DAPL >
?? On ne doit pas parler de la même chose.
Je parle de bloquer l'accès sortant http(s) aux serveurs relais depuis
les machines du réseau, c'est tout.
Ah, ok, désolé, j'avais effectivement pris le problème à l'envers :o)
Cela dit effectivement bloquer depuis ton LAN les sorties vers les
relais connus ne bloquera que les utilisateurs utilisant l'une des
application dont tu connais la plage IP des relais. (Il faut savoir
aussi qu'on peut soi-même monter un relais)
Un de tes utilisateur LAN qui mettrait par exemple VNC (ou un de ses
clones) serveur en mode 'se connecter à un client VNC' (le client vnc
chez lui étant en mode 'listen') pourra donc sortir par n'importe quel
port qu'il peut redéfinir à loisir. Pas de relais.
Mais ça nécessite quand même quelques connaissances (pas compliquées),
mais une volonté. Ce n'est pas l'utilisateur lambda qui le fera.
Le seul moyen effectif d'empêcher ce type d'utilisation est d'empêcher
l'utilisateur d'installer des applications sur sa machine.
Un autre moyen à mettre en place est d'utiliser la fonction de
date/heure des règles de FW: les règles qui concernent les sorties de
machines du LAN ne s'activent qu'aux heures ouvrables. C'est de toutes
façon une bonne sécu de base: les services qui n'ont pas besoin d'être
disponibles en 24/7 on "ferme la grille".
