Interdire/Autoriser une ip dans une plage horaire

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar ljoly » 03 Déc 2003 12:26

Hello, <BR> <BR>J'ai beau chercher dans les posts d'ipcop (version 1.3 installée) je n'arrive pas à trouver la solution à mon problème : comment autoriser (ou interdire) une adresse ip (ou une plage) de sortir vers internet (interface rouge) dans une plage horaire fixée ? <BR> <BR>Quelqu'un a-t-il une idée ? <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>D'avance merci
Tout problème a une solution : ce n'est pas forcément la bonne
Avatar de l’utilisateur
ljoly
Matelot
Matelot
 
Messages: 1
Inscrit le: 06 Jan 2003 01:00

Messagepar erreipnaej » 28 Déc 2003 19:36

Je souhaite aussi faire la même chose. <BR>Quelqu'un aurait il une idée? <BR>Il me semble avoir vu que Squid sait faire ça (Mandrake SNF) mais comment le mettre en oeuvre? <BR>Merci de l'aide. <IMG SRC="images/smiles/icon_confused.gif">
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar MasterSleepy » 28 Déc 2003 19:56

ipcop utilise squid??? <BR> <BR>Sii c'est le cas j'ai peut-être une solution, un peu bricoler mais ça devrait fonctionner.
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar MasterSleepy » 28 Déc 2003 20:18

Bon ben apparemment oui. <BR> <BR>Il faudra jouer avec la configue de squid pour y arriver. <BR>Ajouter une tâche dans le cron au moment ou on veut modifier ces propriètès. <BR> <BR>Donc par défault squid laisse tout le monde passer. <BR>en modifiant un peu le fichier pour qu'il ne laisse passer que ceux que l'on veut, <BR>voici un example : <BR>acl all src 0.0.0.0/0.0.0.0 <BR>acl manager proto cache_object <BR>acl localsrc src 127.0.0.1 [IP_AUTHORIZE]/[MASK] <BR>acl localdst dst 127.0.0.1 192.168.0.0/255.255.255.0 192.168.0.0/255.255.255.0 <BR> <BR>acl SSL_ports port 443 563 <BR>acl Safe_ports port 21 70 80 81 119 210 443 563 980 1024-65535 <BR>acl CONNECT method CONNECT <BR>acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK <BR>append_domain .domain.toto <BR>cache_mgr <!-- BBcode auto-mailto start --><a href="mailto:admin@domain.toto">admin@domain.toto</a><!-- BBCode auto-mailto end --> <BR>ftp_user <!-- BBcode auto-mailto start --><a href="mailto:nobody@domain.toto">nobody@domain.toto</a><!-- BBCode auto-mailto end --> <BR>http_access allow manager localsrc <BR>http_access deny manager <BR>http_access deny !Safe_ports <BR>http_access deny CONNECT !SSL_ports <BR>http_access allow localsrc <BR>http_access deny all <BR> <BR>Les valeurs à remplacer sont [IP_AUTHORIZE] [MASK] et domain.toto <BR> <BR>à ce moment seule les ips spécifié dans [IP_AUTHORIZE] pourront avoir accès à internet. <BR> <BR>Donc il faudra le fichier par défaut et celui modifier pour ne laisser passer personne. <BR>et à heure défini on permutte les deux fichiers. Après avoir relancer squid ce sera pris en compte. <BR> <BR>Voilà en gros le principe. <BR>J'espère que cela vous aidera. <BR> <BR>A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar antolien » 28 Déc 2003 20:21

Pourquoi ne pas faire un petit script avec les regles iptables qu'il faut, et le planifier dans crontab <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>planifier ensuite un autre script qui lui supprime les règles. <BR> <BR>ca me parraît plus simple, en plus avec squid, il ne s'agit que du http. <BR> <BR>
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 28 Déc 2003 20:31

en étant plus concret, <BR> <BR>vi script.bloque <BR> <BR>#!/bin/bash <BR>/sbin/ iptables -I FORWARD -s 192.168.0.0/24 -j DROP <BR> <BR>:wq <BR> <BR>chmod 700 /root/script.bloque <BR> <BR>crontab -e <BR> <BR>30 23 * * * /root/script.bloque <BR> <BR>:wq <BR> <BR>donc avec ça le script bloque la plage ip 192.168.0.0/24 à 23h30 chaque jour vers le net <BR> <BR>vi script.debloque <BR> <BR>#!/bin/bash <BR>/sbin/ iptables -D FORWARD -s 192.168.0.0/24 -j DROP <BR> <BR>:wq <BR> <BR>chmod 700 /root/script.debloque <BR> <BR>crontab -e <BR> <BR>00 05 * * * /root/script.debloque <BR> <BR>:wq <BR> <BR>et avec ça il débloque la plage ip à 5h00 du matin.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar MasterSleepy » 28 Déc 2003 20:32

Ah ben oui effectivement. <BR> <BR>Bien vu antolien <IMG SRC="images/smiles/icon_up.gif">
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar erreipnaej » 30 Déc 2003 08:03

D'abord merci à tous. <BR>La solution d'Antolien correspond tout a fait a ce que je veux faire. <BR>(Ouvrir et fermer la connection sur les machines des enfants à heure fixe) <BR>Il va falloir que j'etoffe le script pour avoir quelque choose de plus différencié selon les jours.....si c'est possible. <BR>Vu mes petites connaissances concernant Linux, savez vous ou je peux trouver une doc claire et concise sur bash, cron et tout ce qui me serait utile de connaitre pour mener à bien cette tache. <IMG SRC="images/smiles/icon_help.gif"> <BR>Pensez vous qu'il soit aussi possible d'afficher un message d'annonce sur le poste qui va etre deconnecté? <BR>Merci
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar smaug06 » 30 Déc 2003 09:16

Lut, <BR>tu trouveras ce que tu cherche à cette adresse : <BR><!-- BBCode auto-link start --><a href="http://www.ac-creteil.fr/reseaux/systemes/linux/Welcome.html" target="_blank">http://www.ac-creteil.fr/reseaux/systemes/linux/Welcome.html</a><!-- BBCode auto-link end --> <BR>A++
Avatar de l’utilisateur
smaug06
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 25 Nov 2003 01:00

Messagepar stardust » 30 Déc 2003 11:45

Bonjour, <BR> <BR>Si j'en crois google et certains liens résultant de la demande suivante : squid acl time, squid dispose d'un acl spécifique permettant de créer des plages horaires (acl 'heureouvrée' time) <BR> <BR>voici un exemple d'utilisation : <!-- BBCode auto-link start --><a href="http://lists.debian.org/debian-french/2001/debian-french-200103/msg01182.html" target="_blank">http://lists.debian.org/debian-french/2001/debian-french-200103/msg01182.html</a><!-- BBCode auto-link end --> <BR> <BR>Cordialement <IMG SRC="images/smiles/icon_wink.gif">
Avatar de l’utilisateur
stardust
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 21 Fév 2003 01:00
Localisation: Ile de France


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité