Bonjour,
Tout d'abord, un grand Merci à tous pour m'avoir répondu une fois encore.
(je suis conscient de passer pour un "gros épais" ou autre "gros paresseux du G**gle"... (surtout quand
Jibe s'en mêle et s'acharne à souligner chacune de mes lacunes (ne pas le prendre trop mal, hein?
) et que cela est parfois si démotivant...
Enfin, il faut faire avec
et j'invite à ouvrir un autre sujet pour débattre là-dessus car ce n'est pas la question ouverte dans ce fil.)
Désolé de ne répondre que si tardivement mais comme beaucoup d'entre-nous (enfin j'espère), j'ai aussi une vie à mener dans le monde "réel".
@ Jibe:jibe a écrit:Salut,
Tu veux toujours un tas de trucs qui n'ont pas forcément de relation entre eux, ou qui ont celles du beurre et de l'argent du beurre (ceci ne semblant pas être le cas ici)
Non, pas vraiment mais je comprends mieux pourquoi ç coince souvent entre nous.
jibe a écrit:Bon, du coup je n'ai pas trop compris (pas trop cherché non plus
) ce que tu voulais. Essaie de voir du côté du serveur radius (prévu sur SME et qu'il te "suffit d'activer") et de certaines contribs qui te donnent des stats assez détaillées de ce qui se passe dans ta SME.
OK, ce sera une occasion pour moi de réduire mon ignorance sur ce qui se cache derrière "radius" qui, pour moi, actuellement, me semble plus rattaché à la sécurité d'un réseau sans fil mais pas seulement d'après certaines lectures récentes.
jibe a écrit:Tu as aussi des logs, et parmi ceux-ci les connexions réussies ou non. Selon ce que tu veux faire, il te suffit peut-être d'un petit script qui les exploite...
C'est aussi ce à quoi je pensais. Pas simple mais plus accessible à mes actuelles compétences que d'aller programmer je ne sais quoi en C, C++, etc... pour aller chercher directement les information à la source.
L'inconvénient de taille : un changement de format des informations logguées et tout mon édifice à base de scripts risque de "planter"...
jibe a écrit:Bref, si tu regardais un peu ce qui existe, tu pourrais au moins nous dire "j'ai vu telle contrib, c'est un peu ça que je cherche, mais elle ne me convient pas vraiment pour telle et telle raisons". Au moins, on comprendrait mieux ce que tu veux, on saurait ce que tu as déjà cherché... et peut-être tout simplement que tu trouverais ton bonheur sans avoir besoin d'appeler au secours
Oui, tu as bien raison puisuqe c'est un peu aussi dans ce sens (enfin, à te lire, j'en doute moi-même un peu maintenant) que j'avais formulé (peut-être pas aussi parfaitement que tu l'aurais souhaité) ma requête.
J'ai besoin de pistes pour savoir quoi chercher précisément car des réponses, "l'ami G." en est rarement à court mais, après cela, est-ce "relevant" (in English) à ce que je cherche, précisément ?
Pas assez souvent pour moi.
jibe a écrit:Et si tu as du mal à faire parler Google, tu peux peut-être
voir de ce côté
Je te remercie de me faire partager l'existence de cet ouvrage. Je sais maintenant quoi me faire offrir pour Noël.
Bon, sérieusement, mon problème avec G**gle, c'est plus de savoir quoi chercher (ce que je demande, en fait) que d'aller sur le site en question et poser une question.
(j'aurais peut-être dû venir au monde en tant que "programme" et non humain dans la "Matrice"... Qui sait ?)
Bon, très sérieusement cette fois :
@ sibsib:sibsib a écrit:Hello,
Hors SME, je crois voir à peu près ce qu'il te faut :
Si je tentes de résumer ce que j'ai compris :
1) tu as besoin de savoir ce que les machines de ton LAN font à ton SME (et çà, de la manière la plus automatique possible)
2) Tu as besoin de filtrer (par adresse MAC, parce que tu ne maitrise pas leur IP) les machines qui en font un peu trop
J'en aurais presque les larmes aux yeux : Enfin quelqu'un qui comprends ce que je veux dire !
Aller, j'arrête mes bêtises ou je vais avoir droit à un ouragan de la part de notre ami J. (ne pas confondre avec l'ami G.
).
sibsib a écrit:Pour le point 1, tu peux éventuellement te contenter d'utiliser IPtables en mode enregistrement (uniquement à l'établissement de session, sinon tu vas tuer ta machine !)
Avantage : tu as tout ce qu'il faut 'dans la boite' il suffit de demander à Google les lignes IPtables qui t'intéressent.
Inconvénient... Ben c'est tout sauf convivial !
Impécable !
Pas besoin d'installer quoi que ce soit, juste lire, filtrer, etc... via scripts PHP (j'aurais un peu moins de difficulté qu'avec PERL, Python, etc...)
Mais, effectivement, c'est d'une autre convivialité !
sibsib a écrit:Après, hors SME, je me tournerais vers netflow (qui est un 'protocole', pas un soft, mais qui génère une ligne par connexion établie ou tentée, avec ip source/destination, port source/destination, heure de début heure de fin, volume échangé.). A la base un protocole Cisco, mais qui est devenu un 'standard', il existe des implémentations Linux gratuites et je crois même open source. Mais là, il y a probablement un peu de boulot pour le 'rentrer dans la boite' (et je ne me souviens plus si dans les versions actuelles de netflow, l'adresse MAC fait partie des champs que l'on peut remonter.)
Ah !
Cela me plaît beaucoup également. Sauf mauvaise interprétation de ma part, si l'adresse MAC n'est pas "remontée" dans les logs, cela signifierait donc que les deux approches seront complémentaires, dans mon cas.
sibsib a écrit:Voici deux approches, mais, comme te le dit Jibé, il faudrait déjà que tu prennes le temps de souffler et de bien définir ton besoin
après, il existe probablement d'autres réponses à la question.
Je suis tout à fait d'accord.
C'est aussi pourquoi je vais avoir du mal à fournir de la lecture "intéressante" (?) sur mes prochaines expérimentations sur ce sujet.
Je vais prendre le temps (enfin, je rêve encore que ce soit possible...
(et, c'est, là, une énorme différence entre "actifs" et "retraités"...)
) de mettre tout ça bien à plat, de faire le tour de la question et des solutions suggérées et aussi quelques tests avant de mettre tout ça en oeuvre sans casser tout mon serveur.
Désolé pour
Jibé si je l'ai un peu "mal mené" au préalable mais, il ne prend pas non plus trop de gans avec moi.
Cela dit, j'avais bien compris où il voulait en venir.
[/quote]Pour le point 2, dans ton verbage, je n'ai pas compris si tu voulais bannir complètement une adresse MAC, ou si en plus, tu souhaites filtrer en fonction de la MAC source et du protocole de destination, mais saches que iptables sait faire les deux.[/quote]Ca, c'est une réponse comme je les aime : Concise, facile à comprendre et anticipatrice et sur mesure !
En fait, ce sera du cas par cas.
Pour certaines machines, je sais déjà que ce sera du 100% banni.
Pour les autres, effectivement, selon "qui" et quel protocole, j'appliquerai la restriction automatisée, elle, qui va bien.
Maintenant, si les deux sont possible via
IPtables, ça me motive vraiment à mettre mon nez dans la doc plutôt que de rester un "newbie" et excellent client pour SME basique juste "sortie de l'emballage".
Je te remercie donc également pour cela.
sibsib a écrit:Il reste à écrire le script qui rentre la règle idoine dans iptables (pourquoi pas en 'semi automatique', on pourrait imaginer une page web qui t'afficherait le résultat du point 1) avec des lignes à cocher pour réaliser le point 2) )
Vraiment, je me demande si tu n'as pas une boule de crystal ou si ce n'est pas Mme Irma qui se cache derrière ce pseudo.
C'est exactement mon idée de départ :
une page Web générée par script(s) PHP pour avoir une liste des machines cherchant à se connecter et savoir "qui" (=MAC + Nom de la machine), pour "quoi faire" (=protocole (HTTP(S), SMB, SSH, etc...), depuis "où" (=adresse IP) et, ce, avec quel comportement pour les "inconnues" (comme les "connues") => nombre et durée de connexion(s), quels protocoles si plusieurs tentés, etc...
@ fleib :fleib a écrit:Sinon, tu peux utiliser l'excellent NTOP (
vue d'ensemble) pour visualiser/filtrer le trafic réseau qui est compatible avec un gamme plus large de commutateurs sFlow que NetFlow.
Il existe une contrib SME:
iciBon courage
Je te remercie pour ce partage.
Je pense que je vais tenter plusieurs des solutions citées / suggérées avant de me lancer.
J'ai toutefois une préférence pour une solution "improvisée" sur mesure (compte tenu de mon besoin
personnel).
De plus, la contribution
NTOP pour SME semble être une version "bêta" (selon
mon interprétation de la mise en garde concernant le comportement étrange lors de l'initialisation).
Dans tous les cas, bien Merci à tous pour cette mise en piste.
Maintenant, sauf nouvelle suggestion (toujours bienvenue) de solution à essayer ou à creuser, je dirais que ce fil va devoir attendre mon "REX" (Retour d'EXpérience, pas un "monstre" sanguinaire avide de chère fraîche et "innocente"...
)
Bon dimanche après-midi aux Frenchies !
Cordialement,
HP
P.S.
Au cas où cela ne transpirerait pas, je ne suis pas fâché avec
Jibé, du moins, pas encore.
C'est plus de la "private joke" qu'autre chose, à mon sens en tous cas.
A+
Jibé !
Donc, ma question devient plutôt, dans le cas présent, :
comment lister les adresses MAC et les noms de machines qui se connectent à mon serveur ?
