Mettre fin à la connexion d'un poste client

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar ShonGail » 21 Juin 2003 07:20

bonjour, <BR> <BR>j'utilise un ipcop 1.2 avec plusieurs dizaines de postes clients 9x et 2k <BR> <BR> <BR>mon but est de pouvoir mettre fin à la connexion d'un poste client précis. <BR> <BR>exemple : couper de suite la connexion vers internet d'un poste client qui télécharge un trop gros truc. <BR> <BR>le but est de couper le connexion sur l'instant, pas d'interdire définitivement le poste d'accéder au net. <BR> <BR>merci <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar belugha » 21 Juin 2003 14:14

Il faut killer le process. <BR>Tu fais ps -a pour reperer la personne, ensuite tu repere son PID et tu le kill. <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar grosbedos » 21 Juin 2003 14:42

arf je cale pas ta reponse belugha.. <BR> <BR>tu pourrai precisé la question??que veux tu faire exactly?? <BR>des que quelqu'un telecharge un truc de 20Meg tu lui interdit le net?? <BR>ca risque d'être chaud ca
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar grosbedos » 21 Juin 2003 14:43

belugha quand tu passes par ipcop pour acceder au net, il n'y as pas de processus qui se cré.je me trompe?? <IMG SRC="images/smiles/icon_confused.gif">
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar tomtom » 21 Juin 2003 14:43

Heu, chez moi un telechargement ne crée pas un process ??? <BR>Mais je n'utilise pas de proxy aussi c'est peut-etre pour ça..... <BR> <BR>Si tu n'as pas de proxy, c'est un peu compliqué.. <BR> <BR>Soit tu bloques l'utilisateur pendant un moment avec une règle iptables qui va bien, puis tu penses à l'enlever pour lui fair eretrouver le net... <BR> <BR>Soit tu bloques juste l'acces au site ou il est en train d etélécharger (tu peux le retrouver en regardant les onntracks dans /proc/nat/ip_conntrack et en cherchant l'ip de ton utilisateur... c'est un peu technique). <BR> <BR> <BR>Voila, je ne vois pas trop de solution plus simple... <BR> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar grosbedos » 21 Juin 2003 14:45

le prob c'est surtout si on veut qu'ipcop detect ce qu'il faut bloquer
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar tomtom » 21 Juin 2003 14:48

La je dirais que c'est pas faisable... Ou alors vraiment difficilement et innefficacement..... <BR> <BR>Une astuce pourrait être de regarder la durée du trabsfert, masi ça impose de developper un module netfilter specifique..... En clair, oublie ça tout de suite..... <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar grosbedos » 21 Juin 2003 14:57

je l'ai bien dit c'est un ^prob <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>sur des adresses definit ca doit etre faisable..sur une quantité de telechargement je sais pas..faudrait voir si snort ou squid ou autre peu mesurer ca...mais bon..ca va loin la..trop pour moi <IMG SRC="images/smiles/icon_biggrin.gif">
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar ShonGail » 21 Juin 2003 16:48

mon but est de couper quand je le désire la connexion d'un poste client sur ipcop <BR> <BR>dans l'interface web d'ipcop, on voit bien les connexions en cours, mais on ne peut y mettre fin : <BR> <BR><!-- BBCode Start --><IMG SRC="http://cocteau.nerim.net/connex.jpg" BORDER="0"><!-- BBCode End -->
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar micjack » 21 Juin 2003 16:48

Cela fait plusieur fois que je rencontre se type de question: <BR>Filtrage entre postes Windows et IPCOP. <BR> <BR>Il m'est venu une idée que je n'est pas encore testé mais qui neanmoins me parait faisable: <BR> <BR>Internet <-> IPCOP <-> proxy sous windows <-> LAN <BR> <BR>Créer un filtrage entre le LAN et IPCOP par un proxy administrable a 100% par interface Web depuis n'importe quel poste distant. <BR> <BR>Actuellement j'utilise Jana server comme proxy et j'en suis tres content, je l'es installé meme au boulot. Je peut faire ce que je veut a partir de mon poste avec <BR>l' interface Web ( en locurence virer un des poste de la connexion) <BR>Ce qui est bien, c'est qu'il integre un moniteur en temp réel. <BR> <BR>C'est ce type d'architechture que je souhaite entreprendre (quand j'aurrais fini de PERLER les fichiers pour mon modem Olitec ADSL pour IPCOP)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar belugha » 23 Juin 2003 08:23

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-21 14:43, grosbedos a écrit: <BR>belugha quand tu passes par ipcop pour acceder au net, il n'y as pas de processus qui se cré.je me trompe?? <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Exact Grosbedos, je me suis trompée, <IMG SRC="images/smiles/icon_redface.gif"> <BR> <BR>
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar ShonGail » 23 Juin 2003 11:21

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-21 16:48, micjack a écrit: <BR>Cela fait plusieur fois que je rencontre se type de question: <BR>Filtrage entre postes Windows et IPCOP. <BR> <BR>Il m'est venu une idée que je n'est pas encore testé mais qui neanmoins me parait faisable: <BR> <BR>Internet <-> IPCOP <-> proxy sous windows <-> LAN <BR> <BR>Créer un filtrage entre le LAN et IPCOP par un proxy administrable a 100% par interface Web depuis n'importe quel poste distant. <BR> <BR>Actuellement j'utilise Jana server comme proxy et j'en suis tres content, je l'es installé meme au boulot. Je peut faire ce que je veut a partir de mon poste avec <BR>l' interface Web ( en locurence virer un des poste de la connexion) <BR>Ce qui est bien, c'est qu'il integre un moniteur en temp réel. <BR> <BR>C'est ce type d'architechture que je souhaite entreprendre (quand j'aurrais fini de PERLER les fichiers pour mon modem Olitec ADSL pour IPCOP) <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>merci pour la solution <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>mais c'est un peu lourd comme solution. Cela necessite une machine de + et puis je me sers de mon ipcop comme proxy filtrant. J'ai donc besoin que les postes clients soient directement connectés à lui.
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar ShonGail » 25 Juin 2003 09:29

toujours pas de réponse <IMG SRC="images/smiles/icon_cry.gif">
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 25 Juin 2003 10:06

Y'a eu des reponses, mais tu ne veux pas nous croire ! <BR> <BR>On ne peut pas simplement couper une connexion entre un client et un site distant..... <BR> <BR>Les connexions que tu vois dans IPCop sont tirées d'un fichier appelé CONNTRACK et utilisé par netfilter pour ouvrir dynamiquement des ports en entrée pour les reponses aux connexions etablies depuis le lan. On ne peut pas supprimer ces COnntracks en cours de fonctionnement ! <BR> <BR>le sul moyen, c'est quand tu vois cette connexion d'ecrire une règle iptables qui la bloque (ex : iptables -I FORWARD -s @client -d @dest -j DROP ) <BR> <BR>tu recupères les paramètres dans la page de connexions precitée. <BR> <BR>Il faut penser à enlever la règle ensuite sinon le client ne pourra plus se connecter au site.... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar NeoKoD » 25 Juin 2003 11:59

Bonjour, <BR> <BR> Je suis ce thread car l'idée m'intéresse également. <BR> <BR>Tomtom, la regle dont tu parles bloque l'acces entre l'IP du gars (@client) et le site sur lequel le gars surf actuellement (@dest) c'est ca ? <BR> <BR>On pourrais penser dans ce cas à faire un p'tit plugin dans IPCop qui detecterais l'ip du client à bannir (temporairement) sur n'importe quel IP via les logs et d'appliquer la commande iptable à la volée ? <BR> <BR>Qu'en pensez vous ? <BR>
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité