Conversation
precedente ou
suivante
iptables
Envoyé par:
Butx
Bonjour,
Pour raisons professionelles je cherche à vérouiller la connexion d'un poste étudiant afin que le navigateur n'accepte que la connexion vers 2 sites de consultation documentaires.
Comment puis-je faire ?
Merci :-o
Pour raisons professionelles je cherche à vérouiller la connexion d'un poste étudiant afin que le navigateur n'accepte que la connexion vers 2 sites de consultation documentaires.
Comment puis-je faire ?
Merci :-o
Poste le Monday 17 November 2003 14:54:26
Re: iptables
Envoyé par:
greywolf
tu veux faire le filtrage sur la passerelle ou sur le poste en question?
sur la passerelle ça se passe dans la chaine FORWARD de la table FILTER:
iptables -t filter -A FORWARD -i <iface_LAN> -o <iface_WAN> -s <IP_du_poste_en_question> -p tcp --dport www -d! <IP_des_sites> -j DROP
cette règle rejettera les paquets les paquets web à destination de tout autre chose que les sites de documentation.
Tu peux faire un filtrage sur l'adresse mac éventuellement avec le commutateur mac: -m mac --mac-source XX
XXXXX.
ou sinon tu forces les connexions web à passer par un proxy et tu fais des acl.
sur la passerelle ça se passe dans la chaine FORWARD de la table FILTER:
iptables -t filter -A FORWARD -i <iface_LAN> -o <iface_WAN> -s <IP_du_poste_en_question> -p tcp --dport www -d! <IP_des_sites> -j DROP
cette règle rejettera les paquets les paquets web à destination de tout autre chose que les sites de documentation.
Tu peux faire un filtrage sur l'adresse mac éventuellement avec le commutateur mac: -m mac --mac-source XX
XXXXX.ou sinon tu forces les connexions web à passer par un proxy et tu fais des acl.
Poste le Monday 17 November 2003 15:12:27
Re: iptables
Envoyé par:
greywolf
sur le poste en question, ce sera la chaine OUTPUT:
#autorisation en sortie des requetes DNS
iptables -t filter -A OUTPUT -p udp --dport domain -j ACCEPT
#seuls les paquets web à destination de IP_des_sites sont autorisés
iptables -t filter -A OUTPUT -o <iface_WAN> -p tcp --dport www -d <IP_des_sites> -j ACCEPT
avec bien entendu la politique par défaut à DROP:
iptables -P OUTPUT DROP
pour faire du SSH sur la machine, il faut autoriser sur le port 22:
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
tu affineras si tu veux faire un filtrage basée sur l'@ IP, MAC de la machine censée se connecter dessus.
#autorisation en sortie des requetes DNS
iptables -t filter -A OUTPUT -p udp --dport domain -j ACCEPT
#seuls les paquets web à destination de IP_des_sites sont autorisés
iptables -t filter -A OUTPUT -o <iface_WAN> -p tcp --dport www -d <IP_des_sites> -j ACCEPT
avec bien entendu la politique par défaut à DROP:
iptables -P OUTPUT DROP
pour faire du SSH sur la machine, il faut autoriser sur le port 22:
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
tu affineras si tu veux faire un filtrage basée sur l'@ IP, MAC de la machine censée se connecter dessus.
Poste le Monday 17 November 2003 15:41:50
Ce forum !
iptables
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons