Bonjours,
Je cherche le moyen de limiter (quand je le veux) les possibilité de navigations de la machine seulement quelques pages web. C'est a dire que je ne cherches pas de systeme de filtrage par termes ou autre je veux simplement que seulement les sites que j'ai declarés puissent etre visités et les autres rejetés ..
J'ai essayé de mettre ALL: ALL: DENY dans le hosts.deny et un site dans le hosts.allow mais tout est toujours accessible (aucuns changements) . Fault-il relancer un service pour que les modification soients prises en compte ?
Malgres quelques recherches je ne trouve pas trop comment faire ..
Merci de vos reponses .
Dernière modification par LiRYc le sam. 16 oct. 2010, 08:52, modifié 1 fois.
Au plus tu vas moins vite, au moins tu vas plus loing .
hosts.allow/hosts.deny ne sert que pour les programmes utilisant le mécanisme tcp_wrappers, via la librairie libwrap. Ce mécanisme sert pour filtrer des accès aux démons tournant sur ta machine (ex : vsftpd, sshd, telnetd).
Cela ne marchera pas pour un client (comme un navigateur web).
Tu veux te limiter à quelques pages ou à quelques sites (et toutes les pages de ces sites) ? Parce que limiter à quelques sites, avec iptables cela est faisable, mais quelques pages... je ne vois pas.
La majorité des bugs se situe entre la chaise et le clavier...
Arrêtez de vous prendre la tête avec les partitions... passez au LVM
Un site c'est tres bien .
Ce que je veux faire est tout bete si je laisse ma fille sur le pc sur un site de coloriage (par exemple) je ne veux pas que en cliquant partout elle change de site et aille sur des pubs ou ailleur ....
Avec iptables j'ai essayer de raser toutes les regles et d'ajouter que l'ip d'un site, ensuite l'ip du router pour que le dns passe .. mais j'arrive pas a quelque chose de concluant ... Les frontends tels que firestarter ne permettent pas ce genre de reglages .. J'ai un peut du mal là .....
Au plus tu vas moins vite, au moins tu vas plus loing .
Dans un premier temps ca pourra le faire, mais dans ce cas je suis obligé aussi de desinstaller les eventuels autres browsers de la machine (opera par exemple).
Ceci dit ce type d'addon a l'air de repondre au problème .. j'ai plus qu'a le tester .
Merci du lien .. j'attends de voir si quelqu'un sais comment faire le meme type de "filtrage" avec iptable avant de passer resolu
Au plus tu vas moins vite, au moins tu vas plus loing .
Pour opera tu as le mode kiosque que l'on utilise aussi pour des bornes qui fera très bien l'affaire.
Si tu cherches une solution plus globale, pas besoin de trop se prendre la tête soit tu te montes un proxy comme squid qui te permettra de bloquer tout ce que tu veux ou encore plus simple passer par un service comme opendns qui te permettra de paramétrer les sites autoriser ou non.
Avec iptables j'ai essayer de raser toutes les regles et d'ajouter que l'ip d'un site, ensuite l'ip du router pour que le dns passe .. mais j'arrive pas a quelque chose de concluant ...
Pourrait tu donner ton script iptables ? Car cela devrai marcher
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.1.1 -j ACCEPT #box
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT #
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -d 192.168.0.1 -j ACCEPT #routeur
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s 192.169.66.26 -j ACCEPT # site (tfou.fr)
iptables -A OUTPUT -d 193.169.66.26 -j ACCEPT
de manière très basique pour voir un peu ce qu'il se passait ..
bon en fait je peux pinguer 192.168.0.1, 192.168.1.1, 193.169.66.26, la resolution de nom fonctionne mais le site ne s'ouvre pas dans le navigateur ....
Au plus tu vas moins vite, au moins tu vas plus loing .
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.1.1 -j ACCEPT #box
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT #
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -d 192.168.0.1 -j ACCEPT #routeur
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s 192.169.66.26 -j ACCEPT # site (tfou.fr)
iptables -A OUTPUT -d 193.169.66.26 -j ACCEPT
de manière très basique pour voir un peu ce qu'il se passait ..
bon en fait je peux pinguer 192.168.0.1, 192.168.1.1, 193.169.66.26, la resolution de nom fonctionne mais le site ne s'ouvre pas dans le navigateur ....
iptables -P FORWARD DROP # ce n'est pas une passerelle/routeur
iptables -P OUTPUT DROP # ton enfant ne peux pas initier une connexion vers quelque chose non autorisé
iptables -P INPUT ACCEPT # on va faire confiance à ton routeur/box/réseau local
iptables -I OUTPUT -d 192.168.0.1 -j ACCEPT # cela t'autorise l'acces ssh, web ou autre vers ton routeur, pas sur internet (à part si tu as un proxy dessus)
iptables -I OUTPUT -d 192.169.66.26 -j ACCEPT # site (tfou.fr)
iptables -I OUTPUT -d 193.169.66.26 -j ACCEPT # dns
Une autre solution est d'enlever la config dns, puis de config le fichier /etc/hosts pour résoudre juste le site en question..
A voir si il n'y a pas de problème de cache.
#!/bin/bash
PLAGE_LOCAL="192.168.0.0/24"
IP_DNS="192.168.1.1" # le dns c'est 193.169.66.26 apriori..
# Suppression de toutes les chaines pre-definies de la table FILTER
iptables -t filter -F
# Suppression de toutes les chaines utilisateur de la table FILTER
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Autorise l'interface loopback a dialoguer avec elle-meme
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
# Autorise les connexions avec le reseau "PLAGE_LOCAL"
iptables -t filter -A OUTPUT -s $PLAGE_LOCAL -d $PLAGE_LOCAL -j ACCEPT
iptables -t filter -A INPUT -s $PLAGE_LOCAL -d $PLAGE_LOCAL -j ACCEPT
# DNS
iptables -t filter -A OUTPUT -s $PLAGE_LOCAL -d $IP_DNS -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -s $PLAGE_LOCAL -d 193.169.66.56 -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A OUTPUT -s $PLAGE_LOCAL -d 91.213.146.11 -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A INPUT -s 64.211.168.17 -d $PLAGE_LOCAL -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A OUTPUT -s $PLAGE_LOCAL -d 64.211.168.17 -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A INPUT -s 193.169.66.18 -d $PLAGE_LOCAL -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A OUTPUT -s $PLAGE_LOCAL -d 193.169.66.18 -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A INPUT -s 64.211.168.24 -d $PLAGE_LOCAL -j ACCEPT # je ne sais pas ce que sont ces adresses...
# iptables -A OUTPUT -s $PLAGE_LOCAL -d 64.211.168.24 -j ACCEPT # je ne sais pas ce que sont ces adresses...
Bon avec ca tu n'accedes tj pas au site que tu veux, rajoute seulement :
192.169.66.26 n'est pas la bonne IP... Donc bon...
Toutes les adresse IP que j'ai mise sont nécessaire pour aller sur le site. J'en ai du oublié aussi...
Merci pour toutes vos réponses !
Je n'ai pas le temps d'experimenter tout ca dessuite, mais dès que je peux je fait les tests.
Et je passerais le post en résolut.
Au plus tu vas moins vite, au moins tu vas plus loing .
je reviens pour dire que le script de benjarobin est ok pour moi, ca fait le travail.
je vois mieux maintenant comment attaquer iptables.
avec le proxy squid sinon ?
En recherchant une solution sur le net j'avais bien trouvé des explication de filtrage avec squid mais pour le moment j'ai pas envie de faire tourner un proxy que pour ca.
LiRYc a écrit :je reviens pour dire que le script de benjarobin est ok pour moi, ca fait le travail.
je vois mieux maintenant comment attaquer iptables.
avec le proxy squid sinon ?
En recherchant une solution sur le net j'avais bien trouvé des explication de filtrage avec squid mais pour le moment j'ai pas envie de faire tourner un proxy que pour ca.
Rien que pour le cache ça vaut le coup d'utiliser un proxy
J'en profite pour me greffer à cette discussion... vous avez évoqué Nanny, et c'est un projet dédié à Gnome.
Or, le PC que je veux protéger/filtrer est sous KDE4.
Existe-t-il une alternative ? Me faut-il passer sous Gnome ? (je le ferai si nécessaire, mais j'aimerais éviter).
Pour le moment, je me suis cassé les dents avec squid+dansguardian (squid bloque tout, et je ne comprends pas pourquoi), mais je manque de temps pour correctement débugguer le pb. Ce week-end peut-être... en attendant, je lirai avec intérêt vos réponses... ou j'ouvrirai un autre topic si nécessaire.
Merci.
Cactus.
.
