[iptables][Résolu] Bloquer accès internet (Oui, je sais...)

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

[iptables][Résolu] Bloquer accès internet (Oui, je sais...)

Messagepar foubetc » 24 Fév 2009 14:12

Salutations !

Malgré mes [nombreuses] recherches sur le net, et la documentation fleuve associée a iptables, je reste persuadé qu'il devrait y avoir une façon simple de régler mon problème, a savoir :

J'ai un réseau interne basé sur l'adresse réseau suivante : 10.3.0.0

La plupart des utilisateurs ne doivent PAS avoir accès a internet. Il n'y a pas de petits malins et même s'il s'en trouvais, je peux facilement les détecter et les bloquer.

Quelques utilisateurs, une dizaine, ont accès par contre. Dont le serveur d'emails par exemple.

Si vous vous demandez pourquoi bloquer l'internet, c'est moins a cause de la perte de charge au niveau travail que parce que nous n'avons pas une connexion grande vitesse. Nous avons 128 Up et 256 down. En partagé en plus. Nous réservons donc cet accès a ceux qui en ont l'usage.

Comme je suis arrivé après la soupe, l'affectation des ip dynamiques et celles réservées ont été faites au petit bonheur la chance (vais changer tout ça).

Donc, comment bloquer toutes les ip, puis débloquer celles qui sont affectées par mon dhcp en fonction de l'adresse MAC du client ? (Dhcp réglé, donc pas de problèmes de ce côté ci).

Une astuce, un bout de code (j'utilise la SME 7.04, donc modification des templates, mais c'est pas un problème) ? Où rtfm ?

Merci !
Dernière édition par foubetc le 10 Juin 2009 18:52, édité 1 fois au total.
foubetc
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Fév 2009 12:44
Localisation: Gabon

Messagepar foubetc » 07 Mars 2009 13:30

Bon, j'ai suivi une méthode qui permet de réguler l'accès internet en passant le proxy en mode non transparent et en utilisant une méthode d'identification basée sur un fichier contenant des couples nom d'utilisateur/mot de passe crypté (créé avec htpasswd).

Méthode appliquée : http://www.vanhees.cc/index.php?module= ... ay&ceid=40

Avantage : Une personne ayant le bon couple username/password peu se logguer sur n'importe quelle machine du réseau.

Inconvénient : Il faut paramétrer l'usage du proxy sur tout les postes.

Amicalement.
foubetc
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Fév 2009 12:44
Localisation: Gabon

Messagepar gemoussier » 08 Mars 2009 13:43

Bonjour,
Attention, attention, avec cette méthode assurez vous que seul le proxy ait accès à internet ! Sinon n'importe qui peut contourner cette apparente sécurité très facilement, et vous en revenez à votre problème de base.
Comment s'identifie le serveur mail ? Proxy qui supporte les protocoles mails ?
Vous semblez utiliser SME (mode gateway?) mais je ne "connais" pas ce système, je ne peux pas mieux vous aider, voici seulement quelques questions à vous poser.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar jdh » 08 Mars 2009 14:54

L'expression "Accéder à Internet" hors de tout contexte ne veut rien dire !

- un serveur de mail accède à Internet avec les ports 25/tcp pour envoyer ou recevoir,
- un pc qui veut naviguer accédera à Internet avec les ports 80/tcp, 443/tcp.


Il est difficile de donner une piste supplémentaire ... puisque vous ne décrivez pas le contexte !

Il faut donner TOUS les éléments que vous pouvez (et pas seulement un n° de réseau sans masque).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar foubetc » 10 Mars 2009 18:24

Salutations !

@gemoussier :

Mon proxy tourne effectivement avec une SME 7.4, configuré comme serveur et passerelle internet (mode gateway, effectivement). eth0 vers le boitier satellite, eth1 vers le réseau d'entreprise.

J'ai configuré squid pour laisser passer le trafic du serveur d'emails.

@jdh :

J'ai utilisé abusivement l'expression "Accéder à Internet", c'est vrai. J'aurais du préciser que le but de ce réglage était d'empêcher a la majorité des utilisateurs du réseau la navigation sur le web, que ce soit en http ou en https.

Concernant le masque, c'est du 255.255.255.0

Avec mes réglages actuels, ça fonctionne. Je ne cherche pas une protection absolue, et de toutes façon, grace a SARG, je peux facilement détecter les tentatives.

Merci de votre intérêt a mon problème ! :)
foubetc
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Fév 2009 12:44
Localisation: Gabon

Messagepar ccnet » 10 Mars 2009 20:17

Je ne cherche pas une protection absolue, et de toutes façon, grace a SARG, je peux facilement détecter les tentatives.

J'adore cette phrase.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar foubetc » 11 Mars 2009 16:49

Les "Tentatives" dans ma société sont très basiques. Tentative de vol d'ip, essais multiples de différents mots de passes, etc, etc.

Je suis bien conscient que SARG est très insuffisant, mais bon... Surveiller le réseau n'est qu'une part infime de mon taf.

Mon vrai problème n'est vraiment pas d'empêcher tout le monde d'aller sur le web, mais de garder un minimum de bande passante pour les emails et quelques services ayant un besoin professionnel.

J'aimerais avoir plus de temps pour apprendre plus sur linux, que j'aime beaucoup. Je dit sans doute des $%#&!, mais ne demande qu'à apprendre. Mais en bossant de 10 à 14 heures par jour (Je bosse en afrique), je suis trop crevé le soir pour tout autre activité que manger/dormir.

@ccnet : J'aimerais, si tu veux bien, que tu me dise quelle $%#&! j'ai bien pu sortir. Merci ! :p
foubetc
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Fév 2009 12:44
Localisation: Gabon

Messagepar ccnet » 11 Mars 2009 18:59

je peux facilement détecter les tentatives.

C'est assez naif comme vision de la sécurité. En général lorsque la détection est faite c'est après intrusion ou tentative. Il s"coulera plusieur heures avant que vous ne vous en aperceviez. Ce qui importe c'est de faire en sorte qu'il puisse y en avoir le minimum, cela par construction. L'architecture doit être en mesure d'empêcher ou de dissuader au maximum les tentatives.

Mon vrai problème n'est vraiment pas d'empêcher tout le monde d'aller sur le web, mais de garder un minimum de bande passante pour les emails et quelques services ayant un besoin professionnel.

Ceci est par contre une approche tout à fait légitime et justifiée dans un cadre professionnel.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron