[Réseau] Contrôle parental

[trapangle]

Bonjour,

Je cherche à restreindre à une liste blanche les sites auxquels un utilisateur de ma machine a accès. J'ai trouvé et j'ai suivi https://wiki.archlinux.org/index.php/Parental_Control (Whitelist with Tinyproxy and Firehol) mais au moment de démarrer firehol, j'ai une erreur :

Code : Tout sélectionner

[alain@earth firehol]$ sudo firehol start
FireHOL: Saving your old firewall to a temporary file: OK
FireHOL: Processing file /etc/firehol/firehol.conf: OK
FireHOL: Activating new firewall (59 rules):

--------------------------------------------------------------------------------
ERROR   : # 1.
WHAT    : A runtime command failed to execute (returned error 2).
SOURCE  : line 15 of /etc/firehol/firehol.conf
COMMAND : /usr/bin/ip6tables -t nat -A out_trproxy.1 -d 127.0.0.1 -j RETURN 
OUTPUT  : 

ip6tables v1.4.21: host/network `127.0.0.1' not found
Try `ip6tables -h' or 'ip6tables --help' for more information.

 FAILED


FireHOL: Restoring old firewall: OK

Broadcast message from systemd-journald@earth (Sun 2015-03-15 20:04:35 CET):

FireHOL[25593]: FAILED to activate the firewall from /etc/firehol/firehol.conf. Last good firewall restoration: OK.

Je suppose que le problème vient de ip6 et 127.0.0.1, et que je devrais remplacer l'IP par ::1, mais dans quel fichier est-ce firehol/ip6tables vont chercher cette IP ?

Pour info, mon /etc/firehol/firehol.conf :

Code : Tout sélectionner

[alain@earth firehol]$ more firehol.conf
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 6

# Parental Control - Fwd to TinyProxy
# Added by alain
transparent_proxy "80 443" 8888 "nobody root bin alain"

# Accept all client traffic on any interface
interface any world
	client all accept

[RoyalPanda]

Bonjour,

Deux choix s'offre à toi :

1°) Essayer de changer le numéro de version dans firehol.conf (man firehol) :

passer de : "version 6" à "version 5"

2°) Modifier le fichier /sbin/fireholl.in (peut-être dans /usr), la ligne de commande est codé en dur dans ce fichier, avec le 127.0.0.1.
Et oui, le problème viens bien du mix IPv4 et IPv6.

[trapangle]

Salut,

Je ne m'étais pas abonné au sujet, je vois ta réponse seulement maintenant, merci.

Si je laisse version 6 dans firehol.conf et que je change le 127.0.0.1 en ::1 dans /sbin/firehol, alors j'ai le même message d'erreur pour /usr/bin/iptables (au lieu de /usr/bin/ip6tables avant). Donc visiblement il essaie de trouver l'IP aussi bien dans /usr/bin/iptables que dans /usr/bin/ip6tables.

Si je change en version 5 dans firehol.conf (alors avec 127.0.0.1), je n'ai plus de message d'erreur (seulement un warning pour passer en version 6) mais le fonctionnement n'est pas encore bon...certaines adresses de ma whitelist fonctionnent (google.be, google.fr, pokepedia.fr) mais certaines restent en attente d'une réponse (armorgames.com, kongregate.com), et certaines adresses qui ne sont pas dans la whitelist (qui devraient être filtrées) restent aussi en attente (9gag.com).

Bref, je continue à chercher, merci pour ta réponse en tout cas.