Nouveau sous pfsense, filtrage de machine suivant conditions horraire

laurent19430

Bonjour à tous,

J'aimerai votre avis pour trouver une solution pour :

Interdire certaine machine à aller sur internet dans une plage horaire.
En sachant qu'avant j'avais Ipcop et que je le faisais un filtrage par adresse mac.

Sur mon lan le dhcp est activé , et donc il n'y a pas d'adresse fixe.

Comment feriez vous avec Pfsense.

D'avance merci pour votre aide

jdh

Je ne le ferais pas avec pfSense … pour la très simple raison que ce N'EST PAS un problème pfSense !

Le produit qui répond à votre question c'est SQUID (et non pfSENSE).
Lequel SQUID ne s'installe pas sur pfSense si on est un tant soit peu sérieux !

Je vous préconise de

• ajouter dans votre réseau un serveur Linux (par exemple Debian),
• installer dessus SQUID,
• forcer vos micros à passer par SQUID pour la navigation,
• interdire à d'autres machines que le Squid d'accéder à internet (http, https, ftp),
• configurer SQUID pour répondre à vos critères.

Certes c'est un peu long, mais c'est LA solution.

ccnet

Pareil. Pas mieux.

psylo

Oui. 'fin… Il est quand-même possible de mettre en place une programmation horaire pour les règles du firewall... Parce que honnêtement, mettre en place un proxy juste pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires, c'est un peu utiliser un canon pour tuer une mouche... Enfin, IMHO.

Maintenant, concernant les IP, quel est le bail de votre DHCP? Si, par exemple, il est de 7 jours et que vos machines ne restent pas éteintes plus de 7 jours, il y a peu de chance que l'IP change. Pour plus de sûreté, il est aussi possible de faire une réservation dans le DHCP. Ca demande un peu de travail de gestion mais c'est faisable.

My 2 cents.

jdh

Mettre en place un SQUID sur un serveur dédié est une grande amélioration :

• cela permet de respecter l'obligation légale de stockage des logs
• on peut avoir une visu des logs raisonnable,
• on peut (enfin) qui bouffe la bande passante (et à quelle heure, voire sur quel site)
• on peut blacklister les sites inutiles
• on peut whitelister les sites utiles pour des pc "à usage limité"
• on peut faire une analyse antivirus
• on peut filtrer les pubs
• …
  Ce n'est pas rien ...

NB : je reste circonspect sur les plages horaires : à telle heure, on aurait le droit, et pas à telle autre heure ? Je préfère les whitelist.

ccnet

pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires

D'accord si il s'agit de bloquer des machines. Dans ce cas laurent19430aurait intérêts à lire la documentation de Pfsense.
Mais il s'agit d'utilisateurs, ce qui suppose d'identifier ces utilisateurs. Cette confusion est fréquente et très malencontreuse à mon avis.
Comme nous ne connaissons rien du contexte d'utilisation il est impossible d'évaluer les conséquences de cette confusion.

psylo

@ccnet:

pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires

D'accord si il s'agit de bloquer des machines. Dans ce cas laurent19430aurait intérêts à lire la documentation de Pfsense.
Mais il s'agit d'utilisateurs, ce qui suppose d'identifier ces utilisateurs. Cette confusion est fréquente et très malencontreuse à mon avis.
Comme nous ne connaissons rien du contexte d'utilisation il est impossible d'évaluer les conséquences de cette confusion.

Tout à fait d'accord:

• avec les principes dictés;

• la question d'origine manque un peu d'info.

laurent19430

Merci pour vos informations. Mais je suis un vraiment neewbie. Mon serveur pfsense, firewwall, proxy transparent avec squid, dchp serveur sur l'interface Lan.

Je préfère que cela reste transparent pour les utilisateurs. Donc pas de connection.
Et mon proxy est configuré en transparent.

Donc je vais attribuer sur le serveur dhcp des adresses fixes par rapport aux adresses MAC. Est ce que je peux les prendre dans le pool de ma plage d'adresse.
Je ne pense pas.

Est ce qu'après je peux faire une règle quand les adresses ip entre 192.168.2.10 et 192.168.2.20 ok pour le net mais entre 8h et 22h. Les autres qui auront été "mappé" à la main auront accés.
Est ce possible ?

Merci pour votre aide

jdh

C'est une solution qui semble être assez simple (sur le principe).

Mais elle a aussi certains inconvénients :

• squid sur firewall : très inadapté à partir d'une certaine taille (disons 15 micros)
• multiplication des règles plus complexes : une règle par tranche horaire = difficulté à s'y retrouver (elles apparaitront identiques)
• Squid transparent : (très) fausse bonne idée, et ne fonctionne que pour http
• rigidité des réglages dhcp+règle : nécessité de rigueur tout au long de l'exploitation = difficile de s'y tenir
• non réponse à l'obligation légale

Faute de remplir complètement un tableau avec les +, les -, on peut choisir une solution en apparence plus simple.
A terme, un proxy Squid dédié est plus avantageux AMPSHA.

NB : WPAD est un technique qu'il faut ajouter à un proxy pour faciliter la découverte du proxy (pas totalement automatique mais presque)

ccnet

Je préfère que cela reste transparent pour les utilisateurs. Donc pas de connection.
Et mon proxy est configuré en transparent.

Ce qui est contraire à la réglementation en vigueur dès lors qu'une entité met à disposition un accès à Internet.