Je sais que l'on est sur Mandrake, mais j'utilise sur mon reso une RED Hat
made in www.e-smith.org
bien fait, vite mis a jour sur demande, je ne peux que lui vouloir du bien.
A voir ...
-----Original Message-----
From: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]]On Behalf Of Hervé Lefebvre
Sent: Friday, January 26, 2001 4:15 PM
To: [EMAIL PROTECTED]
Subject: Re: [debutant] Partage de connexion Internet via Routeur
En réponse à Jean-Louis HAILLANT <[EMAIL PROTECTED]>:
> Excusez moi ... je n'ai pas été clair...
>
> Actuellement les utilisateurs ont accès à Internet directement par le
> routeur. Il n'existe aucune limitation quand aux heures de connexion, on
> ne
> peut pas savoir quels sont les postes qui surfent...
>
> Ce que j'aimerais, c'est installer un proxy sur Linux afin de gérer les
> connexions... fixer des horaires...
>
> Actuellement les seules docs que j'ai pu trouver sur le sujet parlaient
> de
> connexion par modem...
La methode classique est de passer par une passerelle. CAD une machine LINUX
qui
a 2 cartes réseaux :
INTERNET +--------------+
<------->ROUTEUR<--->eth0! PASSERELLE !eth1<--------->RESEAU LOCAL
+--------------+
Le réseau local utilisera une tranche d'adresses privées : classiquement
192.168.x.x
Le noyeau de la passerelle est configuré afin de gérer l'IP FORWARDING et
l'IP
MASQUERADING.
La table de routage ressemble a la chose suivante
Destination Passerelle Genmask Indic MSS Fenêtre irtt
Iface
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0
eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 IP_ROUTEUR 0.0.0.0 UG 0 0 0
eth0
Ensuite, avec IPCHAINS, on interdit tout ce qui est en provenance de
192.168.x.x
et à destination d'autre chose que la passerelle.
Ensuite, installer un proxy sur la passerelle (squid par exemple).
Voilà, comme ca ca devrait le faire :
- Personne ne peut sortir sans passer par le proxy SQUID
- SQUID peut logger l'activité
- Aucune connexion en provenance de l'INTERNET n'est possible sur un poste
du
réseau local.
Attenton néanmoins, tout interdire avec IPCHAINS est un peu brutal, si les
postes doivent pouvoir aller consuler leur email sur un serveur externe, il
faudra ouvrir le port 110 (POP), de même il faudra aussi probablement ouvrir
les
ports DNS.
Ca répond à la question ??
--
H.Lefebvre [EMAIL PROTECTED]
LINUX : Ne jetez plus votre argent par les fenêtres !
