SME 7 - Bloquer l'accès à internet pour certains postes

[aymeric_b]

Bonjour,

Je ne connais aps encore très bien SME mais je commence à m'y habituer avec son interface intuitive!
Nous avons un réseau d'une trentaine de postes et il faudrait que l'accès à internet soit bloqué pour certains postes (filtrage mac)
Pourriez-vous me guider? je débute sur Linux...

Merci d'avance,

Aymeric.

[Riric]

Il y a ce module : http://www.vanhees.cc/modules.php?op=modload&name=CmodsDownload&file=index&req=viewdownloaddetails&lid=136&ttitle=e-smith-squid-restrict-ip-0.1-1.noarch.rpm

Je ne l'ai pas encore testé, tiens nous au courant de tes tests.

Eric.

[aymeric_b]

Merci pour ce module. ça ajoutera donc une fonction dans l'interface SME?
Je vais essayer de l'installer comme bon newbie que je suis, j'espère ne pas trop galérer.
Il faut faire: rpm -i e-smith-squid-restrict-ip-0.1-1.noarch.rpm c'est bien ça?

J'espere que ça ne risque pas de casser l'appli SME existante...

[aymeric_b]

Voilà à quoi celà ressemble.

Cela veut dire qu'a partir du moment ou j'ajouterais un IP, les autres n'auront plus accès à internet?
En fait c'est plutôt pour autoriser l'accès à internet sur certains postes et non pour le bloquer on dirait.

[aymeric_b]

[MasterSleepy]

Salut,

C'est tout à fait ça.
Dès que tu précises une adresse IP, seulement les adresses que tu auras mentionné auront accès à internet.
Autre précision, dans ton deux screenshot, il faut renseigner deux champs.
Adresse IP, facile en général.
Mask, qui correspond au masque d'adresse IP que tu veux autoriser à aller sur internet.
cad
si tu donnes comme adresse ip 192.168.1.100 et comme mask 255.255.255.255, seul l'adresse ip 192.168.1.100 aura accès à internet.
Autre example, si du donne l'IP 192.168.1.100 et comme mask 255.255.255.0, les adresses ip de 192.168.1.0 jusqu'a 192.168.1.255 auront accès a internet.

Si je le précise, c'est que cette question reviens souvent et que je n'avais pas bien documenter, voir même pas du tout

A+

[aymeric_b]

super merci, je comprends mieux à quoi sert le masque du coup!

Le truc c'est que c'est un serveur DHCP donc les IP changent a priori.
cela dit, à chaque fois que je redémarre un ordi il reprend la meme adresse ip: ex: 192.168.10.266 pour le mien... Auriez vous un avis sur la question?

[MasterSleepy]

Je pense que c'est liéé au lease time accordé aux machines.
Mais sur la sme je ne connais pas cette valeur.

C'est vrai que dans se genre de situation, il serait préférable d'utiliser l'adresse mac.
Malheureusement cette contribs ne te sera pas d'une grande d'aide.

A+

[aymeric_b]

dommage, ça aurait été idéal. sinon il n'y a pas moyen de faire un blocage des adresses mac en éditant un ficheir quelque part?
(j'y connais trop rien...)

[MasterSleepy]

Il y a la possibilité de travaillé sur iptables directement.
J'avais étudié cette possibilité là il y a qq temps mais je n'avais pas eu le temps de tout finaliser.

Voici ce que j'avais déjà fais:

Création du répertoire template

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/

Editer le fichier /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/91banMac avec ton éditeur préféré

Code: Tout sélectionner

# Mac adress blocked
{

$OUT .= "/sbin/iptables -t nat -A PREROUTING -i \$INTERNALIF -m mac --mac-source FF:FF:FF:FF:FF:FF  -j DROP\n";
$OUT .= "/sbin/iptables -t nat -A PREROUTING -i \$INTERNALIF -m mac --mac-source FF:FF:FF:FF:FF:EE -j DROP\n";
}

Dans cette example on bloque l'accès au machine ayant l'adresse mac FF:FF:FF:FF:FF:FF et FF:FF:FF:FF:FF:EE.
Il faut adapter avec tes adresses MAC.

Ensuite, prise en compte de ces modifs:

Code: Tout sélectionner

expand-template /etc/rc.d/init.d/masq
service masq restart


Voilà qui devrait fonctionner.

A+

[aymeric_b]

merci pour les explications très clairs! je vais essayer lundi matin et je vous tiens au courant si cela fonctionnes. (iptables est un processus qui reside en memoire par défaut?)

[aymeric_b]

ça amrche sauf que ça coupe aussi l'accès aux resources en réseau local: plus accès à SME server et donc aux Ibays! Il faut modifier autre chose?

[MasterSleepy]

Salut,

Ben mes maigre connaissance iptables s'arrête malheureusement là.
Si quelqu'un a un autre idée elle est la bien venue.

Dsl
A+

[Bugs9Bunny9]

Salut,
Je ne sais pas si le sujet est toujours d'actualitée mais je me suis penché sur la question.
Il faut que je bloque un poste sur mon reseau.
Je pense qu'il faudrait plutôt bloquer le poste en forward : iptables -A FORWARD -i eth0 -s ip/mac -o ppp0 -j DROP pour éviter de couper l'accès au ressources locales.
Mais le probleme c'est que masq autorise automatiquement tout le reseau local en forward et même en rajoutant une regle il laisse tout passer.
Le moyen serait de modifier le fichier /etc/e-smith/templates/etc/rc.d/init.d/masq/90local_chk50networks
dans lequel tous les reseaux locaux detectés sont acceptés.
Mais mon problème est que je ne sais pas trop ce que peut faire une telle modif et que je voudrait interdire l'accès à internet du poste que pendant un certain temps et donc utiliser cron pour faire une planification.

Voila.
J'espère que mes pauvres connaissances sur sme et iptables vous donneront des idées et si vous avez trouvé une solution, ca m'interresse.
@+

[sibsib]

yop,

çà, ce que vous cherchez, çà existe déjà ! Dans smeserver-fetchmail (autopub), il existe un module qui interdit l'accès à Internet pour le pop et l'imap (par exmple) sans :
Que le serveur lui même soit bloqué (ce serait le comble !)
Que les ressources locales soiernt bloquées.

Master, j'ai récemment mis en place ton how-to pour demander un login/password pour atteindre internet par squid (excellent, au fait, merci !), j'ai du ajouter ccette fonction pour que les connexions directes ne soient plus possibles.

C'est pas hyper balèze :

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
cd /etc/e-smith/templates-custom/etc/rc.d/init.d/masq

Code: Tout sélectionner

******************* si smeserver-fetchmail n'est pas installé *******************
créer un fichier 00Definitions2qui contient çà :
{
    $OUT .= <<HERE;

    LOCALIP=\$\(/sbin/e-smith/db configuration get LocalIP\)
    if [ -z "\$LOCALIP" ]
    then
        # Set LOCALIP to internal loopback
        OUTERNET=127.0.0.1
    fi

HERE
}
******************* /si smeserver-fetchmail n'est pas installé *******************


Code: Tout sélectionner

créer un fichier 30transproxy-http qui peut contenir çà (à adapter en fonction des besoins !)
    # Essai de blocage du port 80
    # il ne faut pas bloquer l'accès à la freebox :-)
    /sbin/iptables --table nat --append PREROUTING\
        -i $INTERNALIF -p tcp --dst 212.27.38.253 --dport 80\
        --jump ACCEPT
    # cette machine peut passer
    /sbin/iptables --table nat --append PREROUTING\
        --src 192.168.1.104 -p tcp --dport 80 --jump ACCEPT
    # celle là aussi
    /sbin/iptables --table nat --append PREROUTING\
        --src 192.168.1.124 -p tcp --dport 80 --jump ACCEPT
    # tant pis pour les autres ;-)
    /sbin/iptables --table nat --append PREROUTING\
        -i $INTERNALIF -p tcp --dst ! $LOCALIP --dport 80\
        --jump LOG --log-prefix "denylogweb: "
    /sbin/iptables --table nat --append PREROUTING\
        -i $INTERNALIF -p tcp --dst ! $LOCALIP --dport 80 --jump DROP


Après, pour mise en place :

Code: Tout sélectionner

expand-templates /etc/rc.d/init.d/masq
service masq restart


l'option denylogweb logguera les tentatives infructueuses dans /var/log/syslog

Ceci dit, je pense que les clients configurés pour utiliser le proxy continueront de passer à l'aise !

A+,
Pascal