Pages : 1
#1 Le 20/11/2007, à 19:05
- Bruno2007
[Résolu] Controle parental et iptables
Bonjour,
J'utilise tinyproxy+dansguardian pour un contrà´le parental.
OK ça marche avec les options firefox pour qu'il passe par le proxy.
Mais si mes chères têtes blondes désactivent les options firefox ils peuvent surfer quand même, et sans protection.
Sachant qu'ils savent utiliser firefox, epiphany, opera, konqueror... je ne vais pas bloquer tous les navigateurs.
Mes enfants font partie du groupe d'utilisateurs children (évidemment).
Je voudrais forcer tout le trafic http avec gid-owner children à passer par le proxy, avec des règles iptables. Si on déactive les options proxy pas de surf.
Je ne suis pas un pro d'iptables, help!
Merci à toutes et tous,
Bruno
#2 Le 20/11/2007, à 21:56
- Uther Pendragon
Re : [Résolu] Controle parental et iptables
Peux tu decrire ton environnement ?
Un PC faisant office de poste client + router ADSL ?
Plusieurs clients avec un firewall linux ?
Vous êtes un PRO ? Vous avez besoin de conseils pour votre informatique ? Visitez www.gerst.fr
Hors ligne
#3 Le 21/11/2007, à 10:32
- Bruno2007
Re : [Résolu] Controle parental et iptables
Un seul PC sous linux - Mepis 6.0 basée sur Dapper.
Connexion adsl freebox --> fonction routeur qui assure le parefeu, donc aucun parefeu configuré dans iptables.
Merci,
Bruno
#4 Le 21/11/2007, à 10:45
- Nab!!daN
Re : [Résolu] Controle parental et iptables
Salut,
utilise openDNS il possedent un filtre parental gratuit.
2 options:
tu change les DNS sur le PC ou mieux sur la freebox.
www.opendns.com
Bye !
La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.
Hors ligne
#5 Le 21/11/2007, à 10:49
- Bruno2007
Re : [Résolu] Controle parental et iptables
Et dire que j'utilise déjà opendns, mais je ne savais pas ça !:P
Merci beaucoup, je vais essayer !
#6 Le 21/11/2007, à 10:50
- maskott
Re : [Résolu] Controle parental et iptables
je suppose que comme tout est sur la même machine...que tinyproxy écoute sur localhost:8080
et que ton interface "exterieure" est eth0, l'adresse de la boxe x.y.z.t
donc il faudra adapter...en cas de problème pas de soucis, les tables de routages sont remises à zéro par
sudo /etc/init.d/iptables stop
sudo iptables -t nat -A OUTPUT -d x.y.z.t --dport 80 -j REDIRECT --to-destination localhost:8080
cependant c'est à tester/confirmer (je suis de tête...)
c'est censé prendre les paquets généré localement (OUTPUT) à destination de xyzt:80 et les envoyer sur localhost:8080...
je me demande si ce n'est pas une boucle sans fin, iptables reprendrai les paquets sortants de tinyproxy et les remetrai à l'entrée...
Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)
Hors ligne
#7 Le 21/11/2007, à 11:17
- Nab!!daN
Re : [Résolu] Controle parental et iptables
Re
J'ai pas essaye l'efficacite de openDNS sur ce sujet, tu pourrais nous donner un petit feedback car je trouve que c'est vraiment un super DNS alternatif
A plus tard !
La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.
Hors ligne
#8 Le 21/11/2007, à 11:27
- Bruno2007
Re : [Résolu] Controle parental et iptables
je suppose que comme tout est sur la même machine...que tinyproxy écoute sur localhost:8080
et que ton interface "exterieure" est eth0, l'adresse de la boxe x.y.z.tdonc il faudra adapter...en cas de problème pas de soucis, les tables de routages sont remises à zéro par
sudo /etc/init.d/iptables stopsudo iptables -t nat -A OUTPUT -d x.y.z.t --dport 80 -j REDIRECT --to-destination localhost:8080
cependant c'est à tester/confirmer (je suis de tête...)
c'est censé prendre les paquets généré localement (OUTPUT) à destination de xyzt:80 et les envoyer sur localhost:8080...
je me demande si ce n'est pas une boucle sans fin, iptables reprendrai les paquets sortants de tinyproxy et les remetrai à l'entrée...
Merci je vais essayer... OpenDNS aussi mais ça me ferait c... carrément suer que Linux ne puisse pas résoudre mon problème !
#9 Le 22/11/2007, à 09:50
- Bruno07
Re : [Résolu] Controle parental et iptables
Up
Avec tinyproxy et dansguardian je fais la commande classique:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
En configurant le proxy dans le navigateur j'ai mon controle parental, en le retirant je n'ai aucune limitation. Que je tape cette commande ou pas d'ailleurs.
Je voudrais que sans proxy on ne puisse plus surfer.
Je n'y comprends rien...
Merci,
Bruno
Hors ligne
#10 Le 22/11/2007, à 10:05
- maskott
Re : [Résolu] Controle parental et iptables
on y est presque.... je suis allé trop vite dans ma règle...
regarde la fin concerne iptables :
http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_controle_parental
(y a vraiment tout sur ce site...)
voilà la règle donnée :
sudo iptables -t nat -A OUTPUT -m owner ! --uid-owner **13** -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
MAIS DOUCEMENT :
ce tuto explique avec squid (et non tinyproxy),
donc
1 - ce n'est pas 3128 mais 8080
2- vérifier que "uid owner" est toujours "13"
pour cela, il faut connaà®tre le propriétaire de "tinyproxy"....et c'est root!!
(ls -l /usr/sbin/tinyproxy)
or pour pas influencer le fonctionnement d'autres programmes, je pense qu'on ne peux pas dire de rediriger tout les flux qui ne sont pas en provenance de root...
donc on va mettre sous la coupe de l'"user" proxy tout ce qui est nécessaire à tinyproxy...
sudo chown -R proxy:proxy /usr/share/tinyproxy
sudo chown -R proxy:proxy /usr/share/doc/tinyproxy
sudo chown proxy:proxy /usr/sbin/tinyproxy
sudo chown proxy:proxy /var/log/tinyproxy.log
sudo chown -R proxy:proxy /etc/tinyproxy
sudo chown -R proxy:proxy /etc/init.d/tinyproxy
puis vérifier que l'uid est bien 13
grep proxy /etc/passwd
Dernière modification par maskott (Le 22/11/2007, à 10:15)
Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)
Hors ligne
#11 Le 22/11/2007, à 11:15
- Bruno07
Re : [Résolu] Controle parental et iptables
OK Maskott merci de te creuser la tête pour moi !
Dès ce soir je cours pianoter sur ma linuxette pour essayer
Hors ligne
#12 Le 23/11/2007, à 11:18
- Bruno07
Re : [Résolu] Controle parental et iptables
Bon, alors ça y est, et si ça peut servir à d'autres:
Si on désactive les options proxy du navigateur plus de surf, c'est ce que je voulais.
tinyproxy et dansguardian donc, avec les règles suivantes trouvées dans
cet article:
# iptables -A OUTPUT -o eth0 -p tcp --dport http -j REJECT --reject-with tcp-reset
# iptables -I OUTPUT -o eth0 -p tcp --dport http -m owner --uid-owner root -j ACCEPT
# iptables -I OUTPUT -o eth0 -p tcp --dport http -m owner --uid-owner tiny -j ACCEPT
Mais ça ne marchait pas, ce qui a débloqué la situation c'est ce bon conseil de Maskott:
sudo chown -R proxy:proxy /usr/share/tinyproxy
sudo chown -R proxy:proxy /usr/share/doc/tinyproxy
sudo chown proxy:proxy /usr/sbin/tinyproxy
sudo chown proxy:proxy /var/log/tinyproxy.log
sudo chown -R proxy:proxy /etc/tinyproxy
sudo chown -R proxy:proxy /etc/init.d/tinyproxy
Sauf que chez moi ce n'est pas proxy:proxy mais tiny:tiny, peu importe.
Je signale ce post (vu que je n'étais pas connecté quand je l'ai écrit) comme résolu.
Mes chères têtes blondes ne peuvent plus contourner la protection, grand merci !
Bruno
Dernière modification par Bruno07 (Le 23/11/2007, à 11:23)
Hors ligne
#13 Le 23/11/2007, à 11:29
- maskott
Re : [Résolu] Controle parental et iptables
PS un petit résolu dans le post...parce que le contrà´le parental ça va intéresser des gens...dont moi!!:)
Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)
Hors ligne
#14 Le 23/11/2007, à 11:30
- Bruno07
Re : [Résolu] Controle parental et iptables
Ben oui mais comme je le dis je n'étais pas (bêtement) connecté à mon premier message, je ne peux pas mettre résolu. Je l'ai signalé, si un modo pouvait venir au secours... désolé.
Hors ligne
#15 Le 23/11/2007, à 11:37
- maskott
Re : [Résolu] Controle parental et iptables
désolé, je n'avais pas vu....
en tout cas je garde le lien
Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)
Hors ligne
#16 Le 23/11/2007, à 11:45
- Nab!!daN
Re : [Résolu] Controle parental et iptables
Merci pour le tuto
La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.
Hors ligne
#17 Le 14/10/2008, à 09:11
- Caliendo
Re : [Résolu] Controle parental et iptables
J'ai un cas quasiment similaire mais je 'narrive pas vraiment a mes fins.
Je suis responsable d'un parc informatique composé d'un routeur, des cables ou mes utilisateurs peuvent se brancher librement avec leurs pc perso, 3 pc fixes en reseau et le fameux pc sous ubuntu qui fait proxy (squid est present sur la machine).
J'ai donc voulu forcer l'utilisation du proxy pour tout les utilisateurs qu'ils soient sur pc fixe ou sur leurs ordinateurs personnel.
J'ai donc executer cette commande :
iptables -t nat -A OUTPUT -o eth0 -m owner ! --uid-owner 13 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
Bonne novuelle ! le pc ou je me trouve (celui du proxy) na pas acces a internet si l'utilisation d'un proxy sous firefox n'est pas mit.
Mauvaise nouvelle : n'importe quel utilisateur qui se branche sur mon routeur avec son pc perso et qui a firefox ou IE configurer pour se connecter a internet directement sans passer par un proxy arrive a naviguer librement
Mon probleme est donc le suivant : j'aimerais que n'importe kel pc ki se connectte sur mon reseau soient obligés de passer par mon proxy
Merci !!
Hors ligne
#18 Le 13/07/2009, à 11:38
- SkeRoy
Re : [Résolu] Controle parental et iptables
on y est presque.... je suis allé trop vite dans ma règle...
regarde la fin concerne iptables :
http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_controle_parental
(y a vraiment tout sur ce site...)voilà la règle donnée :
sudo iptables -t nat -A OUTPUT -m owner ! --uid-owner **13** -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
MAIS DOUCEMENT :
ce tuto explique avec squid (et non tinyproxy),
donc
1 - ce n'est pas 3128 mais 8080
2- vérifier que "uid owner" est toujours "13"pour cela, il faut connaà®tre le propriétaire de "tinyproxy"....et c'est root!!
(ls -l /usr/sbin/tinyproxy)or pour pas influencer le fonctionnement d'autres programmes, je pense qu'on ne peux pas dire de rediriger tout les flux qui ne sont pas en provenance de root...
donc on va mettre sous la coupe de l'"user" proxy tout ce qui est nécessaire à tinyproxy...sudo chown -R proxy:proxy /usr/share/tinyproxy sudo chown -R proxy:proxy /usr/share/doc/tinyproxy sudo chown proxy:proxy /usr/sbin/tinyproxy sudo chown proxy:proxy /var/log/tinyproxy.log sudo chown -R proxy:proxy /etc/tinyproxy sudo chown -R proxy:proxy /etc/init.d/tinyproxy
puis vérifier que l'uid est bien 13
grep proxy /etc/passwd
Salut,
Merci pour cette discussion que j'ai retrouvée.
Avec tinyproxy (tiny:tiny) + dansguardian, j'ai réussi uniquement en ajoutant la règle
iptables -t nat -A OUTPUT -m owner ! --uid-owner 1001 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
au fichier de firestarter /etc/firestarter/user-pre (idée tirée de http://ubuntuforums.org/showpost.php?p=4686738&postcount=3 )
En effet, je ne voulais pas installer firehol comme indiqué par endroits, puisque firestarter était déjà installé.
++
Hors ligne
#19 Le 02/06/2011, à 00:11
- fimbles
Re : [Résolu] Controle parental et iptables
Bonjour,
Je viens de mettre en place le filtrage pour éviter que mon ado n'aille sur les sites pr0n et j'ai testé la solution OpenDNS FamilyShield et c'est vraiment très simple à mettre en place.
Il suffit d'utiliser leur serveurs DNS 208.67.222.123 et 208.67.220.123.
Ça marche pas mal mais (car il y a un mais) plusieurs sites français passent à travers !
Du coup je me suis rabattu sur la solution SquidGuard.
Comme j'ai la flemme d'enlever FamilyShield, maintenant j'ai ceinture et bretelles au niveau du filtrage Internet
Merci à la communauté pour toutes les indications !
Dernière modification par fimbles (Le 02/06/2011, à 00:13)
Hors ligne