Autoriser / limiter l'accès à Internet par ip

[Yab]

Bonsoir, <BR> <BR>Est il possible d'autoriser / limiter l'accès à Internet, par adresse ou plage d'ip, par l'interface http ou bien directement par des scripts ?

[carlos]

Avec quel système d'exploitation ? Bloquer des ip internes du réseau ? Bloquer des sites externes ? <BR> <BR>C'est en tout cas possible avec iptables et tu peux même le faire par adresse mac (l'adresse "matérielle" de la carte réseau) <BR> <BR>ex : bloquer un poste du réseau local vers internet <BR> <BR> <BR>iptables -A OUTPUT -o "IF_INTERNET_ICI (ex : ppp0)" -s "IP_A_BLOQUER" -j DROP <BR> <BR> <BR>Détaille un peu pour qu'on puisse mieux t'aider! <BR> <BR>A+ <BR> <BR><BR><BR><font size=-2></font>

[Yab]

L'OS c'est ipcop. <BR> <BR>En fait, je suis dans un réseau ou il y a plusieurs ordi (sisi) avec plusieurs passerelles internet. J'aimerais pouvoir partager l'accès de ma connexion qu'à certaines ordinateurs. <BR> <BR>Et je me demandais si il était possible de le faire directement par l'interface http. <BR> <BR>Ou sinon dans quel script de démarrage je dois ajoutés les bonnes règles... <BR> <BR>Le fait de limiter par adresse IP suffirait, bien qu'il serait mieux d'utiliser les adresses MAC.

[carlos]

Je ne connais pas bien ipcop, vu que mon fw tourne sous OpenBsd mais je pense que les deux liens suivants pourraient t'aider (merci google <IMG SRC="images/smiles/icon_wink.gif"> ) : <BR> <BR>Pour ton problème : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_puis_je_bloquer_l_acc_s_" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr#Comment_puis_je_bloquer_l_acc_s_</a><!-- BBCode auto-link end --> <BR> <BR> <BR>Plus général : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddonsfr</a><!-- BBCode auto-link end --> <BR> <BR>En espérant que cela t'aide... <IMG SRC="images/smiles/icon_wink.gif">

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>ex : bloquer un poste du réseau local vers internet <BR> <BR> <BR>iptables -A OUTPUT -o "IF_INTERNET_ICI (ex : ppp0)" -s "IP_A_BLOQUER" -j DROP <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Ayaye ! <BR> <BR>Attention, on n'est plus sous ipchains ! <BR>Cette rgle ne bloquera rien du tout. <BR> <BR>C'est dans la chaine FORWARD que l'on bloque les transferts, pas dans OUTPUT ! <BR> <BR> <BR>iptables -I FORWARD -s ip_to_block -j DROP <BR> <BR>Attention il suffit de changer d'ip pour contourner le blocage ! <BR>Pour bloquer par utilisateur avec authentification, il faut utiliser un proxy ! <BR> <BR> <BR>T.

[Yab]

Ok merci, donc ya pas moyen de le faire autrement qu'en ligne de commande, et d'automatiser ca dans un script... <BR> <BR>Vu que les scripts de démarrage sont à la BSD je suppose qu'il faut modifier le fichier /etc/rc.d/rc.firewall.

[remi]

Si, Dansguardian, un addon cité plus haut te permet de bloquer internet par @ IP, mais aussi d'interdire des sites internet...

[tomtom]

Oui, Il y a des add-ons au proxy (DansGuardian, Squiduard...). <BR> <BR>SI tu veux utiliser les règles IPTables pour bloquer au plus bas niveau (et que tu n'utilises pas de proxy), alors effectivement il suffit de rajouter les règles dans le fichier rc.firewall <BR> <BR> <BR>T.

[Yab]

Merci à tous. <BR> <BR>Comme je ne souhaite pas utiliser de proxy, mais simplement faire du NAT, je vais me l'écriture de ce script. <BR> <BR>J'ai juste une dernière question, si je bidouille ce script (/etc/rc.d/rc.firewall) est ce que mes modifications seront modifiées par l'interface http de ipcop si je souhaite modifier les règles du firewall ?

[antolien]

et bien aparament non, mais il est tout de même conseillé de sauvegarder avant le rc.firewall. <BR> <BR><BR><BR><font size=-2></font>

[remi]

Ca antolien, seul le temps et les "newbies" (j'ai mis des guillements) pourront le dire, j'en ai bien peur !! <BR> <BR>Mais j'ai a peu pres tout lu (en diagonal, je l'avoue) et ca parait clair. C du bo boulot

[tomtom]

I think you made a thread mistake <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>

[kerozene]

Yeah Tomtom, I think it too... but he said : "Mais j'ai a peu pres tout lu (en diagonal, je l'avoue) et ca parait clair". <BR> <BR>Il doit aussi cliquer en diagonal le vendredi soir le rémi !!! <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR> <BR>sinon, pour yab, si il s'agit donc de bloquer des adresses IP de ton réseau, attaque toi au <!-- BBCode u2 Start --><A HREF="http://antolien.free.fr/ipcop/" TARGET="_blank">"Howto customize IPCop" d'Antolien</A><!-- BBCode u2 End -->.

[remi]

<IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <BR>Vivement les vacances...

[carlos]

Et oui, sorry pour la distraction du OUTPUT à la place du FORWARD... Précipitation quand tu nous tient... <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Thx pour la rectification Tomtom <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>A+