Solution de filtrage par liste blanche à domicile.

[TOM23]

Bonjour !

Je suis à la recherche d'une solution pour filtrer les accès à internet de ma fille chez moi. Le but est de lui éviter de tomber sur des sites indésirables alors qu'elle commence à savoir lire et écrire. Cette solution arrivant biensur en complément du dialogue et de son éducation.

Pour le moment mon réseau est constitué d'une freebox, d'un routeur WRT54GL sous DD-WRT et de diverses machines dont un serveur web/samba/impression/ftp/etc sous ubuntu.

J'aimerai filtrer ces accès par liste blanche. Après réflexion, c'est la solution la plus adaptée pour les mois à venir.
J'ai cherché les solutions adaptées mais je ne sais pas trop sur quoi partir:

Mettre squid sur mon serveur ubuntu et le configurer de la bonne façon semble assez compliqué pour un filtrage de ce type. Le tout en bloquant l'accès à internet pour le pc de ma fille sur mon routeur ce qui l'obligerait à passer par le proxy...

Une ipcop entre mon routeur et ma box avec urlfilter ne semble pas pouvoir filtrer pour un utilisateur en particulier.

Pourriez vous m'orienter vers quelque chose de viable et pas trop compliqué à mettre en oeuvre ? Sachant que le but est d'être indépendant de la machine de ma fille.

Merci de votre aide.

[ccnet]

SME ou ClearOS (ex Clarkconnect).

[TOM23]

Je connais déjà SME, même si je ne l'ai pas testé en configuration passerelle, et je vais voir pour ClearOS.

Moi qui espérait voir arrivé des solutions adaptables à mon serveur, je sens que je vais être obligé de conserver une passerelle en plus de mon serveur...

Si d'autres on un avis qu'il n'hésites pas à le donner, je vais tester ClearOS sur une machine virtuelle pour voir.

[jibe]

Salut,

Je ne vois pas bien ce qui t'empêcherait de remplacer ton serveur actuel par une SME : elle peut t'offrir tous les services que tu cites (enfin, ça dépend de ce qui est inclus dans etc., mais je ne pense pas que ce soit un problème).

[Titofe]

Si tu veux garder ton serveur Ubuntu il y a Zentyal que tu peux installer pour gérer ton Proxy par une interface Web.

[jibe]

Salut,

Tu peux détailler STP Titofe ?

[Titofe]

Tu peux détailler STP Titofe ?

Oui

En sachant que:

Mettre squid sur mon serveur ubuntu et le configurer de la bonne façon semble assez compliqué pour un filtrage de ce type. Le tout en bloquant l'accès à internet pour le pc de ma fille sur mon routeur ce qui l'obligerait à passer par le proxy...

... quelque chose de viable et pas trop compliqué à mettre en oeuvre ...

... solutions adaptables à mon serveur ...

A cela je répond Zentyal qui comme vous le savez déjà est une distribution basé sous Ubuntu et comme TOM23 veux quelque chose qui s'installe sur son serveur actuel (Ubuntu) je lui propose donc d'installer le paquet 'zentyal-gateway' qui répond à ces besoin.

[jibe]

Salut,

Ok, c'est beaucoup plus clair !

En fait, de ton précédent post, j'avais compris que tu lui proposais une bécane sous Zentyal en plus de son serveur Ubuntu !!! Je ne voyais vraiment pas l'avantage par rapport à remplacer son serveur Ubuntu par SME

S'il s'agit d'installer un paquet supplémentaire sur son serveur Ubuntu pour le transformer en serveur-gateway, c'est effectivement tout différent... et probablement une bonne solution (je dis "probablement", parce que je n'ai pas expérimenté... et qu'il semble que SME garde plusieurs avantages sur Zentyal).

Bon, perso j'installerais une SME serveur-gateway à la place du serveur Ubuntu. Mais c'est probablement plus une histoire d'habitude et de goûts personnels qu'un choix objectivement meilleur. Tout dépend d'ailleurs ce qu'on prend en considération pour dire qu'il serait meilleur ! En tous cas, il est intéressant de connaitre les solutions alternatives

[HP77]

Bonjour,

Je suis à la recherche d'une solution pour filtrer les accès à internet de ma fille chez moi. Le but est de lui éviter de tomber sur des sites indésirables alors qu'elle commence à savoir lire et écrire. Cette solution arrivant biensur en complément du dialogue et de son éducation.
...
J'aimerai filtrer ces accès par liste blanche. Après réflexion, c'est la solution la plus adaptée pour les mois à venir.
J'ai cherché les solutions adaptées mais je ne sais pas trop sur quoi partir:

Mettre squid sur mon serveur ubuntu et le configurer de la bonne façon semble assez compliqué pour un filtrage de ce type. Le tout en bloquant l'accès à internet pour le pc de ma fille sur mon routeur ce qui l'obligerait à passer par le proxy...

Une ipcop entre mon routeur et ma box avec urlfilter ne semble pas pouvoir filtrer pour un utilisateur en particulier.

Pourriez vous m'orienter vers quelque chose de viable et pas trop compliqué à mettre en oeuvre ? Sachant que le but est d'être indépendant de la machine de ma fille.
...

...
Bon, perso j'installerais une SME serveur-gateway à la place du serveur Ubuntu. Mais c'est probablement plus une histoire d'habitude et de goûts personnels qu'un choix objectivement meilleur. Tout dépend d'ailleurs ce qu'on prend en considération pour dire qu'il serait meilleur ! En tous cas, il est intéressant de connaitre les solutions alternatives

Comme Jibe, je suis curieux de connaître les solutions pour ce genre d'usage (projets de famille en vue... )

Bon, en attendant, ayant SME 7.5.1 opérationel sous la main je jette un oeil (je suis curieux)...

... Là, j'ai l'interface de Server-Manager sous les yeux, depuis la section Security, j'accède au panneau Proxy et je constate uniquement deux options :

- HTTP proxy status : Enabled
- SMTP proxy status : Enabled

Pas de liste d'URL/URI à bloquer/autoriser, etc...


Bon, je sais que l'administration d'un serveur (Linux et "autres") c'est avant tout de la ligne de commande (et les scripts qui vont bien, etc...) mais, je trouve cela un peu "lourdingue" / fastidieux et un poil risqué (en cas de "faute de frappe" ailleurs que dans les liste d'URL/URI) que d'aller trifouiller les fichiers de configuration de Squid ou autre.

Pour finir, sans vouloir polémiquer ou démarrer un 'troll', mon opinion personnelle sur le "simple, vite et bien" de SME en prend un coup s'il faut "mettre les mains dans le cambouis" au lieu de se contenter de démarrer l'engin et de se contenter de le conduire pour en profiter.

Maintenant, si Jibe peut nous faire un petit tutoriel / Newbie Kit sympa sur la configuration de Squid à la sauce SME, je suis preneur !

Bon, aller, je retourne en mode silencieux et j'attends la riposte de Jibe qui ne devrais pas se faire attendre.

Bonne journée à tou(te)s !

Cordialement,
HP


P.S.
Jibe, j'espère que tu ne le prends pas mal. En tous cas, Rien ne méchant en arrière pensée chez moi.

[jibe]

Salut,

J'avais fait ce tuto, il y a maintenant longtemps

Effectivement, c'est les mains dans le cambouis, et il faut revoir tout ça pour l'adapter à iptables (c'était ipchains à l'époque... Noyau 2.2...).

Pour squid (qui n'est pas vraiment la même chose, j'en dis un mot dans mon tuto), il doit y avoir ce qu'il faut chez contribs, ou alors voir Master Sleepy. Je ne vais quand même pas ré-inventer la roue

Les contributeurs francophones se sont posé la question de faire une contrib permettant d'avoir un firewall personnalisable sur SME (entre autres avec gestion de load balancing entre deux interfaces WAN), et donc de pouvoir personnaliser les rêgles pour bloquer/autoriser certaines adresses. Pour le moment, ce n'est encore qu'une idée lancée en l'air. J'espère que ça n'en restera pas là, mais comme le premier qui a lancé cette idée a maintenant besoin sur son propre réseau de gérer deux ADSL, on peut espérer que ça va bouger... Et puis, ça dépend aussi de comment on "sent" les choses au niveau des utilisateurs : c'est souvent la demande qui provoque l'offre

[kro_kro]

bonjour,

elle utilise quel poste votre fille ? linux ? Windows ? as-t-elle un compte dédié ?

le plus simple est de configurer un profil spécifique pour elle, avec une limitation des applications et intégrer un add-on de liste blanche sur le butineur internet, ou un logiciel firewall individuel style zonealarm.

et conserver un filtrage de liste noire sur le firewall avec squid et squidguard.

c'est pas super super comme solution, mais ça reste souple ....

[TOM23]

Merci de vos réponses, je n'ai pas trop le temps de gérer ça en ce moment, mais je pense que je vais voir pour ajouter zentyal sur mon serveur après une petite période de test.

Pour ce qui est passer de ubuntu à SME, j'ai fait le chemin inverse il y a 2 ans. SME est plutôt une bonne distrib, mais j'ai fini par me sentir étriqué à cause de sa façon de fonctionner. Surement à cause de ma manière d'envisager les choses. Donc impossible d'avoir mon serveur sous SME.
Par contre si le fait d'avoir une machine de plus dans mon réseau ne me gênait pas, je m'en serais servi comme passerelle.

Pour info, ma fille a une machine sous XP avec un compte à elle. Par contre rien ne dit qu'elle restera longtemps sous cet OS. Etant donné qu'elle ne joue pas sur son pc il y a des chances qu'elle voit arriver un linux. De plus, je trouve bien plus sécurisé d'avoir une solution non dépendante de l'OS, ne serait-ce que parce que ce sera plu souple à l'utilisation dans le temps, et même à distance. Il arrive que je sois absent plusieurs jours et en cas de problème, je préfère accéder et configurer un proxy sur mon serveur via VPN.
Ne serait-ce que pour adapter les règles de filtrages en changeant une adresse ip ou une adresse MAC. Ce sera plus rapide que de passer par la prise de contrôle du pc de ma fille, me loguer en admin etc...

[jibe]

Salut,

Voilà une réponse sensée !

Effectivement, SME a beaucoup d'avantages, mais une "philosophie" et un fonctionnement un peu spécial. A partir du moment ou cette philosophie et ce fonctionnement ne conviennent pas, quelle qu'en soit la raison, il vaut mieux choisir une autre distrib. C'est ce que je conseille souvent d'ailleurs ! Pour ce que je sais des besoins ici, je persiste à croire que SME aurait été un excellent choix, mais je conçois très bien qu'on puisse préférer autre chose : à partir du moment où on ne recherche plus une solution "vite, simple et bien", l'avantage principal de SME tombe.

La recherche d'une solution sur le serveur et indépendante de l'OS du poste client est aussi effectivement une sage décision : bien meilleure tant sur le plan de la souplesse d'administration que sur le plan de la sécurité.

Tiens-nous au courant de la suite : je pense que l'ajout du module zentyal et l'installation de squid devraient pouvoir se faire facilement et probablement rapidement, mais j'aimerais bien un REX pour me rendre mieux compte

[TOM23]

Bon j'ai trouvé ma solution, mais sans me servir de vos idées.

Comme je l'ai dit, je ne voulais pas d'une machine supplémentaire, et je ne voulais pas faire de mon serveur la passerelle unique de mon réseau. Je laisse ça à mon routeur sous DD-WRT.
Pour Zentyal, c'est franchement pas mal, et accessible... pour les anglophiles. Je m'explique, le fait de pouvoir choisir quelle partie de la distrib installé en fonction des besoins, et les possibilités de configuration via l'interface web sont très complet de ce que j'ai pu en voir. Sauf que tout est en anglais, et que ce n'est pas franchement ma tasse de thé. J'ai testé pas mal de chose pour arrivé à mes fins, mais à chaque fois il me semblait qu'un petit truc manquait pour que cela fonctionne. Du coup pas de zentyal non plus, mais je garde cette distrib dans un coin de ma tête vu ses possibilités.

Après quelques réflexions, je me suis dit que le mieux serait de se tourner vers une solution plus basique: me faire la main sur squid et faire en sorte que les accès au net ne soit autorisés que pour les domaines listés dans un fichier. Je ne suis pas sur que ce soit très normal comme solution, à mon avis ça s'approche du bricolage de réseau mais je ne suis pas capable d'en juger aux vues de mes connaissances.

J'ai décrit la manip dans un article sur le blog que je co-admin. Sachant qu'en plus, je bloque les accès direct au net du pc de ma fille de façon permanente via mon routeur, il n'y a que la possibilité de passer par le proxy pour surfer.

Conclusion, le pc est sécurisé, j'en ressors avec une bonne compréhension du fonctionnement de suid, et j'ai découvert zentyal

Merci pour votre aide !