[iptables][Résolu] Bloquer accès internet (Oui, je sais...)

[foubetc]

Salutations !

Malgré mes [nombreuses] recherches sur le net, et la documentation fleuve associée a iptables, je reste persuadé qu'il devrait y avoir une façon simple de régler mon problème, a savoir :

J'ai un réseau interne basé sur l'adresse réseau suivante : 10.3.0.0

La plupart des utilisateurs ne doivent PAS avoir accès a internet. Il n'y a pas de petits malins et même s'il s'en trouvais, je peux facilement les détecter et les bloquer.

Quelques utilisateurs, une dizaine, ont accès par contre. Dont le serveur d'emails par exemple.

Si vous vous demandez pourquoi bloquer l'internet, c'est moins a cause de la perte de charge au niveau travail que parce que nous n'avons pas une connexion grande vitesse. Nous avons 128 Up et 256 down. En partagé en plus. Nous réservons donc cet accès a ceux qui en ont l'usage.

Comme je suis arrivé après la soupe, l'affectation des ip dynamiques et celles réservées ont été faites au petit bonheur la chance (vais changer tout ça).

Donc, comment bloquer toutes les ip, puis débloquer celles qui sont affectées par mon dhcp en fonction de l'adresse MAC du client ? (Dhcp réglé, donc pas de problèmes de ce côté ci).

Une astuce, un bout de code (j'utilise la SME 7.04, donc modification des templates, mais c'est pas un problème) ? Où rtfm ?

Merci !

[foubetc]

Bon, j'ai suivi une méthode qui permet de réguler l'accès internet en passant le proxy en mode non transparent et en utilisant une méthode d'identification basée sur un fichier contenant des couples nom d'utilisateur/mot de passe crypté (créé avec htpasswd).

Méthode appliquée : http://www.vanhees.cc/index.php?module= ... ay&ceid=40

Avantage : Une personne ayant le bon couple username/password peu se logguer sur n'importe quelle machine du réseau.

Inconvénient : Il faut paramétrer l'usage du proxy sur tout les postes.

Amicalement.

[gemoussier]

Bonjour,
Attention, attention, avec cette méthode assurez vous que seul le proxy ait accès à internet ! Sinon n'importe qui peut contourner cette apparente sécurité très facilement, et vous en revenez à votre problème de base.
Comment s'identifie le serveur mail ? Proxy qui supporte les protocoles mails ?
Vous semblez utiliser SME (mode gateway?) mais je ne "connais" pas ce système, je ne peux pas mieux vous aider, voici seulement quelques questions à vous poser.

[jdh]

L'expression "Accéder à Internet" hors de tout contexte ne veut rien dire !

- un serveur de mail accède à Internet avec les ports 25/tcp pour envoyer ou recevoir,
- un pc qui veut naviguer accédera à Internet avec les ports 80/tcp, 443/tcp.


Il est difficile de donner une piste supplémentaire ... puisque vous ne décrivez pas le contexte !

Il faut donner TOUS les éléments que vous pouvez (et pas seulement un n° de réseau sans masque).

[foubetc]

Salutations !

@gemoussier :

Mon proxy tourne effectivement avec une SME 7.4, configuré comme serveur et passerelle internet (mode gateway, effectivement). eth0 vers le boitier satellite, eth1 vers le réseau d'entreprise.

J'ai configuré squid pour laisser passer le trafic du serveur d'emails.

@jdh :

J'ai utilisé abusivement l'expression "Accéder à Internet", c'est vrai. J'aurais du préciser que le but de ce réglage était d'empêcher a la majorité des utilisateurs du réseau la navigation sur le web, que ce soit en http ou en https.

Concernant le masque, c'est du 255.255.255.0

Avec mes réglages actuels, ça fonctionne. Je ne cherche pas une protection absolue, et de toutes façon, grace a SARG, je peux facilement détecter les tentatives.

Merci de votre intérêt a mon problème !

[ccnet]

Je ne cherche pas une protection absolue, et de toutes façon, grace a SARG, je peux facilement détecter les tentatives.

J'adore cette phrase.

[foubetc]

Les "Tentatives" dans ma société sont très basiques. Tentative de vol d'ip, essais multiples de différents mots de passes, etc, etc.

Je suis bien conscient que SARG est très insuffisant, mais bon... Surveiller le réseau n'est qu'une part infime de mon taf.

Mon vrai problème n'est vraiment pas d'empêcher tout le monde d'aller sur le web, mais de garder un minimum de bande passante pour les emails et quelques services ayant un besoin professionnel.

J'aimerais avoir plus de temps pour apprendre plus sur linux, que j'aime beaucoup. Je dit sans doute des $%#&!, mais ne demande qu'à apprendre. Mais en bossant de 10 à 14 heures par jour (Je bosse en afrique), je suis trop crevé le soir pour tout autre activité que manger/dormir.

@ccnet : J'aimerais, si tu veux bien, que tu me dise quelle $%#&! j'ai bien pu sortir. Merci ! :p

[ccnet]

je peux facilement détecter les tentatives.

C'est assez naif comme vision de la sécurité. En général lorsque la détection est faite c'est après intrusion ou tentative. Il s"coulera plusieur heures avant que vous ne vous en aperceviez. Ce qui importe c'est de faire en sorte qu'il puisse y en avoir le minimum, cela par construction. L'architecture doit être en mesure d'empêcher ou de dissuader au maximum les tentatives.

Mon vrai problème n'est vraiment pas d'empêcher tout le monde d'aller sur le web, mais de garder un minimum de bande passante pour les emails et quelques services ayant un besoin professionnel.

Ceci est par contre une approche tout à fait légitime et justifiée dans un cadre professionnel.