Bonjour,
Ayant un peu de temps ces jours-ci, je continue mon projet. Je souhaiterais si possible autoriser à sortir sur le net uniquement certaines machines (wlan et eth). Je pense utiliser iptables.
L’idée : refuser l’accès au net à toute machine sauf celles dont l’adresse mac figure dans iptablees
reseau :
Pour les paquets qui traversent la machine qui fonctionne en routeur, c’est dans la chaîne FORWARD que ça se passe. Il faudrait aussi spécifier l’interface d’entrée. En revanche si les communications avec l’extérieur passent obligatoirement par squid (c’est alors plus un accès au web qu’un accès “au net”), alors c’est bien la chaîne INPUT pour iptables mais squid peut également faire du filtrage par adresse MAC. Dans tous les cas fais attention à ne pas appliquer ce filtrage d’adresse MAC sur l’interface connectée à la box.
Je dois bloquer les accès au “net/web ?” de tout celui ou celle que je n’ai pas autorisé à sortir.Squid ne filtre pas le https. C’est pour cela que je pensais à iptables. De plus, squid n’est pas configuré en mode transparent. Je ne vais donc pas configurer les accès à l’extérieur de tout le monde.
Donc mes règles seraient les suivantes :
Tout refuser en bloc et n’autoriser que les adresses mac que je connaisse.
Bonjour,
Attention à ton Squid, si la machine est bloquée par iptables mais qu’elle a accès à squid : alors elle pourra aller surfer via Squid (on met les informations de proxy en dur dans le navigateur). Il y a des ACL à paramétrer dans squid pour gérer tout ca…
Accès au net et accès au web, ce n’est pas pareil. Tu dois comprendre la différence et ce cela implique en matière de flux réseau avant d’aller plus loin dans ton projet.
web = HTTP(S), peut être géré par un proxy HTTP.
“net” = tous types de communications IP, pas seulement HTTP(S), ne peut pas forcément être géré par un proxy HTTP.
La première chose à faire est de définir ton besoin, par exemple :
Si la machine est bloquée par iptables dans la chaîne INPUT, elle n’a pas accès à squid.