Filtrage horaire sur SME 7

par **dwr** » 15 Déc 2007 00:36

Question simple...

Je veux bloquer l'accès à internet (depuis les postes clients du réseau) entre 23h et 5h du matin sur mon SME installé en passerelle.

It is possible ?
Contrib kk part ?

Crontab qui envoi la bonne commande ?

Any suggestion is welcome

par **Gaston** » 15 Déc 2007 23:42

bsoir,
squid + acl appropriées un peu comme ce qui a été discuté ici : http://forums.ixus.fr/viewtopic.php?t=2 ... +acces+net

il y a peut etre aussi une contrib de dungog, mais à priori le serveyr a des soucis en ce moment.
G.

par **dwr** » 16 Déc 2007 01:40

Merci je vais tester Squid !

par **psykolivier** » 16 Déc 2007 15:56

Dans une crontab (en tant que root), à 23h:

Code: Tout sélectionner: iptables -I FORWARD -j REJECT

... et à 5h:

Code: Tout sélectionner: iptables -D FORWARD -j REJECT

ou

Code: Tout sélectionner: iptables -D FORWARD 1

That's it !

par **dwr** » 16 Déc 2007 22:14

Ha sympa le Cron !

Je vais testé parce-que le Squid n'à pas l'air de marcher...

Bon j'ai du faire une erreur dans mon template, mais de toute façon je préfère les commandes de base façon Cron

par **dwr** » 16 Déc 2007 22:23

Hé, ben whoulà !

Un bon vieux CronTab ave les commandes qui faut et ça marche !

Merci beaucoup !

par **Gaston** » 17 Déc 2007 01:14

ça me parait néanmoins un peu brutal :shock:

et les acls plus adaptés, mais c'est toi qui connait tes besoins exacts et les problèmes rencontrés
G.

par **Pabze** » 17 Déc 2007 11:04

Bonjour,

Je vais testé parce-que le Squid n'à pas l'air de marcher...

Je confirme... sur SME7 les acl de squid fonctionne toujours...
Il faut juste adapter à tes horaires... Pourquoi pas ou vu de la règle iptables citées, faire carrément un service squid stop aussi ...

Pabze :shock:

par **jibe** » 19 Déc 2007 21:53

Salut,

Gaston a écrit:ça me parait néanmoins un peu brutal

Et pourquoi donc ?

énoncé du problème a écrit:Je veux bloquer l'accès à internet (depuis les postes clients du réseau) entre 23h et 5h du matin sur mon SME installé en passerelle.

La méthode de psykolivier me parait tout à fait adaptée (de même que celle suggérée par Pabze !) ? Si quelque chose est brutal, c'est le blocage total pur et simple de tous les postes, non ? Mais sur ce point (blocage total), je pense qu'on peut supposer que le demandeur est conscient de ce qu'il fait...

... ou il y a quelque chose qui m'échappe ?

par **Gaston** » 19 Déc 2007 23:10

parce que ça interdit toute communication, quelque soit la raison ou l'initiateur de la requête. Je pense a des évolutions ultérieures avec des serveurs devant se connecter pour mises à jour, ... je pense à l'absence de l'admin habituel, à plein de chose et peut etre aussi mon manque visibilité de ce qu'il peut y avoir sour la règle "FORWARD" ... ce qui peut etre la raison majeure de ma réponse

c'est tout
G.

par **jibe** » 19 Déc 2007 23:36

Donc, finalement, on est bien d'accord : si quelque chose est brutal, ce n'est pas tant la solution que le fait de bloquer tout accès Internet...

Côté solution, on pourrait aussi préciser les adresses ou plage(s) concernées par la (les) règle(s) Iptables...

par **psykolivier** » 20 Déc 2007 00:40

Certes, ma solution est un peu violente, mais elle prévient toute tentative de connexion, y compris celles des petits malins utilisant du tunneling ssh (vers un squid distant par exemple, comme moi à l'aéroport) ou de l'encapsulation DNS (comme moi à l'aéroport encore

)

la chaîne FORWARD représente tout le traffic passant d'une interface à l'autre, donc tout le traffic routé en gros; le fait de ne pas y avoir accolé de "-m state NEW" ne permet de plus pas à un deuxième petit malin de laisser une connexion ouverte toute la nuit !

Pour ce qui est d'autoriser uniquement quelques serveurs à faire des mise à jour, vous pouvez toujours utliser devant ma première règle un

Code: Tout sélectionner: iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

par **tomtom** » 20 Déc 2007 00:57

Si il y a un squid sur la SME, cette règle ne bloquera pas forcement les accès internet....

Par ailleurs, si, c'est quand même un peu violent

On peut aussi ecrire 0 dans ip_forward, ou encore eteindre la machine.... :lol:

t.

par **Gaston** » 20 Déc 2007 10:49

Bonjour,

tomtom a écrit:On peut aussi ecrire 0 dans ip_forward, ou encore eteindre la machine....

yes ça

c'est du traitement viril du problème
et bien vu pour le squid, pas vu passer celui là d'autant que par défaut il est activé sur un SME
G.

par **jibe** » 20 Déc 2007 23:52

Salut,

Troll ouvert !

Je persiste : le cahier des charges dit : aucun accès internet entre 23h et 5h. Ce qui est violent, c'est la demande, pas la règle iptables. Et ce n'est pas pareil qu'arrêter la bécane : on laisse samba, le serveur d'imprimantes, l'accès au(x) site(s) web depuis l'extérieur etc.

Mais bon, c'est vrai que le squid est un peu gênant. Il faudrait l'arrêter comme le suggère Pabze :wink: