Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Appel à contributeurs pour la doc.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 16/03/2017, à 13:11

attentis

FIREWALL règles strictes et surtout ajout de hosts

bonjour à tous.

Sujet : FW avec des règles strictes et l'ajout de host....

Problématique :  je souhaite avoir des règles strictes et savoir si dans un script de Firewall on peut ajouter l'équivalent d'un host utilisé pour un poste.
dit autrement
j'ai plus de 16.0000 adresses ip bloquées par host.
est-il possible de mettre un fichier host sur un FW matériel  ?
Ce qui me permettrait alors de n'avoir qu'un poste à modifier sans avoir à intervenir sur chaque poste...

Si cela est possible
comment me recommandez-vous de faire ?

Est-ce que le fichier Host peut etre mis directement sur la bécane et dans quel répertoire ?
S'il doit être
nommé autrement,
intégré au script du FW
etc etc

votre aide me sera très très précieuse

Au plaisir de vous relire

Hors ligne

#2 Le 17/03/2017, à 11:51

J5012

Re : FIREWALL règles strictes et surtout ajout de hosts

pourquoi 16mille ?
ne serait-ce pas plutot mieux de tout bloquer par defaut, et de n'autoriser qu'au compte goutte ?

Hors ligne

#3 Le 05/08/2017, à 12:32

attentis

Re : FIREWALL règles strictes et surtout ajout de hosts

JR012

merci pour ton intervention et ta rapide réponse en profitant pour m'excuser de la lente réactivité qui a été la mienne.

pourquoi 16.000

en réalité, il y a 327000 et quelques adresses ip qui sont réputées "dangereuses" ou invasives.
parmi elles, il faut prendre un exemple concret français : HADOPI qui, tout le monde le sait sous-traite la charge de traquer les vilains dangereux terrorristes cinémaphiles - que je ne suis pas - pour leur envoyer une petite lettre recommandée....

Pour ma part, j'ai pris une tangente qui tient compte de "ma sécurité" et sur la capacité à un fichier host à être lu rapidement.
Il évident que techniquement plus ton host est petit plus la mémoire est libre.

Avec ces 16.000 adresses mes enfants ne peuvent pas accéder à des sites non adaptés à leurs âges mais inversement, je ne suis pas importuné non plus.
Cela répond à ta question ?

Up pour les autres avec plaisir pour les réponses tehcniques qui pourront être fournies

Hors ligne

#4 Le 05/08/2017, à 13:08

J5012

Re : FIREWALL règles strictes et surtout ajout de hosts

pour ca tu as besoin d'un chateau fort wink ou demilitarized zone dite aussi DMZ ...

en gros les utilisateurs ne se connectent pas au net via la connexion dsl de la box du fai, mais sur cette dmz configurée en passerelle internet dite gateway; on greffe sur celle-ci , soit un service dns + proxy-filtrant , soit un fliltrage par fichier hosts ...

- tu installes sur ton ordi un service dhcp, soit le complet isc-dhcp, soit le leger avec dnsmasq

→ le dhcp alloue le bail de connexion au client pour l'acces au net, il lui communique les ip dns (ip local de l'ordi ayant le fichier hosts) et passerelle (ip local de l'ordi dmz) du serveur pour l'acces au net ...

Dernière modification par J5012 (Le 06/08/2017, à 11:25)

Hors ligne

#5 Le 05/08/2017, à 14:09

Barnabé2

Re : FIREWALL règles strictes et surtout ajout de hosts

attentis a écrit :

Sujet : FW avec des règles strictes et l'ajout de host....
j'ai plus de 16.0000 adresses ip bloquées par host.
est-il possible de mettre un fichier host sur un FW matériel  ?
Ce qui me permettrait alors de n'avoir qu'un poste à modifier sans avoir à intervenir sur chaque poste...


Salut,


Bloquer des IP ( 16 000 ) dans la livebox en mode pare feu " personnalisé " pas possible, de mémoire dans la freebox non plus.

Regarde ce que tu peux faire avec le module Ublock origin dans " mes filtres ".

https://addons.mozilla.org/fr/firefox/a … ck-origin/



ps : DMZ ne pas toucher.

Dernière modification par Barnabé2 (Le 05/08/2017, à 14:12)


Ubuntu 16.04 LTS

Hors ligne

#6 Le 05/08/2017, à 19:56

Sub0

Re : FIREWALL règles strictes et surtout ajout de hosts

Ublock Origin n’est pas pertinent ici, vu qu’il souhaite effectuer un filtrage des connexion pour l’ensemble du LAN.

@attentis
Ce n’est pas d’un chateau fort dont tu as besoin, mais de reprendre la main sur ton routeur.
Tu as plusieurs solutions, mais la meilleure place pour réaliser ce genre de chose reste le routeur. L’idée de JS5012 est la bonne, mais ton ordi perso n’est pas forcément la machine la plus adaptée pour ça. Comme tu insistes sur « matériel », j’entends que tu veux du dédié. Tu as alors 3 solutions :

-En achetant un routeur du commerce, tu pourras utiliser le /etc/hosts que tu utilises actuellement sur ta machine et l’appliquer à l’ensemble des terminaux pour lesquelles il est le serveur dns et la passerelle. Elle remplacera en gros ta « box » dans ses fonctions de routage/addressage/dns.
La plupart des firmware proprio proposent des solutions de filtrage qui marchent bien (je les connais pas plus que cela, je flash systèmatiquement les miens) et normalement tu peux ajouter un host maison. Ils offrent aussi des fonctions de blacklist/whitelist, contrôle des heures de connexions pour certains clients, etc.

Personnellement, j’ai un routeur qui tourne sous GNU/Linux (OpenWrt) avec un serveur DHCP/DNS (dnsmasq) qui bloque environ 60000 domaines + un proxy filtre (privoxy) qui chasse pas mal de pubs/boutons-réseaux-sociaux/bannières-cookie-à-la-con/trackers/autres-joyeusetés pour l’ensemble des clients.
Autant dire que je vois rarement une pub (et environ 2000 requêtes google-analytics bloquées et interceptées par semaine !). Le tout sans problème de perf ni nuisances. Et je n’aurais pas trop de mal à m’empêcher de consulter du porno (à supposer que je ne contourne pas mes propres restrictions).

L’avantage c’est que 1/ c'est un vrai GNU/Linux (connexion en SSH, interface web, VPN maison, t’installes ce que tu veux), 2/ ça ne surcharge pas les processeurs des machines 3/ le routeur joue le rôle de serveur DHCP, donc rien a configuré côté client pour les DNS, 3/ c’est totalement transparent pour tes utilisateur, 4/ c'est fun, modulable et on apprend des choses.

Si t’es curieux, tu peux même affiner tout ça avec des sous-domaines/vlan pour appliquer des politiques différentes, par exemples pour les enfants, les invités, etc.

- Si tu ne souhaites pas mettre les mains dans un routeur, tu as toujours la solution de JS5012 de transformer ta machine en routeur (ne te prends pas la tête avec les DMZ, ce n’est ni nécessaire ni franchement pertinent dans ton cas) ou en serveur DHCP/DNS. L'inconvéniant, c'est que ta machine doit tourner pour servir les clients, ce qui n'est pas toujours souhaitable. Tu risques aussi de devoir aller mettre un peu les mains dans le cambouis si tu veux faire de ton PC la passerelle des autres clients.

- Solution intermédiaire, sympa et économique : tu installes un raspberry a côté de la box qui fera cache DNS et/ou proxy. Pour 3W de conso, t’as pas à laisser tourner ton ordi en permanence, t’as une machine dédiée pour ça. Le tout sans avoir à toucher au routeur (mettre la box en bridge si t’en as une, etc.)
Regarde du côté de PiHole (je crois que ça s’approche de ce que tu cherches), mais un simple RPI avec une raspbian (ou ce que tu veux) dessus fera l’affaire. Après tu peux l’oublier dans le salon sans te soucier de conso/bruit/conf.

Dernière modification par Sub0 (Le 05/08/2017, à 19:58)


Seule alternative au bépo acceptée = stylo/papier.

Hors ligne

#7 Le 05/08/2017, à 20:20

Barnabé2

Re : FIREWALL règles strictes et surtout ajout de hosts

Sub0 a écrit :

Ublock Origin n’est pas pertinent ici, vu qu’il souhaite effectuer un filtrage des connexion pour l’ensemble du LAN.
.


Ah bon ! j'en doute, tu as vu ça où ? Ublock c'est du WAN en général.

Dernière modification par Barnabé2 (Le 05/08/2017, à 20:20)


Ubuntu 16.04 LTS

Hors ligne

#8 Le 05/08/2017, à 20:30

Barnabé2

Re : FIREWALL règles strictes et surtout ajout de hosts

Sub0 a écrit :

Tu as alors 3 solutions :
-En achetant un routeur du commerce, tu pourras utiliser le /etc/hosts que tu utilises actuellement sur ta machine et l’appliquer à l’ensemble des terminaux pour lesquelles il est le serveur dns et la passerelle. Elle remplacera en gros ta « box » dans ses fonctions de routage/addressage/dns.


Attentis,

Surtout garde ta box, d'abord il ne faut pas oublier le " triple play " ( internet tv et téléphone ), ensuite parce que les box sont souvent mises à jour, pas la multitude de routeurs qui sont la proie actuelle des hackers, ce qui n'est pas toujours su du grand public, GNU... ou pas GNU.


Ubuntu 16.04 LTS

Hors ligne

#9 Le 05/08/2017, à 21:46

Sub0

Re : FIREWALL règles strictes et surtout ajout de hosts

@Barnabé2

Ublock est une extension pour navigateur. Pas quelque chose « qui [...] permettrait alors de n'avoir qu'un poste à modifier sans avoir à intervenir sur chaque poste... ». Attentis n’a pas demandé un bloqueur de pub, il a demandé (avec ses mots à lui), à établir des régles de filtrage pour l’ensemble de son LAN, autrement dit soit au niveau de la passerelle WAN-LAN, soit au niveau du serveur de DNS (hosts). Filtrage de quoi, d’ailleurs, qu’importe.

Ublock ne relève pas du tout du même niveau.

Faire ça, c’est une demande fréquente, une démarche fréquente, et il y a plusieurs solutions pour le faire. Toutes demandent un peu d’investissement technique et un minimun de compréhension du fonctionnement d’un réseau (c’est aussi un très bon moyen d’apprendre et de reprendre la main quand on a « pris une tangente qui tient compte de "ma sécurité" ».

Par rapport à ce qu’il demande, voilà les solutions. Ensuite, il envisagera, en personne libre, les options qui s’offrent à lui compte tenu de ses compétences, de ses contraintes et de ses craintes. Mettre un routeur n’implique pas forcément de se couper du triple play. Après, c’est vrai, ça peut devenir un peu complexe (mais faut pas oublier qu’un réseau ça peut être plus complexe qu’une « box » + des cables vers des ordinateurs).
(Le multiplexage TV/Tel/Net n’est pas séparé au niveau du « routage » à proprement parler, en fait !)

sub0 a écrit :

Elle remplacera en gros ta « box » dans ses fonctions de routage/addressage/dns.

est différent de « ta box ne servira plus à rien et ira au placard » wink

La solution de J5012 déportée sur une machine dédiée est ce qui répond le plus à ses attentes. Soit routeur (compliqué), soit RPI (fun et économique), soit vieux PC qui traine (au détriment de la conso), soit sa propre machine (avec les contraintes que j’ai indiqué, en terme de routes, de dispo, etc.)

J’essaie de mettre en perspectives les choses : niveau techniques, proxy/pas_proxy, dédié/pas dédié

Si t’as mieux pour déployer du filtrage par fichier hosts (la demande), on va être des milliers à te remercier.

Quant à la sécurité des « boxes » devant celle des routeurs sous OWRT/LEDE devant les méchant « hackers », j’espère que c’est de la provocation gratuite (ou alors t’as pas idée ce qu’est OWRT et de qui sont les devs !:D)

Si LEDE est pas à jour, je pense qu’ils seront ravi d’avoir un 340ème contributeur et de pousser tes patchs Barnabé, le dernier datant d’il y a 9 heures.

C’est pas parce qu’il y a eu deux-trois (très) grosses failles sur les firmwares (tp-link en particulier) qu’il faut généraliser (tu les as testé ces failles ? Moi oui, certaines, pour « casser » des routeurs (en fait, je collectionne les routeurs et je les bidouille…))


Seule alternative au bépo acceptée = stylo/papier.

Hors ligne

#10 Le 06/08/2017, à 06:51

Barnabé2

Re : FIREWALL règles strictes et surtout ajout de hosts

Barnabé2 a écrit :
Sub0 a écrit :

Ublock Origin n’est pas pertinent ici, vu qu’il souhaite effectuer un filtrage des connexion pour l’ensemble du LAN.
.

Ah bon ! j'en doute, tu as vu ça où ? Ublock c'est du WAN en général.


Je répète ma question, où ?

Le problème posé est :

" Problématique :  je souhaite avoir des règles strictes et savoir si dans un script de Firewall on peut ajouter l'équivalent d'un host utilisé pour un poste.
est-il possible de mettre un fichier host sur un FW matériel  ? "

Rien d'autre, pourquoi ne pas essayer Ublock pour avoir l'équivalent d'un host ? ça a le mérite incomparable de la simplicité :
" Une règle par ligne. Une règle peut être un simple nom d'hôte, ou encore un filtre respectant la syntaxe des filtres Adblock Plus. Les lignes débutant par ‘!’ seront ignorées ".


Vous êtes pénibles avec vos " solutions " à base d'iptables et de routeurs réglés aux petits oignons, avec parfois un petit VPN très très simple ( ... ) à configurer, pour des gens qui ne connaissent rien au réseau, le tout avec la pointe d'ironie classique quand on parle de la vulnérabilité de Linux.

Linux + Iptables + routeur + VPN + Fail2ban + Portsentry... ben voyons ! le tout installé par un quasi débutant souvent, pfff ! c'est ça votre sécurité ?

Les routeurs classiques Linux, hyper devs ou pas, ne tiennent plus la route, je maintiens, ils sont pleins de failles trouvées, et ce n'est qu'un début, gardons nos box françaises qui ont une réputation de solidité, au moins elles sont à jour, pas besoin d'abonnement téléphone, ni de chaînes TNT.


Ah oui ! au fait ! sur un firewall logiciel payant du méchant Windows, on peut faire ce qu'Attentis demande, on peut bloquer des IP, des domaines, des extensions, des protocoles, des listes, le problème est là, la plasticité des outils de sécurité Linux actuels, un peu de retard...

Dernière modification par Barnabé2 (Le 06/08/2017, à 07:40)


Ubuntu 16.04 LTS

Hors ligne

#11 Le 06/08/2017, à 10:11

Sub0

Re : FIREWALL règles strictes et surtout ajout de hosts

Il y a quelques années, je n’y connaissais rien au réseau. Et pourtant… il existe un truc qui s’appelle l’ « apprentissage », un autre « la liberté de choix ».
Laisse donc les gens déterminer ce qu’ils souhaitent, exprimer ce qu’ils comprennent ou ne comprennent pas, et dialoguer pour avoir plus de précisions si nécessaire. Ma solution n’a RIEN de compliqué.

Barnabé2 a écrit :

Le problème posé est :

" Problématique :  je souhaite avoir des règles strictes et savoir si dans un script de Firewall on peut ajouter l'équivalent d'un host utilisé pour un poste.
est-il possible de mettre un fichier host sur un FW matériel  ? "

Tu ne sais donc pas toi-même lire ce que tu recopies : matériel, firewall et mettre un host sur un FW matériel.

Ublock ne répond à aucun de ces critères.
De plus, s’il utilise déjà un gros hosts, il sait ce qu’est Ublock et sait utiliser un bloqueur de pub.

Parce que tes  « boxes » de FAI sont autre chose que des routeurs qui tournent sous Linux ou BSD ?
C’est pas parce que qu’elles sont fermées et qu’elles ont des interfaces pourries qu’elles sont « sécurisés »…
Tu démontres que tu n’y connais rien, strictement rien en réseaux et matériels réseau. Pour les failles, cesse de parler de ce que tu ne connais pas. Et c’est quoi le rapport avec les abonnements téléphoniques et la TNT ? Tu mélanges tout.

C’est sympa de vouloir aider les autres, mais quand c’est sur des domaines qu’on maitrise visiblement pas, on vient pas donner des leçons à ceux qui, eux, ont bossé les sujets dont ils traitent. Ou alors, avoir au moins un minimum d’humilité. En tous cas, arrête de prendre tout le monde pour des crétins.

Je suis même étonné que tu ne lui ai pas proposé ta solution habituelle, au vue de ton historique de posts : réinstaller et fermer un port où aucun serveur n’écoute et en étant derrière une « box »…

Tu considères Attentis comme un ignorant qui ne comprends rien, et tu te mets en position de sachant, alors que visiblement tu n’y connais rien.
Moi je le considère comme quelqu’un de soucieux de sa sécurité et qui souhaite apprendre, et me mets en position d’aidant, en considérant que c’est un moyen pour moi d’apprendre de nouvelles choses.


@Attentis : je suis vraiment désolé de la tournure qu’à pris ta demande d’aide. C’est toujours comme ça avec lui dès qu’on abonde pas en son sens. Je ne lui répondrai plus wink

Dernière modification par Sub0 (Le 06/08/2017, à 10:13)


Seule alternative au bépo acceptée = stylo/papier.

Hors ligne

#12 Le 06/08/2017, à 11:49

Barnabé2

Re : FIREWALL règles strictes et surtout ajout de hosts

Sub0 a écrit :

. En tous cas, arrête de prendre tout le monde pour des crétins.


Bon allez ! je vois que j'ai été bien compris, y a à peu près le même commentaire sur un autre topic, le tien, vous avez fait votre temps, avec vos allures de matamore ou m'as tu vu, maintenant Linux est sur la défensive, point !

Linux pour ne pas être espionné oui, maintenant côté défense peut mieux faire, et y a du boulot.

Mes conseils : Firefox avec Noscript, UFW activé par défaut, rien d'autre en mode client, le reste c'est du bavardage d'egos malmenés en ces temps difficiles, un peu comme lors de la chute du mur de Berlin...

Dernière modification par Barnabé2 (Le 06/08/2017, à 12:23)


Ubuntu 16.04 LTS

Hors ligne