Restreindre accès réseau local par adresse IP public
Utilisateur anonyme
-
brupala Messages postés 112039 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112039 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je gère un petit parc de 50 ordinateurs et l'architecture est des plus simples. Tout de suite après le modem fibre optique, on a un firewall logiciel pfsense. Ensuite viennent le serveur AD, le serveur Exchange et d'autres comme le serveur ERP.
Nos utilisateurs utilisent anonymox pour contourner la restriction des URL. Comme vous le savez, en utilisant les proxy, l'adresse IP public change.
En faisant des tests, avec anonymox, j'accède toujours au réseau local qui est du type 192.168.x.xxx ce qui est normal car c'est l'adresse IP local qui permet d'y accéder. Nos serveurs étant dans la plage 192.168.x.xxx
Est-il possible de mettre en place une restriction ou un filtre qui ne permettrait l'accès au réseau local que pour une seule adresse IP public (celle de la connexion internet) ?
Je gère un petit parc de 50 ordinateurs et l'architecture est des plus simples. Tout de suite après le modem fibre optique, on a un firewall logiciel pfsense. Ensuite viennent le serveur AD, le serveur Exchange et d'autres comme le serveur ERP.
Nos utilisateurs utilisent anonymox pour contourner la restriction des URL. Comme vous le savez, en utilisant les proxy, l'adresse IP public change.
En faisant des tests, avec anonymox, j'accède toujours au réseau local qui est du type 192.168.x.xxx ce qui est normal car c'est l'adresse IP local qui permet d'y accéder. Nos serveurs étant dans la plage 192.168.x.xxx
Est-il possible de mettre en place une restriction ou un filtre qui ne permettrait l'accès au réseau local que pour une seule adresse IP public (celle de la connexion internet) ?
A voir également:
- Restreindre accès réseau local par adresse IP public
- Ethernet n'a pas de configuration ip valide - Guide
- Comment connaître son adresse ip - Guide
- Ip local - Guide
- Darkino nouvelle adresse - Guide
- Appdata local - Guide
6 réponses
mktdom, Pfsense tu n' en feras pas grand chose au niveau filtrage, c'est du BSD encore plus hermétique et limité que Netfilter, et comme dit plus haut, si un PC client a un antivirus qui crochète le trafic, même avec une restriction en sortie, ça passera quand même.
" Comme la plupart des pare-feu libres, PF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ou d'autres technologies que les pare-feu commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent séparément ;
Les IDS et logiciels antivirus conçus pour une intégration étroite avec les logiciels pare-feu supportent rarement PF (et plus généralement, les pare-feu des systèmes BSD) "
" Comme la plupart des pare-feu libres, PF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ou d'autres technologies que les pare-feu commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent séparément ;
Les IDS et logiciels antivirus conçus pour une intégration étroite avec les logiciels pare-feu supportent rarement PF (et plus généralement, les pare-feu des systèmes BSD) "
Bonjour,
Si ton but est de bloquer les proxys tels que anonymox, il te suffit d'installer un proxy, Squid par exemple, puis de configurer les navigateurs des clients avec ton proxy. Ensuite dans ton pare-feu tu bloques toutes les requêtes sortantes sauf celles en provenance de ton proxy.
Si ton but est de bloquer les proxys tels que anonymox, il te suffit d'installer un proxy, Squid par exemple, puis de configurer les navigateurs des clients avec ton proxy. Ensuite dans ton pare-feu tu bloques toutes les requêtes sortantes sauf celles en provenance de ton proxy.
Effectivement, le but est bien bloquer les anonymox, tor etc ... mais j'ai déjà un firewall logiciel PFSense qui est basé sur squid. Pourrais tu être plus explicite sur la façon de bloquer les requêtes sortantes ?
Je n'ai pas d'expérience sur PfSense mais voici le principe :
- tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant
Ainsi tes utilisateurs seront bloqués par le pare-feu s'ils modifient l'adresse ip du proxy dans leur navigateur.
Je ne sais pas s'il y a une interface spécifique dans PfSense pour créer ces règles, sinon tu peux passer par UFW ou bien iptables
- tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant
Ainsi tes utilisateurs seront bloqués par le pare-feu s'ils modifient l'adresse ip du proxy dans leur navigateur.
Je ne sais pas s'il y a une interface spécifique dans PfSense pour créer ces règles, sinon tu peux passer par UFW ou bien iptables
Cela devrait t'intéresser également :
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
Salut,
Tu mets en marche anonymox sur un PC client, c'est du TCP port 80, tu bloques l'IP du proxy en sortie, elle peut changer...
Tu mets en marche anonymox sur un PC client, c'est du TCP port 80, tu bloques l'IP du proxy en sortie, elle peut changer...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
Je ne comprends pas bien qui tu veux bloquer exactement.
Des connexions qui entrent de l'Internet ou des connexions qui sortent vers Internet ?
Je doute que ton adresse IP publique apparaisse au niveau du pfsense si c'est lui qui fait la NAT.
Comme dit Barnabé oblige tes utilisateurs à passer par un proxy, ce sera plus facile que bloquer les connexions TOR dans un firewall.
Je ne comprends pas bien qui tu veux bloquer exactement.
Des connexions qui entrent de l'Internet ou des connexions qui sortent vers Internet ?
Je doute que ton adresse IP publique apparaisse au niveau du pfsense si c'est lui qui fait la NAT.
Comme dit Barnabé oblige tes utilisateurs à passer par un proxy, ce sera plus facile que bloquer les connexions TOR dans un firewall.
" - tu crées dans ton pare-feu une première règle qui autorise le trafic sortant (de ton LAN) en provenance de localhost (127.0.0.1) à destination du port 80
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant "
Manque 53, 123, 443 en sortie, et comme sur Linux UFW il n'y a de filtrage applicatif, berf tout passe ou presque.
- tu crées une deuxième règle pour bloquer tout le reste du trafic sortant "
Manque 53, 123, 443 en sortie, et comme sur Linux UFW il n'y a de filtrage applicatif, berf tout passe ou presque.
Mets tes lunettes, boucle à boucle, comme un antivirus qui crochète le trafic, puis liaison avec le port 443, ou dans certains cas le 80 mais pas indispensable. Comment ils font ? j'en sais rien.
Ensuite, des noeuds en ordre aléatoire, aucun risque, ou très faible si erreur de configuration, de se faire gauler.
Ensuite, des noeuds en ordre aléatoire, aucun risque, ou très faible si erreur de configuration, de se faire gauler.
J'ai mes lunettes en permanence, hélas.
Boucle à boucle c'est applicatif, à un moment il faut passer couche 3 et mettre une vraie adresse réseau public pour le prochain proxy si on veut que le paquet sorte, on ne fait pas dans la magie, mais dans la transmission de paquets.
C'est vrai que le prochain proxy change, mais ils existent quand même en vrai avec de vraies adresses et une adresse localhost n'est pas routable.
Encore une fois, elle n'existe qu'en destination (au niveau de la couche 3, réseau), en applicatif, on peut imaginer tous les délires, surtout si c'est crypté.
Comment ils font ? j'en sais rien.
Un VPN forcément.
Mais au bout du vpn une vraie machine, sur le vrai internet.
Boucle à boucle c'est applicatif, à un moment il faut passer couche 3 et mettre une vraie adresse réseau public pour le prochain proxy si on veut que le paquet sorte, on ne fait pas dans la magie, mais dans la transmission de paquets.
C'est vrai que le prochain proxy change, mais ils existent quand même en vrai avec de vraies adresses et une adresse localhost n'est pas routable.
Encore une fois, elle n'existe qu'en destination (au niveau de la couche 3, réseau), en applicatif, on peut imaginer tous les délires, surtout si c'est crypté.
Comment ils font ? j'en sais rien.
Un VPN forcément.
Mais au bout du vpn une vraie machine, sur le vrai internet.
Exemple VPN IPSEC
Après,
comme dit depuis le début, il faut aller au niveau applicatif, donc proxy pour bloquer Tor.
Ou se taper une longue liste de destinations à éliminer.
PUB !