Ubuntu-fr

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

Problématique de verrouiller l'accès usb, avec une simple liste de sites autorisés via un script Iptables il n'y aura pas ce soucis, quelque soit le navigateur inséré depuis une clé usb...

en effet iptables contourne cette problématique d'usb, moins souple  (certains sites changent constamment leur ip ou font des redirections)  mais faisable.

exemple pour accepter uniquement  youtube.com et le forum ubuntu

#!/bin/sh
iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
iptables -t filter -A INPUT  -p udp --sport 53 -j ACCEPT
#YOUTUBE
iptables -t filter -A OUTPUT  -m iprange --dst-range  173.194.0.0-173.194.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  216.58.0.0-216.58.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  74.125.0.0-74.125.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  64.15.0.0-64.15.255.255 -j ACCEPT
#UBUNTU
iptables -t filter -A OUTPUT  -d   86.65.39.13 -j ACCEPT
iptables -t filter -A OUTPUT  -d  193.52.104.60 -j ACCEPT

iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT

robindesbois

Re : [résolu] Controle parental simple et strict.

Et bien je ne savais pas comment faire ce type de règles sur iptables, merci Localhost..

pires57

Re : [résolu] Controle parental simple et strict.

Forcément mais si tu fait cela pour chaque sites que tu souhaites débloqué il faudra trouver l'adresse (ou les adresses de chacun des serveurs).
Cela pourrait fonctionner mais c'est un truc vraiment contraignant et casse couille à entretenir et de plus non adapté à un débutant. Ce n'est pas une solution simple.

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

Forcément mais si tu fait cela pour chaque sites que tu souhaites débloqué il faudra trouver l'adresse (ou les adresses de chacun des serveurs).
Cela pourrait fonctionner mais c'est un truc vraiment contraignant et casse couille à entretenir et de plus non adapté à un débutant. Ce n'est pas une solution simple.

pas faux, mais l'idée iptables de robindesbois est radicale, absolument plus rien ne passe hormis les IP spécifiés, imparable.

il faudrait alors concocter un script ouvrant une boite de dialogue avec zenety qui demande le nom du site, fais un host et rajoute directement les lignes   iptables -t filter -A OUTPUT  -d   IP_du_site  -j ACCEPT dans le fichier  iptables, tous les sites ne sont pas comme youtube, j'avais lancé wireshark pour savoir toutes les IP qu'il fallait autoriser.

Dernière modification par Compte anonymisé (Le 28/01/2016, à 15:53)

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

voilà le script qui va bien pour rajouter un site dans la liste iptables:

et bonne nouvelle, pas besoin de faire de host,  iptables sait le faire lui même, (faut simplement que la ligne du port 53 autorisé soit avant les lignes qui seront rajoutées avec le script), et ainsi si les sites changent leur ip, il suffit de recharger le fichier iptables.
j'ai laissé toutefois les lignes des plages d'adresses IP concernant youtube qui fait parti des exceptions à cause de son cache qui change tout le temps sans résolution dns possible...mais pour les autres sites, aucun problème.

1   mettre les lignes ci-dessous dans un fichier qu'on nommera fichier-iptables

#!/bin/sh
iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
iptables -t filter -A INPUT  -p udp --sport 53 -j ACCEPT
#YOUTUBE
iptables -t filter -A OUTPUT  -m iprange --dst-range  173.194.0.0-173.194.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  216.58.0.0-216.58.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  74.125.0.0-74.125.255.255 -j ACCEPT
iptables -t filter -A OUTPUT  -m iprange --dst-range  64.15.0.0-64.15.255.255 -j ACCEPT
#SERVEURS AKAMAI mulitmédia vidéo pour les sites.
iptables -t filter -A OUTPUT  -m iprange --dst-range  2.16.0.0-2.16.255.255 -j ACCEPT
#UBUNTU
iptables -t filter -A OUTPUT  -d  forum.ubuntu-fr.org -j ACCEPT
iptables -t filter -A OUTPUT  -d   ubuntu-fr.org -j ACCEPT
iptables -t filter -A OUTPUT  -d static.ubuntu-fr.org -j ACCEPT

iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT

le rendre exécutable: sudo chmod +x fichier-iptables

2 écrire les lignes ci-dessous dans un fichier qu'on nommera par exemple ajout-sites-iptables

#!/bin/sh
if ret=`zenity --entry --title='contrôle parental iptables' --text='Saisissez le nom du site ou son adresse ip: '`
        then
            site=$ret
            if [ "$site" = "" ]
                then
                    echo "fichier iptables non modifiét!"
                    exit
            fi
        else
            echo "fichier iptables non modifié!"
            exit
    fi
echo "iptables -t filter -A OUTPUT  -d $site -j ACCEPT" >> fichier-iptables
#recharger le fichier iptables  (ici dans /usr/local/bin)
/usr/local/bin/fichier-iptables 
zenity  --info --text "ajout de $site à iptables"

le rendre exécutable: sudo chmod +x  ajout-sites-iptables

commande pour le lancer
sudo bash ./ajout-sites-iptables

Dernière modification par Compte anonymisé (Le 30/01/2016, à 18:07)

robindesbois

Re : [résolu] Controle parental simple et strict.

Forcément mais si tu fait cela pour chaque sites que tu souhaites débloqué il faudra trouver l'adresse (ou les adresses de chacun des serveurs).
Cela pourrait fonctionner mais c'est un truc vraiment contraignant et casse couille à entretenir et de plus non adapté à un débutant. Ce n'est pas une solution simple.

pas faux, mais l'idée iptables de robindesbois est radicale, absolument plus rien ne passe hormis les IP spécifiés, imparable.

Hello,

c'est pour ça que j'ai parlé d'Iptables très vite, il faut rester dans la demande initiale qui comprenait le mot "radical". Et j'ai tout de suite vu qu'avec Iptables, c'était radical

De plus, cela permet de se servir d'Iptables en tant que filtre contrôle parental, ce qui n'est pas commun pour ce logiciel, et ça ouvre une voix supplémentaire à son utilisation, c'est un côté qu'on ne lui connaît pas beaucoup je crois, enfin moi j'y avais jamais pensé avant le questionnement de Xzu.

Si je puis me permettre, peut-on éclaircir les explications de mises en place de nouveaux sites, lorsque l'enfant en demandera un, et l'utilisation des scripts Iptables (très bon, merci Localhost), avec ligne de commande précises, dans un prochain post svp, car là les explications de fonctionnement étaient noyées avec d'autres explications et c'est un peu flou pour un débutant (même pour moi je l'avoue).

Pour trouver l'adresse ip d'un site à autoriser dans Iptables moi je passe par ce type de site : http://www.astwinds.com/Webmasters/HTML … he_IP.html

-------------------------------------

Mode d'emploi :

Si je veux trouver l'adresse ip du site de Wikipedia suivant : https://fr.wikipedia.org/wiki/Wikip%C3% … _principal

Je vais sur : http://www.astwinds.com/Webmasters/HTML … he_IP.html

Je ne prends que cette partie dans le site de wikipédia du premier lien ci-dessus : fr.wikipedia.org et je l'insère dans le site : http://www.astwinds.com/Webmasters/HTML … he_IP.html Je clique sur "Valider"

Et c'est tout, l'adresse ip du site de Wikipedia s'affiche dans la page suivante. Je n'ai plus qu'à insérer cette adresse IP dans le script Iptbales et à recharger le script Iptables avec les droits ROOT (que seuls les parents ont) et c'est tout !

-------------------------------------

Mais SVP, clarifiez le mode d'emploi simplement d'utilisation des scripts Iptables pour Xzu svp...

-------------------------------------

Dernière modification par robindesbois (Le 29/01/2016, à 16:07)

robindesbois

Re : [résolu] Controle parental simple et strict.

Bon ben je passerai ce week-end mettre un mode d'emploi de "reload" d'un script iptables en tant que filtre parental, c'est facile finalement, même et surtout pour un débutant, ou utilisateur absolument pas confirmé, à plus

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

Bon ben je passerai ce week-end mettre un mode d'emploi de "reload" d'un script iptables en tant que filtre parental, c'est facile finalement, même et surtout pour un débutant, ou utilisateur absolument pas confirmé, à plus

hello robindesbois,  regarde le script avec zenity,   le fichier iptables fait automatiquement un reload, je l'ai modifié.
pour les sites basiques, pas besoin de chercher leur adresses IP, iptables le fait lui même.  (port 53 autorisé et  aussi par exemple 8.8.8.8 pour faire une résolution dns)

ce qu'il faudrait que tu fasses, c'est affiner le script pour enlever un site autorisé... pas trop le temps aujourd'hui
bon week

Dernière modification par Compte anonymisé (Le 30/01/2016, à 15:43)

robindesbois

Re : [résolu] Controle parental simple et strict.

ce qu'il faudrait que tu fasses, c'est affiner le script pour enlever un site autorisé... pas trop le temps aujourd'hui
bon week

Je ne sais pas faire ça, il faut attendre que tu aies un peu de temps, mais je pense que la personne initiatrice du topic peut encore attendre un peu ??
Bon week end, merci toi aussi

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

ce qu'il faudrait que tu fasses, c'est affiner le script pour enlever un site autorisé... pas trop le temps aujourd'hui
bon week

Je ne sais pas faire ça, il faut attendre que tu aies un peu de temps, mais je pense que la personne initiatrice du topic peut encore attendre un peu ??
Bon week end, merci toi aussi

Je pense que même un débutant peut faire gksu gedit   fichier-iptables, d'autres priorités plus importantes, le temps passe si vite..
salut

robindesbois

Re : [résolu] Controle parental simple et strict.

ce qu'il faudrait que tu fasses, c'est affiner le script pour enlever un site autorisé... pas trop le temps aujourd'hui
bon week

Je ne sais pas faire ça, il faut attendre que tu aies un peu de temps, mais je pense que la personne initiatrice du topic peut encore attendre un peu ??
Bon week end, merci toi aussi

Je pense que même un débutant peut faire gksu gedit   fichier-iptables, d'autres priorités plus importantes, le temps passe si vite..
salut

Je ne comprends pas ce message, quelqu'un peu me traduire svp ???

robindesbois

Re : [résolu] Controle parental simple et strict.

Je mettrai comment ajouter un site simplement et enlever un autre pendant la semaine, je passerai ma façon de rechercher un script aussi de façon simple, mais à ma façon.

robindesbois

Re : [résolu] Controle parental simple et strict.

Xzu, toujours intéressé ?

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

Xzu, toujours intéressé ?

t'inquiètes robin, de toutes façon c'est du bénévolat le forum.

robindesbois

Re : [résolu] Controle parental simple et strict.

Encore une fois je ne comprends pas ta réponse lol, je me demande bien où j'ai fait mention d'inquiétude de ma part sur le côté bénévole du forum ? Tu m'expliques stp ??

Xzu Rukneg

Re : [résolu] Controle parental simple et strict.

@robinsdesbois: il voulait juste te dire que je repasserai bien à un moment ou à un autre! On a tous nos manières de voir les choses, l'utilisation du forum, l’interprétation du non verbal dans les messages, etc..
Quand un message n’est pas clair ou ambiguë, ma fois, faut mieux laisser passer, c'est pas grave.

Je reviens au sujet du fil: le développement est très intéressant, et oui le coté RADICAL est primordial!
On n’est pas pressé pour mettre en place. Et merci encore à tous, c'est un beau travail de collaboration!

robindesbois

Re : [résolu] Controle parental simple et strict.

@robinsdesbois: il voulait juste te dire que je repasserai bien à un moment ou à un autre! On a tous nos manières de voir les choses, l'utilisation du forum, l’interprétation du non verbal dans les messages, etc..
Quand un message n’est pas clair ou ambiguë, ma fois, faut mieux laisser passer, c'est pas grave.

Je reviens au sujet du fil: le développement est très intéressant, et oui le coté RADICAL est primordial!
On n’est pas pressé pour mettre en place. Et merci encore à tous, c'est un beau travail de collaboration!

Juste pour te dire que la solution RADICAL est diffusée dans les messages au dessus, l'as-tu vu ? Si oui, peux-tu passer ta discussion en résolue stp ?

@ plus !

wido

Re : [résolu] Controle parental simple et strict.

J'utilise openDNS on peut cocher des filtres comme le porno, alcool,...

---

Archlinux | Reddit | ODROID-XU4

robindesbois

Re : [résolu] Controle parental simple et strict.

J'utilise openDNS on peut cocher des filtres comme le porno, alcool,...

Salut, on peut n'autoriser qu'un seul site comme par exemple le site de Laposte.fr, et seulement un seul site Internet grâce à OpenDNS, sur un ordinateur donné stp ?

Genre on bloquera absolument tout l'internet, mais absolument tout hein, donc pas de possibilités de se connecter à aucun moteur de recherches, ni aucun autre site internet, à part Laposte.fr avec OpenDNS stp ?

Dernière modification par robindesbois (Le 15/02/2016, à 20:15)

Compte anonymisé

Re : [résolu] Controle parental simple et strict.

@robinsdesbois: il voulait juste te dire que je repasserai bien à un moment ou à un autre! On a tous nos manières de voir les choses, l'utilisation du forum, l’interprétation du non verbal dans les messages, etc..
Quand un message n’est pas clair ou ambiguë, ma fois, faut mieux laisser passer, c'est pas grave.

Je reviens au sujet du fil: le développement est très intéressant, et oui le coté RADICAL est primordial!
On n’est pas pressé pour mettre en place. Et merci encore à tous, c'est un beau travail de collaboration!

C'était cela en effet, absolument rien d'ambiguë..

Xzu Rukneg

Re : [résolu] Controle parental simple et strict.

J'utilise openDNS on peut cocher des filtres comme le porno, alcool,...

Intéressant, mais ça semble bien ne pas répondre du tout à la demande!

@robindesbois: ce n'est pas encore une solution simple.
C'est une solution qui correspond bien. Mais mon pote n'est pas en mesure de faire ces manip tout seul, il va donc falloir attendre avant que je ne confirme.
A moins qu'on ai la même possibilité mais avec un paquet tout beau qui va bien, avec une UI de ouf en 4D vectoriel!

robindesbois

Re : [résolu] Controle parental simple et strict.

J'utilise openDNS on peut cocher des filtres comme le porno, alcool,...

Intéressant, mais ça semble bien ne pas répondre du tout à la demande!

@robindesbois: ce n'est pas encore une solution simple.
C'est une solution qui correspond bien. Mais mon pote n'est pas en mesure de faire ces manip tout seul, il va donc falloir attendre avant que je ne confirme.
A moins qu'on ai la même possibilité mais avec un paquet tout beau qui va bien, avec une UI de ouf en 4D vectoriel!

La solution que je te propose se compose ainsi :

_Un double clic sur un fichier
_Faire un clic-droit sur ce fichier et choisir dans le menu déroulant :"Ouvrir avec Gedit"
_Insérer le nouveau site à autoriser avec un copier coller et cliquer dans Gedit sur : "Enregistrer"
_Double cliquer sur ce fichier pour recharger et appliquer les nouvelles règles

C'est vrai que ça fait quatre choses "très difficiles" à apprendre à quelqu'un qui ne s'y connaît pas, (utiliser Gedit et faire des copier-coller) n'est pas à la portée de tout le monde c'est un fait. Cela dit, si tu en parles à ton ami et qu'il arrive tout seul à faire cela (utiliser Gedit et faire des copier-coller), repasse ici, parce que plus simple que ça je ne vois pas, ça fait quand même des semaines qu'on a votre solution, simple et radicale, comme demandée, mais bon, c'est vous qui voyez, à plus !!!

Dernière modification par robindesbois (Le 20/02/2016, à 15:37)

robindesbois

Re : [résolu] Controle parental simple et strict.

re !

Tcho !! tu en es où de ton côté ?

Xzu Rukneg

Re : [résolu] Controle parental simple et strict.

Bah, je prends le temps!

La solution radicale à effectivement été trouvée,encore merci à tous.
Mais je n'ai pas mis en résolu car elle à été jugée pas encore assez simple pour mon amis. Oui pour certaines personnes faire un copier coller dans un fichier texte est source d'angoisse, non ce n'est pas des blagues il y a pleins de gens comme cela, vous en connaissez tous.

Le truc de trouver les IP semblait un peu rebutant aussi. Le lien n'est plus a jour d'ailleurs.

Mais la question est revenue sur le tapis! (est-ce que des personnes se sont servies du script proposé ici?)
Du coup je me demandais si le blocage iptable pouvait ne s'appliquer que sur un user, pour ne bloquer que celui-ci (dans le cas d'un ordi partagé)?
Et aussi, ne sait-on jamais, si il y avait du nouveau sur le sujet?

NicoApi73

Re : [résolu] Controle parental simple et strict.

Bonjour,

Mais je n'ai pas mis en résolu car elle à été jugée pas encore assez simple pour mon amis. Oui pour certaines personnes faire un copier coller dans un fichier texte est source d'angoisse, non ce n'est pas des blagues il y a pleins de gens comme cela, vous en connaissez tous.

La réalité est la suivante (je le vis au quotidien) : Il faut avoir en tête qu'un enfant de 4 ans sait sélectionner un OS en multi-boot, se logguer sur sa session en entrant un mot de passe pas trop compliqué (caractères minuscule et chiffres). Vers 11-12 ans, pour le peu qu'ils s'intéressent à l'informatique, ils savent booter sur une clé ou en recovery. Par conséquent, si faire un copier-coller dans un fichier texte est source d'angoisse, la meilleure solution reste de ne pas avoir de lien internet du tout (quasi impossible par les temps qui courrent).

La meilleure solution reste celle du proxy à condition que celui-ci soit physiquement inaccessible et que la communication vers l'extérieur passe impérativement par celui-ci. Le moyen que j'ai mis en place chez moi est d'avoir le proxy sur une machine séparée qui a 2 cartes réseau et un pare-feu pour empêcher le contournement du proxy. Avec le proxy, tu peux filtrer comme tu veux, par utilisateur avec un système d'identification. Perso, j'ai utilisé Squid + Squidguard, avec la possibilité de débloquer le pare-feu temporairement pour certains logiciels qui n'acceptent pas le proxy. Ca nécessite un investissement en temps et une machine dédiée qui tourne en permanence (pas besoin de quelque chose de surpuissant pour ça).

La solution par iptables est difficile à maintenir, très limitée en terme de foncitonnalité et de flexibilité, et très facilement contournable.