Page 1 sur 21, 2 Suivant... restreindre l'accès à internet par liste blanche

[JosephK]

Je cherche un outils qui permette de gérer par liste blanche les sites web autorisés pour le labo de langue d'un lycée.

Dans le labo il y a un poste prof et une 20aine de postes élèves (évidemment sous windows malheureusement). Les élèves n'ont pas la possibilité d'installer des logiciels mais par contre, ils vont sur youtube ou sur des services de chat (dont le plus connu via des équivalents meebo puisque MSN est désinstallé) et leur astuce c'est d'activer le masquage automatique de la barre des taches pour ne pas se faire griller par les profs.
Il y a déjà le proxy de l'accadémie qui bloque pas mal de truc, mais vu que là il s'agit d'une salle dédié uniquement à l'études des langues ça serait pas mal de limiter l'usages des pcs aux seuls sites autorisés par les profs.
En fait, les profs utilisent internet comme un logiciel de langue, ils ne visitent que quelques sites qui contiennent des ressources pédagogiques (video, son et textes en anglais, espagnol...) et ça s'arrête là mais ça serait un peu compliqué d'aspirer les sites pour les mettre sur un serveur web local, sans parler des problèmes de droit.

Donc je pensais soit à un truc qui serait à installer sur tout les postes élèves (vu qu'ils ne peuvent pas installer ni désinstaller des programmes), soit à un logiciel de contrôle qui fonctionnerait via le post prof (sachant que le but n'est pas d'être en permanence sur le dos des élèves.
Le réseau est géré via Magret sur un serveur Windows 2003 mais je ne pense pas qu'on puisse le configurer de manière aussi précise et aussi spécifique.
Merci d'avance pour vos propositions.

[Mélodie]

Quelque chose comme ça et ça peut-être ?

[JosephK]

Finalement j'ai trouvé un truc qui peut être pas mal, c'est le logiciel de contrôle parental PrivoSquid (vu sur commentcamarche, le seul libre ?).
Il est très strict sur la liste blanche alors je ne sais pas si ça va plaire aux profs (une recherche sur google images donne rien par exemple).

En fait, c'est un proxy qu'on installe localement (cf Privoxy notice à déplacer je pense parce qu'à la rubrique Navigateur on est pas près de le trouver).
Donc soit on l'installe sur chaque poste sans rien configurer à part Firefox (proxy = localhost), soit on l'installe sur le poste prof et on se sert du poste prof comme proxy.

Les mauvais points :
Il est très facilement contournable avec Firefox (si quelqu'un sait comment empécher l'utilisateur de modifier la configuration de connection, il est le bienvenue... ?)
Et puis, il est très facile (en mode local) de contourner le mot de passe pour éditer la liste blanche dès lors qu'on fouille un peu mais chut... (globalement les windoziens ne fouille pas trop de toute façon hein )

Concernant OpenDNS, ça m'embête un peu de passer par un service tiers dont on ne sait pas grand chose en définitive, sachant qu'en plus il y a déjà le proxy de l'académie qui bloque plein de sites... après pour une configuration poussée je ne suis pas sûr que ça soit simple à mettre en oeuvre (parce que je ne gère le réseau que de manière limitée donc il y a beaucoup de trucs qui me passent au dessus)... mais merci en tout cas.

[Mélodie]

Et puis, il est très facile (en mode local) de contourner le mot de passe pour éditer la liste blanche dès lors qu'on fouille un peu mais chut... (globalement les windoziens ne fouille pas trop de toute façon hein )

Il ne manque pas de lycéens qui bidouillent.

[JosephK]

A priori, quand ils veront qu'il faut un mot de passe pour éditer la liste blanche ça devrait déjà les ralentir pas mal. Après il faut savoir où se trouve le fichier à éditer (moi je l'ai trouvé uniquement parce que je suis passé d'abord par l'interface d'admin qui indique clairement le nom du fichier), en plus je crois qu'ils n'ont pas accès au dossier Program Files (géré par Magret il me semble).

Mais de toute façon je pense que je vais plutôt l'installer sur le poste du profs et m'en servir comme paserelle pour accéder à internet auquel cas, le fichier ne sera pas accessible du tout par les élèves (et du même coup ça devrait permettre restreindre l'accès avec Firefox aussi quelque soit la configuration.)

[Téthis]

Si tu as la possibilité de mettre en place un vlan avec comme passerelle le poste maitre, ce serait totalement imparable.

En butinant sur Internet, on voit que l'on peut verrouiller les configurations de firefox avec un fichier firefox.cfg

Un cran de sécurité au-dessus

Il est aussi facile de rétablir dans Firefox la connexion direct à internet qu'il l'a été de configurer le passage via un proxy. Pour éviter que n'importe qui ne puisse contourner le passage via le filtre, nous allons verrouiller les préférences de connexion dans Firefox. Editez le fichier /usr/lib/firefox/firefox.cfg et ajoutez-y les lignes suivantes :

lockPref("network.proxy.type", 1); // 0 - Unset, 1 - Manual, 2 - Automatic, 3 - None
lockPref("network.proxy.http", "localhost");
lockPref("network.proxy.http_port", 8080);

Sauvez et redémarrez Firefox. Les options de configuration du proxy sous "Edit" -> "Preferences" -> Onglet "Général" -> "Paramètres de connexion" sont maintenant verrouillées.

http://www.bxlug.be/articles/292

Cela semble résoudre le problème de modification des paramètres proxy. Par contre pour MSN et autre gadgets, il faudrait carrément les supprimer des machines.

Plus de doc en anglois sur l'autoconfig/MCD : http://developer.mozilla.org/en/docs/MC ... ig#Firefox et plus simple : http://blog.enrii.com/2006/11/07/lock-f ... eferences/

Pas testé, toussa..

[yostral]

Ou si tu peux dédier un vieil ordi pour ça : IPCop + UrlFilter, ou advproxy. Imparable .

[JosephK]

Par contre pour MSN et autre gadgets, il faudrait carrément les supprimer des machines.

Ça, ça fait longtemps qu'ils n'y sont plus et le port est bloqué par le pare-feu mais WLM n'est pas indispensable pour chatter sur MSN

[Téthis]

Ça, ça fait longtemps qu'ils n'y sont plus et le port est bloqué par le pare-feu mais WLM n'est pas indispensable pour chatter sur MSN

Ha !? Passent-il par le net, sur du http ? Si oui il te suffira de mettre dans le fichier hosts (c:\Windows\system32\drivers\etc\hosts ou un truc dans le genre) la correspondance hôte 127.0.0.1. comme ça :

Code: Tout sélectionner

127.0.0.1 kikoulol.msn-zechat.fr *.msn.fr

Comme ça ils l'auront dur à franchir ce blocage.

[Mélodie]

Voir aussi le post de jc1 ici.

MSN utilise plusieurs ports suivant ce que l'on veut faire, chat, visio, transfert de fichiers.
Bloquer le chat est très dur,car si l'on bloque son port, il va passer par le port 80, le http (je pense que c'est "le port internet" Clin d'oeil).
Pour le bloquer voir ici : http://blog.eglis.com/index.php/post/20 ... uer-le-pro tocol-MSN
Une autre façon est d'installer sur le poste client proxomitron, il n'aime pas beaucoup cela "le gars MSN"