Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/11/2007, à 18:05

Bruno2007

[Résolu] Controle parental et iptables

Bonjour,

J'utilise tinyproxy+dansguardian pour un contrà´le parental.
OK ça marche avec les options firefox pour qu'il passe par le proxy.
Mais si mes chères têtes blondes désactivent les options firefox ils peuvent surfer quand même, et sans protection.
Sachant qu'ils savent utiliser firefox, epiphany, opera, konqueror... je ne vais pas bloquer tous les navigateurs.
Mes enfants font partie du groupe d'utilisateurs children (évidemment).

Je voudrais forcer tout le trafic http avec gid-owner children à  passer par le proxy, avec des règles iptables. Si on déactive les options proxy pas de surf.

Je ne suis pas un pro d'iptables, help!

Merci à  toutes et tous,

Bruno

#2 Le 20/11/2007, à 20:56

Uther Pendragon

Re : [Résolu] Controle parental et iptables

Peux tu decrire ton environnement ?
Un PC faisant office de poste client + router ADSL ?
Plusieurs clients avec un firewall linux ?


Vous êtes un PRO ? Vous avez besoin de conseils pour votre informatique ? Visitez www.gerst.fr

Hors ligne

#3 Le 21/11/2007, à 09:32

Bruno2007

Re : [Résolu] Controle parental et iptables

Un seul PC sous linux - Mepis 6.0 basée sur Dapper.
Connexion adsl freebox --> fonction routeur qui assure le parefeu, donc aucun parefeu configuré dans iptables.

Merci,
Bruno

#4 Le 21/11/2007, à 09:45

Nab!!daN

Re : [Résolu] Controle parental et iptables

Salut,

utilise openDNS  il possedent un filtre parental gratuit.

2 options:

tu change les DNS sur le PC ou mieux sur la freebox.

www.opendns.com

Bye !


La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.

Hors ligne

#5 Le 21/11/2007, à 09:49

Bruno2007

Re : [Résolu] Controle parental et iptables

Et dire que j'utilise déjà  opendns, mais je ne savais pas ça !:P
Merci beaucoup, je vais essayer !

#6 Le 21/11/2007, à 09:50

maskott

Re : [Résolu] Controle parental et iptables

je suppose que comme tout est sur la même machine...que tinyproxy écoute sur localhost:8080
et que ton interface "exterieure" est eth0, l'adresse de la boxe x.y.z.t

donc il faudra adapter...en cas de problème pas de soucis, les tables de routages sont remises à  zéro par
sudo /etc/init.d/iptables stop

sudo iptables -t nat -A OUTPUT -d x.y.z.t --dport 80 -j REDIRECT --to-destination localhost:8080

cependant c'est à  tester/confirmer (je suis de tête...)

c'est censé prendre les paquets généré localement (OUTPUT) à  destination de xyzt:80 et les envoyer sur localhost:8080...

je me demande si ce n'est pas une boucle sans fin, iptables reprendrai les paquets sortants de tinyproxy et les remetrai à  l'entrée...


Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
                                                                               
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)

Hors ligne

#7 Le 21/11/2007, à 10:17

Nab!!daN

Re : [Résolu] Controle parental et iptables

Re smile

J'ai pas essaye l'efficacite de openDNS sur ce sujet, tu pourrais nous donner un petit feedback car je trouve que c'est vraiment un super DNS alternatif smile

A plus tard !


La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.

Hors ligne

#8 Le 21/11/2007, à 10:27

Bruno2007

Re : [Résolu] Controle parental et iptables

maskott a écrit :

je suppose que comme tout est sur la même machine...que tinyproxy écoute sur localhost:8080
et que ton interface "exterieure" est eth0, l'adresse de la boxe x.y.z.t

donc il faudra adapter...en cas de problème pas de soucis, les tables de routages sont remises à  zéro par
sudo /etc/init.d/iptables stop

sudo iptables -t nat -A OUTPUT -d x.y.z.t --dport 80 -j REDIRECT --to-destination localhost:8080

cependant c'est à  tester/confirmer (je suis de tête...)

c'est censé prendre les paquets généré localement (OUTPUT) à  destination de xyzt:80 et les envoyer sur localhost:8080...

je me demande si ce n'est pas une boucle sans fin, iptables reprendrai les paquets sortants de tinyproxy et les remetrai à  l'entrée...

Merci je vais essayer... OpenDNS aussi mais ça me ferait c... carrément suer que Linux ne puisse pas résoudre mon problème !

#9 Le 22/11/2007, à 08:50

Bruno07

Re : [Résolu] Controle parental et iptables

Up

Avec tinyproxy et dansguardian je fais la commande classique:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

En configurant le proxy dans le navigateur j'ai mon controle parental, en le retirant je n'ai aucune limitation. Que je tape cette commande ou pas d'ailleurs.

Je voudrais que sans proxy on ne puisse plus surfer.

Je n'y comprends rien...

Merci,
Bruno

Hors ligne

#10 Le 22/11/2007, à 09:05

maskott

Re : [Résolu] Controle parental et iptables

on y est presque.... je suis allé trop vite dans ma règle...

regarde la fin concerne iptables :
http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_controle_parental
(y a vraiment tout sur ce site...)

voilà  la règle donnée :

sudo iptables -t nat -A OUTPUT -m owner ! --uid-owner **13** -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

MAIS DOUCEMENT :
ce tuto explique avec squid (et non tinyproxy),
donc
1 - ce n'est pas 3128 mais 8080
2- vérifier que "uid owner" est toujours "13"

pour cela, il faut connaà®tre le propriétaire de "tinyproxy"....et c'est root!!
(ls -l /usr/sbin/tinyproxy)

or pour pas influencer le fonctionnement d'autres programmes, je pense qu'on ne peux pas dire de rediriger tout les flux qui ne sont pas en provenance de root...
donc on va mettre sous la coupe de l'"user" proxy tout ce qui est nécessaire à  tinyproxy...

sudo chown -R proxy:proxy /usr/share/tinyproxy
sudo chown -R proxy:proxy /usr/share/doc/tinyproxy
sudo chown proxy:proxy /usr/sbin/tinyproxy
sudo chown proxy:proxy /var/log/tinyproxy.log
sudo chown -R proxy:proxy /etc/tinyproxy
sudo chown -R proxy:proxy /etc/init.d/tinyproxy

puis vérifier que l'uid est bien 13

grep proxy /etc/passwd

Dernière modification par maskott (Le 22/11/2007, à 09:15)


Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
                                                                               
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)

Hors ligne

#11 Le 22/11/2007, à 10:15

Bruno07

Re : [Résolu] Controle parental et iptables

OK Maskott merci de te creuser la tête pour moi ! smile
Dès ce soir je cours pianoter sur ma linuxette pour essayer

Hors ligne

#12 Le 23/11/2007, à 10:18

Bruno07

Re : [Résolu] Controle parental et iptables

Bon, alors ça y est, et si ça peut servir à  d'autres:

Si on désactive les options proxy du navigateur plus de surf, c'est ce que je voulais.

tinyproxy et dansguardian donc, avec les règles suivantes trouvées dans
cet article:

# iptables -A OUTPUT -o eth0 -p tcp --dport http -j REJECT --reject-with tcp-reset
# iptables -I OUTPUT -o eth0 -p tcp --dport http -m owner --uid-owner root -j ACCEPT
# iptables -I OUTPUT -o eth0 -p tcp --dport http -m owner --uid-owner tiny -j ACCEPT

Mais ça ne marchait pas, ce qui a débloqué la situation c'est ce bon conseil de Maskott:

sudo chown -R proxy:proxy /usr/share/tinyproxy
sudo chown -R proxy:proxy /usr/share/doc/tinyproxy
sudo chown proxy:proxy /usr/sbin/tinyproxy
sudo chown proxy:proxy /var/log/tinyproxy.log
sudo chown -R proxy:proxy /etc/tinyproxy
sudo chown -R proxy:proxy /etc/init.d/tinyproxy

Sauf que chez moi ce n'est pas proxy:proxy mais tiny:tiny, peu importe.

Je signale ce post (vu que je n'étais pas connecté quand je l'ai écrit) comme résolu.

Mes chères têtes blondes ne peuvent plus contourner la protection, grand merci !
Bruno

Dernière modification par Bruno07 (Le 23/11/2007, à 10:23)

Hors ligne

#13 Le 23/11/2007, à 10:29

maskott

Re : [Résolu] Controle parental et iptables

PS un petit résolu dans le post...parce que le contrà´le parental ça va intéresser des gens...dont moi!!:)


Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
                                                                               
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)

Hors ligne

#14 Le 23/11/2007, à 10:30

Bruno07

Re : [Résolu] Controle parental et iptables

Ben oui mais comme je le dis je n'étais pas (bêtement) connecté à  mon premier message, je ne peux pas mettre résolu. Je l'ai signalé, si un modo pouvait venir au secours... désolé.

Hors ligne

#15 Le 23/11/2007, à 10:37

maskott

Re : [Résolu] Controle parental et iptables

désolé, je n'avais pas vu....
en tout cas je garde le lien


Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
                                                                               
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)

Hors ligne

#16 Le 23/11/2007, à 10:45

Nab!!daN

Re : [Résolu] Controle parental et iptables

Merci pour le tuto smile


La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! -(Albert Einstein)-
Archlinux.

Hors ligne

#17 Le 14/10/2008, à 08:11

Caliendo

Re : [Résolu] Controle parental et iptables

J'ai un cas quasiment similaire mais je 'narrive pas vraiment a mes fins.
Je suis responsable d'un parc informatique composé d'un routeur, des cables ou mes utilisateurs peuvent se brancher librement avec leurs pc perso, 3 pc fixes en reseau et le fameux pc sous ubuntu qui fait proxy (squid est present sur la machine).

J'ai donc voulu forcer l'utilisation du proxy pour tout les utilisateurs qu'ils soient sur pc fixe ou sur leurs ordinateurs personnel.

J'ai donc executer cette commande :
iptables -t nat -A OUTPUT -o eth0 -m owner ! --uid-owner 13 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Bonne novuelle ! le pc ou je me trouve (celui du proxy) na pas acces a internet si l'utilisation d'un proxy sous firefox n'est pas mit.
Mauvaise nouvelle : n'importe quel utilisateur qui se branche sur mon routeur avec son pc perso et qui a firefox ou IE configurer pour se connecter a internet directement sans passer par un proxy arrive a naviguer librement

Mon probleme est donc le suivant : j'aimerais que n'importe kel pc ki se connectte sur mon reseau soient obligés de passer par mon proxy

Merci !!

Hors ligne

#18 Le 13/07/2009, à 10:38

SkeRoy

Re : [Résolu] Controle parental et iptables

maskott a écrit :

on y est presque.... je suis allé trop vite dans ma règle...

regarde la fin concerne iptables :
http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_controle_parental
(y a vraiment tout sur ce site...)

voilà  la règle donnée :

sudo iptables -t nat -A OUTPUT -m owner ! --uid-owner **13** -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

MAIS DOUCEMENT :
ce tuto explique avec squid (et non tinyproxy),
donc
1 - ce n'est pas 3128 mais 8080
2- vérifier que "uid owner" est toujours "13"

pour cela, il faut connaà®tre le propriétaire de "tinyproxy"....et c'est root!!
(ls -l /usr/sbin/tinyproxy)

or pour pas influencer le fonctionnement d'autres programmes, je pense qu'on ne peux pas dire de rediriger tout les flux qui ne sont pas en provenance de root...
donc on va mettre sous la coupe de l'"user" proxy tout ce qui est nécessaire à  tinyproxy...

sudo chown -R proxy:proxy /usr/share/tinyproxy
sudo chown -R proxy:proxy /usr/share/doc/tinyproxy
sudo chown proxy:proxy /usr/sbin/tinyproxy
sudo chown proxy:proxy /var/log/tinyproxy.log
sudo chown -R proxy:proxy /etc/tinyproxy
sudo chown -R proxy:proxy /etc/init.d/tinyproxy

puis vérifier que l'uid est bien 13

grep proxy /etc/passwd

Salut,
Merci pour cette discussion que j'ai retrouvée.
Avec tinyproxy (tiny:tiny) + dansguardian, j'ai réussi uniquement en ajoutant la règle

iptables -t nat -A OUTPUT -m owner ! --uid-owner 1001 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

au fichier de firestarter /etc/firestarter/user-pre (idée tirée de http://ubuntuforums.org/showpost.php?p=4686738&postcount=3 )
En effet, je ne voulais pas installer firehol comme indiqué par endroits, puisque firestarter était déjà installé.

++

Hors ligne

#19 Le 01/06/2011, à 23:11

fimbles

Re : [Résolu] Controle parental et iptables

Bonjour,
Je viens de mettre en place le filtrage pour éviter que mon ado n'aille sur les sites pr0n et j'ai testé la solution OpenDNS FamilyShield et c'est vraiment très simple à mettre en place.
Il suffit d'utiliser leur serveurs DNS 208.67.222.123 et 208.67.220.123.
Ça marche pas mal mais (car il y a un mais) plusieurs sites français passent à travers sad !
Du coup je me suis rabattu sur la solution SquidGuard.
Comme j'ai la flemme d'enlever FamilyShield, maintenant j'ai ceinture et bretelles au niveau du filtrage Internet cool

Merci à la communauté pour toutes les indications !

Dernière modification par fimbles (Le 01/06/2011, à 23:13)

Hors ligne