Regles restrictives d'accés internet pour un poste



  • Bonjour,
    Actuellement, je n'ai aucune règle de restriction en matière de sortie. Je suis débutant, et je n'ai pas de proxy (seulement la Pfsense "brut d'install").
    Je souhaiterai bloquer la navigation internet d'un seul poste (objectif : contre l'abus d'un salarié qui passe trop de temps sur internet) tout en permettant à ce poste de faire ses mises à jour d'antivirus et system, e-mail.
    Merci de votre aide pour éditer ces règles complémentaires.



  • Il est indispensable de limiter strictement le trafic sortant à ce qui est nécessaire. Les flux sortants sont pratiquement aussi dangereux que les flux entrants si ils sont mal contrôlés.
    Vous devez donc tout interdire en sortie sauf ce qui est nécessaire.
    Il serait souhaitable d'utiliser un proxy placé en dmz avec authentification. Vous pourriez finement contrpoler qui accède à quoi et quand.
    En attendant vous allez devoir interdire http et https (?) pour cet utilisateur sur la base de son adresse ip, ce qui est fort peu fiable.
    Mail : webmail ? ou protocole de messagerie ?



  • Merci de cette réponse. J'ai tardé à réagir car j'ai récupéré un vieux portable pour faire une installe de test. J'ai bien compris qu'un proxy serait mieux, mais je ne dispose pas d'autre poste pour l'installer. Est-il tout de même possible de l'installer à partir des packages sur le même poste que la pfsense (donc pas en dmz) ?



  • Il est possible d'installer Squid via les packages. Pour une utilisation de petite dimension (perso ?) il n' y aura pas de soucis.
    Concernant votre problème, si les postes ont des IP fixes, vous pourriez mettre un pensement avec deux simples règle en tête de vos règles de la carte LAN (avec l'utilisation de deux ou trois alias).

    position 1: Allow POSTE_A_BLOQUER vers SERVEUR_MAILS_ET_ANTIVIRUS sur PORTS_MAIL_WEB
    position 2: Deny POSTE_A_BLOQUER vers ANY
    … puis le reste de vos règles.



  • Merci pour votre réponse, et les précisions importantes pour m'aider (ordre des règles, etc.)
    J'utilise ceci dans une petite entreprise avec une vingtaine de postes et un portail captif pour les clients.

    Finalement, je me suis décidé à installer squid, squidgard et ligtsquid avec les packages. Les postes sont tous en IP fixes sauf les clients du portail captif.

    Pourquoi des alias, et comment les mettre en œuvres ?
    Comment trouver les serveurs antivirus pour nod32 ?
    Pour la messagerie, je pense qu'en utilisant l'adresse ip du serveur mail d'orange, cela devrait marcher.

    Merci



  • Les alias sont ESSENTIELS pour un paramétrage facile des règles firewall !

    Sans alias, il est difficile de lire les règles qui sont plus nombreuses et deviennent plus difficiles à modifier (gérer).

    Avec alias, il y a moins de lignes qui sont plus faciles à lire (si on prend la peine de "normer" les noms des alias).

    Il y a là une insuffisante lecture de la documentation de pfSense.

    Par ailleurs, selon l'utilisation, je/nous considérons souvent une limite de 10 utilisateurs pour garder Squid sur le firewall.
    Au delà de cette limite, il est temps de considérer un proxy dédié (et bien conçu).
    Au besoin on peut se tourner vers des distributions spécialisées comme Artica ou ClearOs …
    Mais une bonne Debian sera tout aussi efficace (si on y ajoute les bons programmes ...).
    (Et quelle satisfaction !)



  • Mon conseil sera exactement le même.


Log in to reply