ces cas là ils
> savent aussi se servir des news ou de google pour arriver a leur
> fin et la sécurité a la petite semaine sur les adresses MAC ou a
> 2 balles que vous conseillez ne leur résistent pas plus de quelques
> minutes, et si Micorsoft propose un ISA server sur SBS, c'est
> qu'ils ont bien etudié la chose et ils savent eux qu'ISA est un
> outil qui peut servir sur un SBS, et qu'avec cela ca ne bronche,
> la ce n'est plus de la sécurité a la petite semaine.
>
> --
> Cordialement.
> GG.
> http://sbsfr.free.fr/forums/
>