Filtrage horaire sur SME 7

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Filtrage horaire sur SME 7

Messagepar dwr » 15 Déc 2007 00:36

Question simple...

Je veux bloquer l'accès à internet (depuis les postes clients du réseau) entre 23h et 5h du matin sur mon SME installé en passerelle.

It is possible ?
Contrib kk part ?

Crontab qui envoi la bonne commande ?


Any suggestion is welcome :)
dwr
Matelot
Matelot
 
Messages: 4
Inscrit le: 15 Déc 2007 00:33

Messagepar Gaston » 15 Déc 2007 23:42

bsoir,
squid + acl appropriées un peu comme ce qui a été discuté ici : http://forums.ixus.fr/viewtopic.php?t=2 ... +acces+net

il y a peut etre aussi une contrib de dungog, mais à priori le serveyr a des soucis en ce moment.
G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Filtrage horaire sur SME 7

Messagepar dwr » 16 Déc 2007 01:40

Merci je vais tester Squid !
dwr
Matelot
Matelot
 
Messages: 4
Inscrit le: 15 Déc 2007 00:33

Messagepar psykolivier » 16 Déc 2007 15:56

Dans une crontab (en tant que root), à 23h:

Code: Tout sélectionner
iptables -I FORWARD -j REJECT


... et à 5h:

Code: Tout sélectionner
iptables -D FORWARD -j REJECT

ou
Code: Tout sélectionner
iptables -D FORWARD 1


That's it !
OpenBSD4
|
DMZ --- Debian Etch, RAID 1 - mail
LAN --- SuSE Linux x2

Drug is bad, m'key !
http://www.nosoftwarepatents.com/
Avatar de l’utilisateur
psykolivier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 11 Sep 2004 12:12
Localisation: Camelot

Filtrage horaire sur SME 7

Messagepar dwr » 16 Déc 2007 22:14

Ha sympa le Cron !

Je vais testé parce-que le Squid n'à pas l'air de marcher...

Bon j'ai du faire une erreur dans mon template, mais de toute façon je préfère les commandes de base façon Cron :P
dwr
Matelot
Matelot
 
Messages: 4
Inscrit le: 15 Déc 2007 00:33

Filtrage horaire sur SME 7

Messagepar dwr » 16 Déc 2007 22:23

Hé, ben whoulà !

Un bon vieux CronTab ave les commandes qui faut et ça marche !

Merci beaucoup !
dwr
Matelot
Matelot
 
Messages: 4
Inscrit le: 15 Déc 2007 00:33

Messagepar Gaston » 17 Déc 2007 01:14

ça me parait néanmoins un peu brutal :shock: et les acls plus adaptés, mais c'est toi qui connait tes besoins exacts et les problèmes rencontrés
G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar Pabze » 17 Déc 2007 11:04

Bonjour,

Je vais testé parce-que le Squid n'à pas l'air de marcher...

Je confirme... sur SME7 les acl de squid fonctionne toujours...
Il faut juste adapter à tes horaires... Pourquoi pas ou vu de la règle iptables citées, faire carrément un service squid stop aussi ...

Pabze :shock:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar jibe » 19 Déc 2007 21:53

Salut,

Gaston a écrit:ça me parait néanmoins un peu brutal :shock:

Et pourquoi donc ?

énoncé du problème a écrit:Je veux bloquer l'accès à internet (depuis les postes clients du réseau) entre 23h et 5h du matin sur mon SME installé en passerelle.

La méthode de psykolivier me parait tout à fait adaptée (de même que celle suggérée par Pabze !) ? Si quelque chose est brutal, c'est le blocage total pur et simple de tous les postes, non ? Mais sur ce point (blocage total), je pense qu'on peut supposer que le demandeur est conscient de ce qu'il fait...

... ou il y a quelque chose qui m'échappe ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Gaston » 19 Déc 2007 23:10

parce que ça interdit toute communication, quelque soit la raison ou l'initiateur de la requête. Je pense a des évolutions ultérieures avec des serveurs devant se connecter pour mises à jour, ... je pense à l'absence de l'admin habituel, à plein de chose et peut etre aussi mon manque visibilité de ce qu'il peut y avoir sour la règle "FORWARD" ... ce qui peut etre la raison majeure de ma réponse

c'est tout
G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar jibe » 19 Déc 2007 23:36

Donc, finalement, on est bien d'accord : si quelque chose est brutal, ce n'est pas tant la solution que le fait de bloquer tout accès Internet...

Côté solution, on pourrait aussi préciser les adresses ou plage(s) concernées par la (les) règle(s) Iptables...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar psykolivier » 20 Déc 2007 00:40

Certes, ma solution est un peu violente, mais elle prévient toute tentative de connexion, y compris celles des petits malins utilisant du tunneling ssh (vers un squid distant par exemple, comme moi à l'aéroport) ou de l'encapsulation DNS (comme moi à l'aéroport encore :) )

la chaîne FORWARD représente tout le traffic passant d'une interface à l'autre, donc tout le traffic routé en gros; le fait de ne pas y avoir accolé de "-m state NEW" ne permet de plus pas à un deuxième petit malin de laisser une connexion ouverte toute la nuit !

Pour ce qui est d'autoriser uniquement quelques serveurs à faire des mise à jour, vous pouvez toujours utliser devant ma première règle un
Code: Tout sélectionner
iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
OpenBSD4
|
DMZ --- Debian Etch, RAID 1 - mail
LAN --- SuSE Linux x2

Drug is bad, m'key !
http://www.nosoftwarepatents.com/
Avatar de l’utilisateur
psykolivier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 11 Sep 2004 12:12
Localisation: Camelot

Messagepar tomtom » 20 Déc 2007 00:57

Si il y a un squid sur la SME, cette règle ne bloquera pas forcement les accès internet....

Par ailleurs, si, c'est quand même un peu violent ;) On peut aussi ecrire 0 dans ip_forward, ou encore eteindre la machine.... :lol:

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Gaston » 20 Déc 2007 10:49

Bonjour,
tomtom a écrit:On peut aussi ecrire 0 dans ip_forward, ou encore eteindre la machine.... :lol:

yes ça 8) c'est du traitement viril du problème
et bien vu pour le squid, pas vu passer celui là d'autant que par défaut il est activé sur un SME
G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar jibe » 20 Déc 2007 23:52

Salut,

:lol: Troll ouvert !

Je persiste : le cahier des charges dit : aucun accès internet entre 23h et 5h. Ce qui est violent, c'est la demande, pas la règle iptables. Et ce n'est pas pareil qu'arrêter la bécane : on laisse samba, le serveur d'imprimantes, l'accès au(x) site(s) web depuis l'extérieur etc.

Mais bon, c'est vrai que le squid est un peu gênant. Il faudrait l'arrêter comme le suggère Pabze :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité