Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Avoir des logs sur qui va sur quel site

    Scheduled Pinned Locked Moved Français
    8 Posts 4 Posters 904 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      carbone
      last edited by

      Bonjour à tous,

      J'ai installer PFsense avec un netgate 3100. J'ai activer le portail captif et j'ai installer et activer squid et lightsquid. J'ai des logs qui me permette de voir quelle adresse IP va sur quelle site.

      Mon problème est qu'une écolé a reçu un courrier d'hadopi car un film a été téléchargé. Avec mon installation je suis incapable de savoir qui car au mieux je vais trouver le site web de téléchargement et l'adresse IP. Mais comme on est en DHCP je ne sais pas quel PC possède cette adresse.

      Je n'ai pas la main sur les PC des étudiants pour installer un proxy avec authentification car ce sont des étudiants qui ne reste qu'une semaine et qui reparte.

      J'avais essayer y'a un an d'installer WPAD mais le problème est qu'il ne fonctionne pas avec les applications des smartphone. Si onlance par exemple l'application le bon coin on ne peut pas lui donner des paramètres de proxy...

      Comment faire pour avoir des logs des connexions pour savoir qui fait quoi ?

      Merci

      1 Reply Last reply Reply Quote 0
      • TataveT
        Tatave
        last edited by

        Salut salut

        bon pour faire simple est cassant ==> avec des dé à 12 faces, un bol monstre, sans plus d'information que votre structure nous irons pas plus loin.

        Donc a lire ce qu'il y a si après, car nos ne sommes ni devins ni omniscient.
        https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-%C3%A0-respecter-pour-la-demande-d-aide

        Il vous manque une chose élémentaire à première lecture de ce premier post que vous nous présenté là

        @carbone said in Avoir des logs sur qui va sur quel site:

        Bonjour à tous,
        J'ai installer PFsense avec un netgate 3100. J'ai activer le portail captif et j'ai installer et activer squid et lightsquid. J'ai des logs qui me permette de voir quelle adresse IP va sur quelle site.
        Mon problème est qu'une écolé a reçu un courrier d'hadopi car un film a été téléchargé. Avec mon installation je suis incapable de savoir qui car au mieux je vais trouver le site web de téléchargement et l'adresse IP. Mais comme on est en DHCP je ne sais pas quel PC possède cette adresse.
        Je n'ai pas la main sur les PC des étudiants pour installer un proxy avec authentification car ce sont des étudiants qui ne reste qu'une semaine et qui reparte.
        J'avais essayer y'a un an d'installer WPAD mais le problème est qu'il ne fonctionne pas avec les applications des smartphone. Si onlance par exemple l'application le bon coin on ne peut pas lui donner des paramètres de proxy...
        Comment faire pour avoir des logs des connexions pour savoir qui fait quoi ?

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Ces problématiques sont maintes et maintes fois posées sur le forum.
          Comme la base est de commencer par se faire une opinion avec ce qui est déjà évoqué sur le forum, je ne vois pas l'utilité de 're-poser' les questions pour la Nième fois, sauf à écrire sur 'j'ai décidé de faire comme ça'.

          Quelques bons principes :

          • éviter de mettre le proxy sur le firewall !
          • mettre en place wpad : pour éviter d'intervenir sur les navigateurs des utilisateurs, facile et sans contrainte.
          • tant pis pour les applications qui ignorent les proxy(ies) ou qui ignorent la découverte de proxy par wpad : les développeurs c'est comme les chasseurs, il y a le bon chasseur et le mauvais chasseur !
          • les logs demandés exige une adresse ip, pas un identifiant : différence subtile mais importante, d'ailleurs pourrait on être redevable d'une identification précise d'un individu (de quel droit ?)

          Enfin, associer une adresse ip (dans le log du proxy) et un identifiant (dans le log d'un portail captif) est tout sauf automatique et facile à faire !

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • H
            HuskerDu
            last edited by HuskerDu

            Bonjour,

            Hadopi veut dire peer-to-peer et non téléchargement direct, cela va être difficile de retrouver le "coupable".

            1/ il a associé le torrent/magnet en dehors de votre LAN : pas de trace de visite d'un site de téléchargement. Le seul usage d'un client peer-to-peer peut être interdit par votre charte (vous en avez une bien sur !), mais n'est pas une condition suffisante pour pouvoir l'incriminer au niveau HADOPI.... (en passant on se demande bien pourquoi ce protocole est autorisé).

            2/ il a réalisé l'opération complète depuis votre LAN :

            • la visite du site annuaire torrent peut être contraire à votre charte
            • mais si on se limite aux logs DNS/proxy cela ne prouve en rien qu'il a téléchargé le fichier associé.

            Mon avis, faites en sorte que les protocoles peer-to-peer usuels ne soient pas possibles depuis le LAN avant de songer à avoir des logs.

            1 Reply Last reply Reply Quote 0
            • TataveT
              Tatave
              last edited by

              Salut salut

              Pas possible de bloquer se type de protocole sous peine d'avoir quelques soucis avec

              • windows update est sur ce mode là
              • le store windows idem et les applications qui elles aussi le font.
              • dreamspark (téléchargement des iso ou exe des certain éditeurs dont Microsoft)
                -...

              J'ai eu un soucis avec cet organisme alors que j'avais plusieurs abonnement en cours avec des services de mise a dispo officiel d'iso et autre produit. quand on a des téraoctets de data qui transitent par plusieurs liens internets vers mon réseau, mais rien d'illégale, même certain fournisseurs de vod utilisent ce type de protocole pour le téléchargement à but de visualisation différé.

              La seule manière de faire dans les moins pires serait une gestion des droits sur les machines (Ad, ldap... signaux de fumé)

              • sur le compte de l'utilisateur
              • sur le poste qui accèdes à ce poste et pas à l'autre...
              • gestion des mises à jours des systèmes et applications non accessible à un quidam donc un comptes avec pouvoir de...
              • gestion horaires pour les accès à l'application x ou y par l'utilisateur 1 ou 3 mais pas par 2
              • les log et alertes , bien évidement pas sur le pare feu machine dedier (vm ou physique)
              • dispositions légales liées à l'activité et les limites de responsabilités....

              bref,
              Pour une école en France ===> éducation nationale, guichet unique, Région, chef d'établissement. quelques soit le type d'ecole primère, secondaire... il y a des responsable légaux, et aussi des impératifs que certains d'entres eux ne sont mêmes pas contients et ou ne veulent pas en être. en plus de cela on rajoute les collectivités locales qui fournissent tout ou partie du matériel.

              Bon courage

              aider, bien sûre que oui
              assister, évidement non !!!

              donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
              apprendre à un homme comment cuisiner, il sera vivre.

              H 1 Reply Last reply Reply Quote 0
              • H
                HuskerDu @Tatave
                last edited by HuskerDu

                @Tatave merci pour l'info, sans Microsoft à la maison, j'ai pu tout bloquer sans souci. Et la vod/replay fonctionne en remplissant mes logs.

                En ligne avec la responsabilité de l'éducation nationale, mais en attendant, cela peut être une option envisageable faute de mieux :

                • pas de MAJ Microsoft pour les étudiants (je sais, c'est mal), mais il est dit qu'ils ne restent qu'une semaine.
                • MAJ pour les postes de l'école... et contrôle des applications pour éviter le P2P

                Cela irait aussi dans le bon sens, avec 2 LAN, un pour le matériel en propre, l'autre pour le BYOD.

                Pas idéal, mais on réduit les possibilités de contournement.

                1 Reply Last reply Reply Quote 0
                • C
                  carbone
                  last edited by

                  Merci pour vos réponses,

                  @jdh personnellement j'ai chercher de partout et je ne trouve pas de réponse à cette problèmatique. Or, normalement tout réseau wifi public doit avoir des logs et être capable d'identifié un ordinateur ou un utilisateur

                  @HuskerDu Oui l'école à une charte informatique mais bon les étudiants s'en foute hein... le problème est que si l'école se fait prendre une deuxième fois ils peuvent couper Internet...

                  Est ce que vous savez du coup comment fait McDonald quand on se connecte en wifi il nous demande une adresse email et un mot de passe comme un portail captif. Je suppose qu'après il peuvent relier notre adresse email avec nos données de navigation ? Est ce qu'un proxy peut faire ça ? SI oui est ce que Pfsense fait ça ?

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    J'ai déjà expliqué que l'identification est impossible et illusoire : l'usage demande juste une adresse ip, au mieux un identifiant de portail ...

                    D'ailleurs regardez ce qui est fait chez des restaurants de gastronomie américaine : on demande une adresse mail mais juste 'x@x.com' fonctionne car cela a bien la forme d'une adresse email !

                    Pour des 'visiteurs irréguliers', il suffit de

                    • créer un signal 'visiteur'
                    • autoriser uniquement http, https et pas plus sur cette zone

                    Il n'y a nul besoin de fournir quoi que ce soit d'autre ...
                    Dans le sens inverse, si vous commencez à ouvrir autre chose, il en faudra toujours plus ... et il n'y aura que des emmerdes !

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.