Gestion volume
-
Bonjour à tous!
Jeune novice sur le forum, je vous remercie déjà pour l'outil qu'est pfsense et l'accès à un forum en français.
(La langue de Shakespeare c'est bien mais pour se faire comprendre…)Je vous raconte un peu mon histoire.
Je suis prof dans une école et aimant bien bricoler etc j'ai pris sur moi de gérer l'accès à internet, surtout que la personne qui s'en occupez précédemment n'est plus là.
Cette personne avait mis en place un système monowall avec une bonne couverture de certaines parties du bâtiment avec du câble. (qui fonctionne toujours maintenant)Mais les besoins évoluant, de plus en plus d'étudiants viennent avec leur portable, l'installation d'un wifi devient donc indispensable.
Cette année nous nous sommes débrouillé en installant juste une borne dans une des sections (qui en a le plus besoin) et en changeant de temps en temps la clé wap pour éviter un trop gros ralentissement.
Problème, les autres étudiants désirent avoir accès à l'internet, ce qui pourrait faire presque 100 étudiants connectés en même temps.
Et donc la connexion fournie risque de le sentir fortement.
Le système de gestion de bande passante pourrait déjà pas mal m'aider mais la chose qui m'inquiète le plus est le téléchargement de gros fichiers, le p2p etc.
J'ai déjà pas mal cherché pour trouver un outil de gestion wi-fi style captive portal pour gérer les utilisateurs (du style wifi dog, chilihotspot, monowall etc) mais je n'en ai trouvé aucun pour la gestion de quota ou volume par utilisateur.
Je suis alors tombé sur un post d'un forum disant que la chose serait implémentée dans la version 2.0 de pfsense.
J'ai alors d'abord testé la version 1.2.3, pas mal du tout.
Puis je suis passé à la version 2.0 et je n'ai malheureusement pas trouvé la gestion du volume?
Est-ce que j'ai mal cherché ?
Ou est-ce un package supplémentaire ?Si là chose n'existe pas, que me conseillez vous de faire ?
Un grand merci d'avance pour votre temps et vos réponses.
-
en changeant de temps en temps la clé wap pour éviter un trop gros ralentissement.
WEP ou WPA ?
Si la QoS peut vous aider, une grosse partie de vos besoins sont du ressort d'un proxy. Le proxy peut être considéré comme indispensable pour des raisons de sécurité et plus encore dans un établissement scolaire où il n'est pas question que les étudiants accèdent à n'importe quoi. L'utilisation de blacklists me parait indispensable dans votre cas. Ce proxy sera placé dans une dmz. Il pourra être construit sur une distribution Debian avec Squid, SquidGuard et les utilitaires qui vont bien pour les statistiques, la consultation des journaux etc … Dans votre cas je vois mal comment vous pouvez vous passer de la mise en place d'une authentification des utilisateurs accédant à internet. Si elle n'est pas en place vous êtes en contravention avec la loi.
Je vous recommande la lecture des informations disponible sur le site de squid. www.squidcache.org -
en changeant de temps en temps la clé wap pour éviter un trop gros ralentissement.
WEP ou WPA ?
Wpa (petite distraction)
Mais c'était vraiment pour ne pas laisser l'accès sans protection.
Un grand merci pour votre remarque, j'ai déjà un peu regardé ce que squid (proxy) peut offrir, cela semble fort intéressant mais n'était pas un expert en programmation, je m'inquiète un peu de ne pouvoir le configurer facilement. J'ai déjà monté un petit serveur sous ubuntu en utilisant la console. C'était pas facile.
Maintenant je m'étais tourné vers un outil de captive portal pour plus de facilité avec une interface de gestion et d'utilisateurs.Maintenant pour plus de facilité et pour voir si pfsense est plus ou pas intéressant que la mise en place d'un proxy, voici ce à quoi je voudrais arriver:
Les ordinateurs de l'école auraient un accès directe à internet (pas de restrictions, quotas, indentification,…)
Les personnes qui auraient un portables devraient lorsqu'elle se connectent à internet entrer un nom d'utilisateur et un mot de passe précédemment fournis.
Ce système gèrerait les heures d'autorisation de connexion (par exemple 8h à 18h en semaine), les différents accès possible en fonction du groupe (administrateur, secrétariat, prof, étudiants,...),
la gestion de la bande passante, et la gestion d'un quota pour éviter le téléchargement intempestif. (par exemple 100mo par semaine)Étant donné que le système actuel repose sur monowall, je m'étais dirigé dans cette direction, mais si vous me confirmez qu'un proxy est plus adapté, j'essayerai cette solution.
Pensez-vous qu'il soit indispensable que toutes les machines (même celles de l'école) nécessite une identification pour se connecter à internet (login, mdp) afin de surveiller et éviter les abus?
Par rapport au fait de se mettre en infraction face à la loi, la politique de l'école (et de la direction) n'est pas prise à ce sujet.
J'ai un peu cherché sur internet si il y a avait des textes précis mais je n'ai pas trouvé. Pour informations l'école est en Belgique.
Et donc je ne pense pas pouvoir imposer de mon propre chef le filtrage (et où trouver des listes d'adresses frauduleuses, sites, mots-clés,...)
Mais si c'est la loi, il faudra bien sur le faire !Qu'en pensez-vous ?
Merci
-
… j'ai déjà un peu regardé ce que squid (proxy) peut offrir, cela semble fort intéressant mais n'était pas un expert en programmation, je m'inquiète un peu de ne pouvoir le configurer facilement. J'ai déjà monté un petit serveur sous ubuntu en utilisant la console. C'était pas facile.
Pour un proxy plus ou moins clé en main, il y a ClearOS, eBox et Artica.
-
Sur la difficulté de configuration de Squid, considérez effectivement la réponse de Titofe. Cela dit ce n'est pas de la programmation mais un fichier de texte (squid.conf) pour le paramétrage. Il existe de très nombreuses documentations sur internet.
Le firewall, le proxy et le portail captif sont trois outils différents, complémentaires sous l'angle de la sécurité. Si il y a des zones de recouvrement, ils ne sont pas substituables ni sur le plan fonctionnel, ni sur le plan de l'architecture réseau.
Compte tenu de ce que vous décrivez de vos besoins les trois sont nécessaires.
Je pense que l'accès direct à internet pour les ordinateurs de l'école est une erreur. Une machine directement connecté à internet, sans mandataire (proxy) est assez fortement exposée. Sa compromission peut entrainer celle de tout le réseau.
Authentifier les utilisateurs et enregistrer les logs me semble indispensable indépendamment de la législation.
Les réseaux filaires et wifi devrait être distincts et connectés chacun à une interface du firewall avec un numéro de réseau propre. Le firewall se chargeant du routage nécessaire entre les zones. Le proxy doit être dans une dmz. Avec la connexion internet cela nous fait 4 interfaces réseau pour une architecture propre. Le proxy sait gérer des droits différents selon les utilisateurs.
Pour les questions de bande passante : http://www.faqs.org/docs/Linux-HOWTO/Bandwidth-Limiting-HOWTO.html par exemple.
Je ne connais pas la législation belge. Mon commentaire ne vaut que pur celle en vigueur en France. Toutefois si elle est similaire la politique de sécurité de la direction ne saurait être, au minimum, qu' en accord avec la loi mais en aucun cas en deçà.
-
Sur la difficulté de configuration de Squid, considérez effectivement la réponse de Titofe. Cela dit ce n'est pas de la programmation mais un fichier de texte (squid.conf) pour le paramétrage. Il existe de très nombreuses documentations sur internet.
En effet en cherchant un peu il y a toujours moyen de comprendre.
Je vais donc sans doute essayer de commencer avec squidLe firewall, le proxy et le portail captif sont trois outils différents, complémentaires sous l'angle de la sécurité. Si il y a des zones de recouvrement, ils ne sont pas substituables ni sur le plan fonctionnel, ni sur le plan de l'architecture réseau.
Compte tenu de ce que vous décrivez de vos besoins les trois sont nécessaires.
Je comprend bien la chose, mais j'hésite au niveau des paramétrages et des points de recouvrement, comme vous dites.
Pourriez-vous préciser?Par exemple, si j'utilise un proxy, j'imagine qu'il gèrera quasiment tout sur les utilisateurs.
Lui qui imposera le log sur toutes les machines (portables et fixes), limitation bande passante et volume, filtrage des sites.Le firewall sera à la base de tout. (pas de gestion utilisateurs…)
Mais comment viendra se placer le captive portal? Juste pour la gestion du wi-fi?
La gestion des utilisateurs ne devant pas être dédoublée j'imagine.Je pense que l'accès direct à internet pour les ordinateurs de l'école est une erreur. Une machine directement connecté à internet, sans mandataire (proxy) est assez fortement exposée. Sa compromission peut entrainer celle de tout le réseau.
Authentifier les utilisateurs et enregistrer les logs me semble indispensable indépendamment de la législation.
Je vais voir dans cette optique là.
Les réseaux filaires et wifi devrait être distincts et connectés chacun à une interface du firewall avec un numéro de réseau propre. Le firewall se chargeant du routage nécessaire entre les zones. Le proxy doit être dans une dmz. Avec la connexion internet cela nous fait 4 interfaces réseau pour une architecture propre. Le proxy sait gérer des droits différents selon les utilisateurs.
Excusez moi mais qu'est ce qu'une dmz ?
Pour les questions de bande passante : http://www.faqs.org/docs/Linux-HOWTO/Bandwidth-Limiting-HOWTO.html par exemple.
Je ne connais pas la législation belge. Mon commentaire ne vaut que pur celle en vigueur en France. Toutefois si elle est similaire la politique de sécurité de la direction ne saurait être, au minimum, qu' en accord avec la loi mais en aucun cas en deçà.
En effet vous devez sans doute avoir raison !
Merci beaucoup pour vos précieuses remarques.
-
-
Okay j'ai encore appris un truc comme ça ! :D
-
http://doc.m0n0.ch/handbook-single/#id11642769