Restreindre accès réseau local par adresse IP public
Fermé
Utilisateur anonyme
-
27 juil. 2016 à 20:51
brupala Messages postés 109520 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 8 mai 2024 - 29 juil. 2016 à 19:13
brupala Messages postés 109520 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 8 mai 2024 - 29 juil. 2016 à 19:13
A voir également:
- Restreindre accès réseau local par adresse IP public
- Restreindre instagram - Guide
- Ethernet n'a pas de configuration ip valide - Guide
- Darkino nouvelle adresse - Guide
- Rechercher ou entrer l'adresse - Guide
- Ip local - Guide
6 réponses
mktdom, Pfsense tu n' en feras pas grand chose au niveau filtrage, c'est du BSD encore plus hermétique et limité que Netfilter, et comme dit plus haut, si un PC client a un antivirus qui crochète le trafic, même avec une restriction en sortie, ça passera quand même.
" Comme la plupart des pare-feu libres, PF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ou d'autres technologies que les pare-feu commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent séparément ;
Les IDS et logiciels antivirus conçus pour une intégration étroite avec les logiciels pare-feu supportent rarement PF (et plus généralement, les pare-feu des systèmes BSD) "
" Comme la plupart des pare-feu libres, PF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ou d'autres technologies que les pare-feu commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent séparément ;
Les IDS et logiciels antivirus conçus pour une intégration étroite avec les logiciels pare-feu supportent rarement PF (et plus généralement, les pare-feu des systèmes BSD) "
barnabe0057
Messages postés
14440
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
19 avril 2024
4 908
27 juil. 2016 à 22:00
27 juil. 2016 à 22:00
Bonjour,
Si ton but est de bloquer les proxys tels que anonymox, il te suffit d'installer un proxy, Squid par exemple, puis de configurer les navigateurs des clients avec ton proxy. Ensuite dans ton pare-feu tu bloques toutes les requêtes sortantes sauf celles en provenance de ton proxy.
Si ton but est de bloquer les proxys tels que anonymox, il te suffit d'installer un proxy, Squid par exemple, puis de configurer les navigateurs des clients avec ton proxy. Ensuite dans ton pare-feu tu bloques toutes les requêtes sortantes sauf celles en provenance de ton proxy.
Utilisateur anonyme
28 juil. 2016 à 05:11
28 juil. 2016 à 05:11
Effectivement, le but est bien bloquer les anonymox, tor etc ... mais j'ai déjà un firewall logiciel PFSense qui est basé sur squid. Pourrais tu être plus explicite sur la façon de bloquer les requêtes sortantes ?
barnabe0057
Messages postés
14440
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
19 avril 2024
4 908
Modifié par barnabe0057 le 28/07/2016 à 14:41
Modifié par barnabe0057 le 28/07/2016 à 14:41
Je n'ai pas d'expérience sur PfSense mais voici le principe :
- tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant
Ainsi tes utilisateurs seront bloqués par le pare-feu s'ils modifient l'adresse ip du proxy dans leur navigateur.
Je ne sais pas s'il y a une interface spécifique dans PfSense pour créer ces règles, sinon tu peux passer par UFW ou bien iptables
- tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant
Ainsi tes utilisateurs seront bloqués par le pare-feu s'ils modifient l'adresse ip du proxy dans leur navigateur.
Je ne sais pas s'il y a une interface spécifique dans PfSense pour créer ces règles, sinon tu peux passer par UFW ou bien iptables
barnabe0057
Messages postés
14440
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
19 avril 2024
4 908
28 juil. 2016 à 14:47
28 juil. 2016 à 14:47
Cela devrait t'intéresser également :
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
Salut,
Tu mets en marche anonymox sur un PC client, c'est du TCP port 80, tu bloques l'IP du proxy en sortie, elle peut changer...
Tu mets en marche anonymox sur un PC client, c'est du TCP port 80, tu bloques l'IP du proxy en sortie, elle peut changer...
barnabe0057
Messages postés
14440
Date d'inscription
lundi 2 mars 2009
Statut
Contributeur
Dernière intervention
19 avril 2024
4 908
28 juil. 2016 à 22:18
28 juil. 2016 à 22:18
Elle peut changer effectivement, donc ce n'est pas une bonne solution.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
13 632
28 juil. 2016 à 15:18
28 juil. 2016 à 15:18
Salut,
Je ne comprends pas bien qui tu veux bloquer exactement.
Des connexions qui entrent de l'Internet ou des connexions qui sortent vers Internet ?
Je doute que ton adresse IP publique apparaisse au niveau du pfsense si c'est lui qui fait la NAT.
Comme dit Barnabé oblige tes utilisateurs à passer par un proxy, ce sera plus facile que bloquer les connexions TOR dans un firewall.
Je ne comprends pas bien qui tu veux bloquer exactement.
Des connexions qui entrent de l'Internet ou des connexions qui sortent vers Internet ?
Je doute que ton adresse IP publique apparaisse au niveau du pfsense si c'est lui qui fait la NAT.
Comme dit Barnabé oblige tes utilisateurs à passer par un proxy, ce sera plus facile que bloquer les connexions TOR dans un firewall.
" - tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant "
Manque 53, 123, 443 en sortie, et comme sur Linux UFW il n'y a de filtrage applicatif, berf tout passe ou presque.
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant "
Manque 53, 123, 443 en sortie, et comme sur Linux UFW il n'y a de filtrage applicatif, berf tout passe ou presque.
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
13 632
Modifié par brupala le 28/07/2016 à 16:54
Modifié par brupala le 28/07/2016 à 16:54
Localhost n'existe jamais en tant qu'adresse source, c'est comme les adresses multicast et broadcast.
Rid
>
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
28 juil. 2016 à 18:27
28 juil. 2016 à 18:27
Sauf pour TOR... pas de chance, boucle sur boucle.
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
13 632
>
Rid
28 juil. 2016 à 18:45
28 juil. 2016 à 18:45
Pour Tor ?
je demande à voir, il faut bien propager les paquets sur l'internet à un moment, sinon, ils vont rester là.
Et les recevoir aussi, le premier proxy est donc forcément visible, bien qu'il change certainement d'un paquet à l'autre.
je demande à voir, il faut bien propager les paquets sur l'internet à un moment, sinon, ils vont rester là.
Et les recevoir aussi, le premier proxy est donc forcément visible, bien qu'il change certainement d'un paquet à l'autre.
Rid
>
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
Modifié par Rid le 28/07/2016 à 20:18
Modifié par Rid le 28/07/2016 à 20:18
Mets tes lunettes, boucle à boucle, comme un antivirus qui crochète le trafic, puis liaison avec le port 443, ou dans certains cas le 80 mais pas indispensable. Comment ils font ? j'en sais rien.
Ensuite, des noeuds en ordre aléatoire, aucun risque, ou très faible si erreur de configuration, de se faire gauler.
Ensuite, des noeuds en ordre aléatoire, aucun risque, ou très faible si erreur de configuration, de se faire gauler.
brupala
Messages postés
109520
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
8 mai 2024
13 632
>
Rid
Modifié par brupala le 28/07/2016 à 23:04
Modifié par brupala le 28/07/2016 à 23:04
J'ai mes lunettes en permanence, hélas.
Boucle à boucle c'est applicatif, à un moment il faut passer couche 3 et mettre une vraie adresse réseau public pour le prochain proxy si on veut que le paquet sorte, on ne fait pas dans la magie, mais dans la transmission de paquets.
C'est vrai que le prochain proxy change, mais ils existent quand même en vrai avec de vraies adresses et une adresse localhost n'est pas routable.
Encore une fois, elle n'existe qu'en destination (au niveau de la couche 3, réseau), en applicatif, on peut imaginer tous les délires, surtout si c'est crypté.
Comment ils font ? j'en sais rien.
Un VPN forcément.
Mais au bout du vpn une vraie machine, sur le vrai internet.
Boucle à boucle c'est applicatif, à un moment il faut passer couche 3 et mettre une vraie adresse réseau public pour le prochain proxy si on veut que le paquet sorte, on ne fait pas dans la magie, mais dans la transmission de paquets.
C'est vrai que le prochain proxy change, mais ils existent quand même en vrai avec de vraies adresses et une adresse localhost n'est pas routable.
Encore une fois, elle n'existe qu'en destination (au niveau de la couche 3, réseau), en applicatif, on peut imaginer tous les délires, surtout si c'est crypté.
Comment ils font ? j'en sais rien.
Un VPN forcément.
Mais au bout du vpn une vraie machine, sur le vrai internet.
Modifié par brupala le 29/07/2016 à 14:58
Exemple VPN IPSEC
Après,
comme dit depuis le début, il faut aller au niveau applicatif, donc proxy pour bloquer Tor.
Ou se taper une longue liste de destinations à éliminer.
29 juil. 2016 à 17:51
Modifié par brupala le 29/07/2016 à 18:12
PUB !