Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nouveau sous pfsense, filtrage de machine suivant conditions horraire

    Scheduled Pinned Locked Moved Français
    10 Posts 4 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      laurent19430
      last edited by

      Bonjour à tous,

      J'aimerai votre avis pour trouver une solution pour :

      Interdire certaine machine à aller sur internet dans une plage horaire.
      En sachant qu'avant j'avais Ipcop et que je le faisais un filtrage par adresse mac.

      Sur mon lan le dhcp est activé , et donc il n'y a pas d'adresse fixe.

      Comment feriez vous avec Pfsense.

      D'avance merci pour votre aide

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Je ne le ferais pas avec pfSense … pour la très simple raison que ce N'EST PAS un problème pfSense !

        Le produit qui répond à votre question c'est SQUID (et non pfSENSE).
        Lequel SQUID ne s'installe pas sur pfSense si on est un tant soit peu sérieux !

        Je vous préconise de

        • ajouter dans votre réseau un serveur Linux (par exemple Debian),
        • installer dessus SQUID,
        • forcer vos micros à passer par SQUID pour la navigation,
        • interdire à d'autres machines que le Squid d'accéder à internet (http, https, ftp),
        • configurer SQUID pour répondre à vos critères.

        Certes c'est un peu long, mais c'est LA solution.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Pareil. Pas mieux.

          1 Reply Last reply Reply Quote 0
          • P
            psylo
            last edited by

            Oui. 'fin… Il est quand-même possible de mettre en place une programmation horaire pour les règles du firewall... Parce que honnêtement, mettre en place un proxy juste pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires, c'est un peu utiliser un canon pour tuer une mouche... Enfin, IMHO.

            Maintenant, concernant les IP, quel est le bail de votre DHCP? Si, par exemple, il est de 7 jours et que vos machines ne restent pas éteintes plus de 7 jours, il y a peu de chance que l'IP change. Pour plus de sûreté, il est aussi possible de faire une réservation dans le DHCP. Ca demande un peu de travail de gestion mais c'est faisable.

            My 2 cents.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Mettre en place un SQUID sur un serveur dédié est une grande amélioration :

              • cela permet de respecter l'obligation légale de stockage des logs
              • on peut avoir une visu des logs raisonnable,
              • on peut (enfin) qui bouffe la bande passante (et à quelle heure, voire sur quel site)
              • on peut blacklister les sites inutiles
              • on peut whitelister les sites utiles pour des pc "à usage limité"
              • on peut faire une analyse antivirus
              • on peut filtrer les pubs
              • …
                Ce n'est pas rien ...

              NB : je reste circonspect sur les plages horaires : à telle heure, on aurait le droit, et pas à telle autre heure ? Je préfère les whitelist.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires

                D'accord si il s'agit de bloquer des machines. Dans ce cas laurent19430aurait intérêts à lire la documentation de Pfsense.
                Mais il s'agit d'utilisateurs, ce qui suppose d'identifier ces utilisateurs. Cette confusion est fréquente et très malencontreuse à mon avis.
                Comme nous ne connaissons rien du contexte d'utilisation il est impossible d'évaluer les conséquences de cette confusion.

                1 Reply Last reply Reply Quote 0
                • P
                  psylo
                  last edited by

                  @ccnet:

                  pour bloquer (pas filtrer mais bloquer complètement) certaines machines pendant certaines plages horaires

                  D'accord si il s'agit de bloquer des machines. Dans ce cas laurent19430aurait intérêts à lire la documentation de Pfsense.
                  Mais il s'agit d'utilisateurs, ce qui suppose d'identifier ces utilisateurs. Cette confusion est fréquente et très malencontreuse à mon avis.
                  Comme nous ne connaissons rien du contexte d'utilisation il est impossible d'évaluer les conséquences de cette confusion.

                  Tout à fait d'accord:

                  • avec les principes dictés;

                  • la question d'origine manque un peu d'info.

                  1 Reply Last reply Reply Quote 0
                  • L
                    laurent19430
                    last edited by

                    Merci pour vos informations. Mais je suis un vraiment neewbie. Mon serveur pfsense, firewwall, proxy transparent avec squid, dchp serveur sur l'interface Lan.

                    Je préfère que cela reste transparent pour les utilisateurs. Donc pas de connection.
                    Et mon proxy est configuré en transparent.

                    Donc je vais attribuer sur le serveur dhcp des adresses fixes par rapport aux adresses MAC. Est ce que je peux les prendre dans le pool de ma plage d'adresse.
                    Je ne pense pas.

                    Est ce qu'après je peux faire une règle quand les adresses ip entre 192.168.2.10 et 192.168.2.20 ok pour le net mais entre 8h et 22h. Les autres qui auront été "mappé" à la main auront accés.
                    Est ce possible ?

                    Merci pour votre aide

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      C'est une solution qui semble être assez simple (sur le principe).

                      Mais elle a aussi certains inconvénients :

                      • squid sur firewall : très inadapté à partir d'une certaine taille (disons 15 micros)
                      • multiplication des règles plus complexes : une règle par tranche horaire = difficulté à s'y retrouver (elles apparaitront identiques)
                      • Squid transparent : (très) fausse bonne idée, et ne fonctionne que pour http
                      • rigidité des réglages dhcp+règle : nécessité de rigueur tout au long de l'exploitation = difficile de s'y tenir
                      • non réponse à l'obligation légale

                      Faute de remplir complètement un tableau avec les +, les -, on peut choisir une solution en apparence plus simple.
                      A terme, un proxy Squid dédié est plus avantageux AMPSHA.

                      NB : WPAD est un technique qu'il faut ajouter à un proxy pour faciliter la découverte du proxy (pas totalement automatique mais presque)

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Je préfère que cela reste transparent pour les utilisateurs. Donc pas de connection.
                        Et mon proxy est configuré en transparent.

                        Ce qui est contraire à la réglementation en vigueur dès lors qu'une entité met à disposition un accès à Internet.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.