Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Besoin de conseil : autorisation Windows Update

    Scheduled Pinned Locked Moved Français
    4 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S Offline
      SamY_42
      last edited by

      Bonjour à tous !

      J'ai besoin de vos lumières pour la mise en place d'une PfSense pour l'un de mes clients :

      -> Le matériel : Alix 2D13
      -> Le client : petite PME (une trentaine d'utilisateurs)
      -> La configuration : Basique. DHCP/DNS Forwarder. Pas de WSUS/AD/DNS chez le client…

      Le besoin : la mise en place d'un blocage pour 3 postes : (utilisé 24H/24, la nuit, etc...)

      • Poste configuré avec des IP fixes
      • L'accès au web doit être bloqué. A peu près. (surtout le porno)
        -> Sauf pour les mises à jour Windows/Avast + LogMeIn

      J'avais pensé à plusieurs solutions :

      --> Autorisation par FQDN :

      Pas top. PfSense ne gère pas les wildcards (normal). Les mises a jour Avast et Microsoft utilisent plein d'IP sur des FQDN différent (server126.windowsupdate.com, etc...)
      J'ai utilisé les URL fournis ici (http://technet.microsoft.com/en-us/library/bb693717.aspx), en espérant qu'avec le DNS Forwarder l'IP reste la même. ça marche pour le téléchargement des mises à jour. Mais j'ai des problèmes pour la recherche de nouvelles mises à jour et pour Avast, ça risque d'être pire.

      --> Autorisation par IP :

      En utilisant les ranges d'IP trouvé sur I-blocklist, il y a moyen d'autoriser les accès vers les serveurs de Microsoft. Mais pour Avast, c'est encore le même problème, faut trouver une liste d'IP, etc...

      --> La mise en place de Squid en mode transparent et castré (pas de logs, etc...) :

      J'ai sais : Firewall != Proxy. Squid sur Alix 2D13 = impossible (ou presque).
      La mise en place de Squid sur Alix, je l'ai déjà fait. (c'est pas top, mais ça marche).
      Ici, il n'y a pas de problème de gestion de blacklist : on bloque tous pour 3 IP sauf l'accès à quelques wildcards type "*.windowsupdate.microsoft.com"...
      ça "pourrait" le faire. (il n'y a que 3 postes)

      Pour l'instant, je m'oriente vers le Squid par soucis de facilité...

      Et vous, comment feriez-vous pour autoriser juste les mises à jours Windows/Avast pour quelques postes ?

      Merci d'avance pour vos réponses/conseils !  :D

      1 Reply Last reply Reply Quote 0
      • J Offline
        jdh
        last edited by

        (Bon exposé : il y a de la réflexion. Bien !)

        La réponse est dans la question :

        • Alix = petit cpu = bien adapté au firewall et pas adapté du tout à un proxy type Squid.
        • filtrage http = proxy = Squid = Squid + Blacklist/WhiteList

        De mon point de vue, il FAUT

        • un proxy dédié = le seul autorisé à accéder à Internet,
        • Wpad pour passer via le proxy avec la config minimale des navigateurs.

        Squid sur le proxy doit pouvoir identifier les 3 postes (via leur adresses ip) et accéder à une whitelist.
        Pour les autres, il auront la blacklist de Toulouse (parce que Adult n'est pas utile aux autres).

        De plus, un proxy est nécessaire au regard des obligations d'une entreprise en terme de fourniture d'accès à Internet.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C Offline
          ccnet
          last edited by

          Manifestement le problème est bien compris et les solutions vous les connaissez, tout comme les limitations de ce que vous avez envisagé.
          Pourquoi n'utilisez vous pas les bonnes solutions que vous connaissez ?
          Comme Jdh je pense qu'il y a des raisons (des bonnes) techniques pour utiliser le proxy dédié. Tout comme il y a des raisons tout aussi indéniables sur le plan juridique.

          1 Reply Last reply Reply Quote 0
          • S Offline
            SamY_42
            last edited by

            Bonjour,

            Merci pour vos retours !

            En effet, le must pour le contrôle des accès web reste le proxy dédié mais comme d'habitude avec ce genre de problème, le client n'a pas l'argent/le temps/l'envie de mettre en place une solution de proxy complète.

            C'est pourquoi j'étais parti sur l'idée d'un Squid utilisé au minimum… (juste pour trois utilisateurs, permettant l'accès quelques domaines)

            Pour l'instant, les 3 postes sont coupés d'Internet, mais cela pose des problèmes de sécurité (mises à jours Windows et Avast).

            Autoriser au niveau du firewall des FQDN avec un wildward comme par exemple "*.windowsupdate.com" aurait été LA solution, mais ça ne semble pas marcher...

            Il semble qu'à une époque, une build interne le permettait...
            (cf : https://forum.pfsense.org/index.php/topic,44264.msg231443.html#msg231443)

            Vous savez si il existe une méthode équivalente permettant de le faire ?

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.