Installation d'un serveur PROXY

beberd · 12/06/2007, 15h40

Bonjour Messieurs,

Admin réseaux depuis peu je me retrouve confronter à un vrai casse-tête chinois.
Je dispose d'un parc d'environ 10 serveurs et de 30 postes.
Aujourd'hui devant la demande préssente de la direction on m'a esprécement demandé de mettre en place un système bloquant les chats et autres connexions malhonnêtes.

Actuellement mon réseau est organisé ainsi.

INTERNET-> FIREWALL ROUTEUR ->LAN
-> DMZ.

Comme mon poste l'indique je souhaite rajoutter sur cette architecture un PROXY server (jana je pense mes serveurs étant en Windows 2003).
Le soucis est que je n'ai suit pas sur d'où je dois le mettre.
En DMZ je dispose d'un serveur WEB et d'un serveur FTP. Mon idée était de rajoutter mon proxy içi.
Mais comme mon firewall matériel est un routeur j'ai configuré le NAT pour faire passer les trames mails, antivirus vers le LAN.
Ma question est donc, si je place mon PROXY dans la DMZ, dois-je reconfigurer mon routeur NAT ou pas ?

Est ce que une fois l'installation et la configuration sommaire de mon serveur PROXY, toutes les trames vont passer par celui-ci? ou vais-je devoir reconfigurer mon NAT pour tout faire passer par ce dernier?
Quel sera l'impact sur le fait que je souhaite héberger plusieurs sites à 1000 connexions jours en moyenne?

Je sais que ca fait beaucoup de question d'un coup mais je pense que certains içi ont la connaissance suffisante pour un peu m'éclairer !!!

Cordialement,

remy_74 · 13/06/2007, 08h46

Il me semble que tu te casses bien la tete ..
1. identifie les protocols "malhonnetes" pour la direction
2. Bloque les protocols malhonnetes sortants sur ton Firewall.
3. Prends un café, ca devrait le faire

Sinon,ton proxy ne changera pas grand chose, mais de toute facon si tu veux l'utiliser pour filtrer les conex sortantes je te conseille de le mettre sur ton LAN, de créer une statégie qui oblige le Proxy dans IE (attention aux autres navigateurs... ) . Ton proxy pourra alors utiliser l'authentification Windows et tu pourras mettre des regles de filtrage par utilisateurs ou groupes (Tout le monde sait que la direction a le droit de tout faire, mais pas les employés ..

)
Bon courage.

beberd · 13/06/2007, 10h33

Merci pour cette réponse.

J'avoue avoir penser à bloquer les ports utiliser par msn sur mon firewall.
Mais malheureusement cela ne s'arrête pas là. Certains employés ne cessent de se connecter sur des tchats de rencontre et autres et mon but est de bloquer ces sites là aussi.

D'où mon intérêt pour le proxy.
Par contre n'est il pas plus judicieux de le mettre en DMZ?

remy_74 · 13/06/2007, 10h49

Je ne pense pas que cela soit judicieux de le mettre dans la DMZ :
- Avec un proxy sur le lan, tu peux controler les accés (SQUID permet de controler les accés avec les groupes NT, comme un ISA serveur)
- Tu peux economiser des sessions NAT sur ton firewall.

Faire du NAT pour aller dans ta DMZ pour ensuite resortir de ta DMZ pour surfer ca fait un peu double emploi et risque de surcharger ton firewall. De plus si tu veux mettre en place des controles, ton proxy interogera ton serveur AD donc ca te fait aussi des sessions IP qui passeront via ton Firewall..
d'ou ma preference sur le LAN.

beberd · 13/06/2007, 11h05

Merci,

C'est pas faux!!!
C'était mon interrogation en fait par rapport à ça!!!
Selon toi le Proxy doit il être sur un serveur dédié? ou peut-il être sur un serveur utilisant une autre application?
Par contre comment ca va se passer avec mes applications présentes dans ma DMZ (serveur IIS par exemple).
A priori si la redierection est faite par le NAT je n'aurais pas besoin de modifier quelque chose vis à vis du proxy?
Le proxy ne servira qu'à mes utilisateurs en interne?
Par contre est ce que le proxy va avoir un impact sur mes différents serveurs (Messagerie, Antivirus...)?

Cordialement,

remy_74 · 13/06/2007, 11h12

Le proxy ne dervait avoir aucun impact sur tes autres applications. Il ne te faut pas changer la configuration de ton reseau mais uniquement les stratégies de conex a internet (donc IE et toute les applications sucéptible de surfer, faire du chat etc..)
Tu ajoute aussi quelques régles sur ton firewall pour bloquer les vilains protocols.
Pour ce qui est de savoir si tu dois avoir un serveur dédié a toi de voir sur ton existant. ISA serveur est trés gourmand en ressource, mais tu peux utiliser d'autre proxy.

beberd · 13/06/2007, 11h20

Je pensais plutôt me tourner vers un serveur JANA.
J'ai lu sur différents sites qu'il était simple d'utilisation et qu'il était pas trop lourd et que beaucoup le préconisait.

Pour le reste je vais essayer de configurer tout ça !!!
Merci pour toutes ces infos c'est gentil d'avoir pris le temps de répondre à tout ça!!!

Si j'ai un autre petit soucis je me permettrais de venir te déranger!!!

remy_74 · 13/06/2007, 11h35

ok bon courage.

freejobos · 14/06/2007, 17h26

Salut à tous,
@Beberd:
La question que tu dois te poser en bon admin, c'est qu'est ce que les clients sont sensé faire ??
Si c'est juste du surf sur le net pour avoir des prix, ou des info par exemple
tu coupes tous les ports sur ton firewall et tu laisses passer que le 80.
Il n'est pas utile et surtout stupide d'essayer de chercher les ports utiliser par chaque appli genre MSN, YAHOO etc... Il y en a tellement que tu ne pourras jamais tous les bloquer.
Donc, il faut prendre le probleme à l'envers. De quoi ont besoin les clients ??
Email et HTTP ??
Ben tu fermes tous tes ports et tu laisses le port 80(http),443(https),25(smtp) et 110(pop) + autres appli dont tu as besoin.
Voila.. Comme ca, pas la peine de te prendre la tete avec des proxy etc...
Freejobos

remy_74 · 14/06/2007, 17h30

Il veut faire du filtrage d'URL en plus .. Donc tout fermer ne sera qu'en partie la solution.

Citation:

Envoyé par freejobos

Salut à tous,
@Beberd:
La question que tu dois te poser en bon admin, c'est qu'est ce que les clients sont sensé faire ??
Si c'est juste du surf sur le net pour avoir des prix, ou des info par exemple
tu coupes tous les ports sur ton firewall et tu laisses passer que le 80.
Il n'est pas utile et surtout stupide d'essayer de chercher les ports utiliser par chaque appli genre MSN, YAHOO etc... Il y en a tellement que tu ne pourras jamais tous les bloquer.
Donc, il faut prendre le probleme à l'envers. De quoi ont besoin les clients ??
Email et HTTP ??
Ben tu fermes tous tes ports et tu laisses le port 80(http),443(https),25(smtp) et 110(pop) + autres appli dont tu as besoin.
Voila.. Comme ca, pas la peine de te prendre la tete avec des proxy etc...
Freejobos

beberd · 18/06/2007, 17h04

La solution proposé par freejobos est super interressante !!! Mais comme a répondu remy_74 mon souhait est de faire du filtrage d'URL d'où mon intérêt pour un proxy.
J'ai installé JANA SERVER et je pensais fermé les ports de msn messenger sur mon serveur!!!
Le soucis est que je ne souhaite pas m'amuser à récupérer tous les ports pour tous les fermés.
J'aurais espéré que mon Proxy me permette de filtrer les ports.
Ainsi les règles de blocage des ports seraient sur le firewall et répartie en fonction des utilisateurs (certaines personnes sont autorisées à utiliser skype pour communiquer en Hongrie).
J'attaque juste sur JANA SERVER et je fais fouiller voir si je trouve quelques choses me permettant de bloquer ces ports en fonction des utilisateurs.

beberd · 19/06/2007, 10h57

Bonjour,

Après divers recherche je n'ai rien vu me permettant de gérer mes ports par utilisateurs sous JANA SERVER.
Est ce quelqu'un serait en mesure de me guider à travers cette tâche?

Cordialement,

freejobos · 25/06/2007, 14h59

Citation:

Envoyé par beberd

Bonjour,

Après divers recherche je n'ai rien vu me permettant de gérer mes ports par utilisateurs sous JANA SERVER.
Est ce quelqu'un serait en mesure de me guider à travers cette tâche?

Cordialement,

Hello,
Je reviens de vacances, et je petes la forme

Bref, pour répondre à ta question, personnellement je la jouerais plutot comme ca.
2 niveau de firewall (soft): un où tu fermes le max de port et ne laisse passer que les flux souhaités pour les utilisateurs "normaux", et un autre avec moins de restrictions pour les utilisateurs comme le big boss et ses secretaires.

Sinon, la solution la plus radicale, c'est de mettre toutes les machines dans un domaine, et avec les GPO, tu donnes accès à l'execution que de certain programme (genre IE etc..) De cette facon, les utilisateurs ne pourront pas installer de conchoneries sur leurs machine et/ou utiliser des messenger et compagnie.

Solution finale: tu installes un soft de type http://www.naomifilter.org/index.html
Ce qui permet de filtrer les url et les recherches

Plutot utiliser pour les enfants, mais des fois ca peut servir

12/06/2007, 15h40	#1
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Installation d'un serveur PROXY Bonjour Messieurs, Admin réseaux depuis peu je me retrouve confronter à un vrai casse-tête chinois. Je dispose d'un parc d'environ 10 serveurs et de 30 postes. Aujourd'hui devant la demande préssente de la direction on m'a esprécement demandé de mettre en place un système bloquant les chats et autres connexions malhonnêtes. Actuellement mon réseau est organisé ainsi. INTERNET-> FIREWALL ROUTEUR ->LAN -> DMZ. Comme mon poste l'indique je souhaite rajoutter sur cette architecture un PROXY server (jana je pense mes serveurs étant en Windows 2003). Le soucis est que je n'ai suit pas sur d'où je dois le mettre. En DMZ je dispose d'un serveur WEB et d'un serveur FTP. Mon idée était de rajoutter mon proxy içi. Mais comme mon firewall matériel est un routeur j'ai configuré le NAT pour faire passer les trames mails, antivirus vers le LAN. Ma question est donc, si je place mon PROXY dans la DMZ, dois-je reconfigurer mon routeur NAT ou pas ? Est ce que une fois l'installation et la configuration sommaire de mon serveur PROXY, toutes les trames vont passer par celui-ci? ou vais-je devoir reconfigurer mon NAT pour tout faire passer par ce dernier? Quel sera l'impact sur le fait que je souhaite héberger plusieurs sites à 1000 connexions jours en moyenne? Je sais que ca fait beaucoup de question d'un coup mais je pense que certains içi ont la connaissance suffisante pour un peu m'éclairer !!! Cordialement,
	00

13/06/2007, 10h33	#3
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Merci Merci pour cette réponse. J'avoue avoir penser à bloquer les ports utiliser par msn sur mon firewall. Mais malheureusement cela ne s'arrête pas là. Certains employés ne cessent de se connecter sur des tchats de rencontre et autres et mon but est de bloquer ces sites là aussi. D'où mon intérêt pour le proxy. Par contre n'est il pas plus judicieux de le mettre en DMZ?
	00

18/06/2007, 17h04	#11
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Proxy La solution proposé par freejobos est super interressante !!! Mais comme a répondu remy_74 mon souhait est de faire du filtrage d'URL d'où mon intérêt pour un proxy. J'ai installé JANA SERVER et je pensais fermé les ports de msn messenger sur mon serveur!!! Le soucis est que je ne souhaite pas m'amuser à récupérer tous les ports pour tous les fermés. J'aurais espéré que mon Proxy me permette de filtrer les ports. Ainsi les règles de blocage des ports seraient sur le firewall et répartie en fonction des utilisateurs (certaines personnes sont autorisées à utiliser skype pour communiquer en Hongrie). J'attaque juste sur JANA SERVER et je fais fouiller voir si je trouve quelques choses me permettant de bloquer ces ports en fonction des utilisateurs.
	00

19/06/2007, 10h57	#12
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Problèmes de gestion des ports Bonjour, Après divers recherche je n'ai rien vu me permettant de gérer mes ports par utilisateurs sous JANA SERVER. Est ce quelqu'un serait en mesure de me guider à travers cette tâche? Cordialement,
	00

13/06/2007, 08h46	#2
remy_74 Membre habitué Inscription : avril 2007 Messages : 124 Détails du profil Informations forums : Inscription : avril 2007 Messages : 124 Points : 135 Points : 135	Il me semble que tu te casses bien la tete .. 1. identifie les protocols "malhonnetes" pour la direction 2. Bloque les protocols malhonnetes sortants sur ton Firewall. 3. Prends un café, ca devrait le faire Sinon,ton proxy ne changera pas grand chose, mais de toute facon si tu veux l'utiliser pour filtrer les conex sortantes je te conseille de le mettre sur ton LAN, de créer une statégie qui oblige le Proxy dans IE (attention aux autres navigateurs... ) . Ton proxy pourra alors utiliser l'authentification Windows et tu pourras mettre des regles de filtrage par utilisateurs ou groupes (Tout le monde sait que la direction a le droit de tout faire, mais pas les employés .. ) Bon courage.
	00

13/06/2007, 10h49	#4
remy_74 Membre habitué Inscription : avril 2007 Messages : 124 Détails du profil Informations forums : Inscription : avril 2007 Messages : 124 Points : 135 Points : 135	Je ne pense pas que cela soit judicieux de le mettre dans la DMZ : - Avec un proxy sur le lan, tu peux controler les accés (SQUID permet de controler les accés avec les groupes NT, comme un ISA serveur) - Tu peux economiser des sessions NAT sur ton firewall. Faire du NAT pour aller dans ta DMZ pour ensuite resortir de ta DMZ pour surfer ca fait un peu double emploi et risque de surcharger ton firewall. De plus si tu veux mettre en place des controles, ton proxy interogera ton serveur AD donc ca te fait aussi des sessions IP qui passeront via ton Firewall.. d'ou ma preference sur le LAN.
	00

13/06/2007, 11h05	#5
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Merci, C'est pas faux!!! C'était mon interrogation en fait par rapport à ça!!! Selon toi le Proxy doit il être sur un serveur dédié? ou peut-il être sur un serveur utilisant une autre application? Par contre comment ca va se passer avec mes applications présentes dans ma DMZ (serveur IIS par exemple). A priori si la redierection est faite par le NAT je n'aurais pas besoin de modifier quelque chose vis à vis du proxy? Le proxy ne servira qu'à mes utilisateurs en interne? Par contre est ce que le proxy va avoir un impact sur mes différents serveurs (Messagerie, Antivirus...)? Cordialement,
	00

13/06/2007, 11h12	#6
remy_74 Membre habitué Inscription : avril 2007 Messages : 124 Détails du profil Informations forums : Inscription : avril 2007 Messages : 124 Points : 135 Points : 135	Le proxy ne dervait avoir aucun impact sur tes autres applications. Il ne te faut pas changer la configuration de ton reseau mais uniquement les stratégies de conex a internet (donc IE et toute les applications sucéptible de surfer, faire du chat etc..) Tu ajoute aussi quelques régles sur ton firewall pour bloquer les vilains protocols. Pour ce qui est de savoir si tu dois avoir un serveur dédié a toi de voir sur ton existant. ISA serveur est trés gourmand en ressource, mais tu peux utiliser d'autre proxy.
	00

13/06/2007, 11h20	#7
beberd Membre du Club Inscription : novembre 2006 Messages : 120 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 120 Points : 55 Points : 55	Je pensais plutôt me tourner vers un serveur JANA. J'ai lu sur différents sites qu'il était simple d'utilisation et qu'il était pas trop lourd et que beaucoup le préconisait. Pour le reste je vais essayer de configurer tout ça !!! Merci pour toutes ces infos c'est gentil d'avoir pris le temps de répondre à tout ça!!! Si j'ai un autre petit soucis je me permettrais de venir te déranger!!!
	00

13/06/2007, 11h35	#8
remy_74 Membre habitué Inscription : avril 2007 Messages : 124 Détails du profil Informations forums : Inscription : avril 2007 Messages : 124 Points : 135 Points : 135	ok bon courage.
	00

14/06/2007, 17h26	#9
freejobos Invité régulier Inscription : juin 2007 Messages : 8 Détails du profil Informations forums : Inscription : juin 2007 Messages : 8 Points : 7 Points : 7	Salut à tous, @Beberd: La question que tu dois te poser en bon admin, c'est qu'est ce que les clients sont sensé faire ?? Si c'est juste du surf sur le net pour avoir des prix, ou des info par exemple tu coupes tous les ports sur ton firewall et tu laisses passer que le 80. Il n'est pas utile et surtout stupide d'essayer de chercher les ports utiliser par chaque appli genre MSN, YAHOO etc... Il y en a tellement que tu ne pourras jamais tous les bloquer. Donc, il faut prendre le probleme à l'envers. De quoi ont besoin les clients ?? Email et HTTP ?? Ben tu fermes tous tes ports et tu laisses le port 80(http),443(https),25(smtp) et 110(pop) + autres appli dont tu as besoin. Voila.. Comme ca, pas la peine de te prendre la tete avec des proxy etc... Freejobos
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email