Forum Astuces.divers Squid pour contrôle parental + invités

Posté par (page perso) . Licence CC by-sa.
1
27
déc.
2018

Bonjour cher forum,

Version courte : je cherche une interface utilisateur simple pour ajouter des machines dans une ACL (whitelist) de Squid, à partir des baux DHCP en vigueur.

Version longue : je cherche à remplacer les fonctionnalités d'une Freebox Server par une passerelle debian.

Notamment j'utilise dans la Freebox le contrôle parental avec une whitelist de certaines machines et une autre pour les enfants (avec plage horaire limitée).

Pour les machines de la maison (machines au sens large : PC, VM, objets connectés, téléphones, tablettes, consoles, etc.), c'est facile de recenser les adresses MAC pour en faire une whitelist dans Squid.

Par contre, pour les machines invitées (exemple : téléphone d'un copain qui passe), c'est plus dur. Si je veux leur donner accès, il faut connaître leur MAC, l'ajouter dans une ACL, redémarrer Squid. ça marche mais c'est pas rapide.

Sur Freebox, ça marche aussi comme ça mais en plus simple : il y a une app Freebox Compagnon sur mon téléphone qui affiche les machines connectées au réseau et je peux en ajouter une dans la whitelist "invités" en 2 clics.

Bref, je veux bien vos idées / conseils de soft pour ma passerelle, merci beaucoup d'avance !

Tom

  • # Renverser la logique ?

    Posté par (page perso) . Évalué à 3. Dernière modification le 27/12/18 à 17:05.

    Si la problématique est d'avoir une whitelist statique (machines connues) et une whitelist dynamique (machines invitées) qui auront accès à tout, tandis que les machines des enfants sont limitées…

    peut-être que renverser en une blacklist statique (machines des enfants) qui donne un accès limité tandis que toutes les autres machines sont en mode open bar donnerait le résultat voulu ?

    Debian Consultant @ DEBAMAX

    • [^] # Re: Renverser la logique ?

      Posté par (page perso) . Évalué à 2. Dernière modification le 28/12/18 à 09:52.

      Merci pour la suggestion, ça a été ma première technique de filtrage à la maison.

      Jusqu'à ce qu'un des enfants installe (sous Windows) un driver de carte réseau virtuelle dont il pouvait modifier l'adresse MAC. Et hop, sorti de la blacklist…

      • [^] # Re: Renverser la logique ?

        Posté par . Évalué à 3. Dernière modification le 28/12/18 à 11:00.

        Jusqu'à ce qu'un des enfants installe (sous Windows) un driver de carte réseau virtuelle dont il pouvait modifier l'adresse MAC. Et hop, sorti de la blacklist…

        DHCP intelligent avec 3 listes
        => machine connue = IP fixe et connue => dans la bonne liste (parent/enfant)
        => machine inconnue = IP dynamique "inconnue"/"invitée" => liste invité

        les invités ont un acces restraint (à l'heure d'internet en 3G/4G/5G) il est quand meme rare de devoir fournir son wifi à des invités de passage.

        si le gamin triche (deja c'est qu'il est admin de son PC/tablette => c'est mal)
        il se retrouve de toute facon avec une IP limitée en tant qu'invité

        • [^] # Re: Renverser la logique ?

          Posté par . Évalué à 3.

          si le gamin triche (deja c'est qu'il est admin de son PC/tablette => c'est mal)

          S'il est capable d'installer une carte réseau virtuelle pour passer le filtrage, il est en âge d'être admin de ma machine

          De plus avec une clé usb bootable, il est admin ;)

          Le soucis avec la whitelist, c'est que à moins que les poste whitelisté soit en permanence sur le réseau, il peut très bien prendre la mac du poste; il suffit d'envoyer un ping (ou autre) sur la machine en question et regarder le paquet.

          Sous windows c'est encore plus simple ;) GETMAC /s "computername"

          Si tu veux un controle parental qui marche va falloir passer par mot de passe, ou te plier à tes limitation.

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Renverser la logique ?

            Posté par . Évalué à 2.

            S'il est capable d'installer une carte réseau virtuelle pour passer le filtrage, il est en âge d'être admin de ma machine

            Sans vouloir te déprimer, dans mon quartier les jeunes se partagent tous les codes des réseaux wifi pour ne pas payer la 4G :D

          • [^] # Re: Renverser la logique ?

            Posté par (page perso) . Évalué à 1.

            Merci pour ta réponse ! Comme j'ai dit en réponse au post précédent, pas de course à l'échalotte pour le filtrage à la maison. Rien ne remplacera les vraies discussions parent / enfant, de toutes façons.

            Pour le filtrage par adresse MAC, je pense que le grand n'a pas totalement compris le tutorial qu'il avait suivi. Donc il n'a pas encore compris l'usurpation d'adresse MAC. Bon, il est vrai que la plupart des machines sont up tout le temps.

        • [^] # Re: Renverser la logique ?

          Posté par (page perso) . Évalué à 1.

          Merci pour ton retour ! Oui c'est l'idée du DHCP, des plages en ip fixe pour les machines connues (j'en suis quand même à une grosse cinquantaine, mon dieu ça monte vite avec les années) et une plage en ip dyn pour les invités.

          L'idée de l'accès invité, c'est qu'il ne soit pas restreint : si un invité a besoin de wifi, c'est que la 4G ne suffit pas (murs épais, difficile de capter). Il est peut-être rare pour toi ou pour d'autres de devoir fournir son wifi, mais pas pour moi.

          Oui les enfants restent admin des machines, sinon c'est une lutte sans fin. A l'heure des forfaits data 4G, je sais pertinemment que le contrôle de l'accès internet de la maison ne suffit pas. Et je ne veux pas me lancer dans une course gendarme/voleur : filtrage de certain site, app de contrôle parental sur les téléphones, etc. Mais pour autant, tout n'est pas open bar non plus ;)

          • [^] # Re: Renverser la logique ?

            Posté par . Évalué à 2.

            des plages en ip fixe pour les machines connues (j'en suis quand même à une grosse cinquantaine, mon dieu ça monte vite avec les années)

            50 machines à la maison ?
            tu fais de la domotique en IP ?

            parce qu'à raison d'un PC/tablette/smartphone par personne,
            sur une famille "moyenne" de 5 personnes => 15 appareils
            la box internet, le nas => 2 appareils
            1TV (ou une TV avec une console) connectée dans chaque 'piece' (WTF) => 4 chambres, 1 salle de jeu, salon, cuisine, salle à manger, 3 salle de bains =>11 appareils

            je n'arrive meme pas à 30 appareils

            • [^] # Re: Renverser la logique ?

              Posté par (page perso) . Évalué à 1.

              Le nombre me surprend moi-même, c'est clair.

              Quelques serveurs en VM (exemple: guacamole, emby, pihole)
              Quelques équipements réseaux, que ce soit domotique ou non (Hue, Harmony, points d'accès wifi, caméra IP, imprimantes, thermostat chaudière)
              Quelques machines multimédia (PCHC, freeboxes, TV, consoles de jeu)
              Les terminaux pour une famille de 4 (PC fixe, laptops, smartphones, liseuses)

              • [^] # Re: Renverser la logique ?

                Posté par (page perso) . Évalué à 2.

                Le nombre me surprend moi-même, c'est clair.

                Il ne te manque que le grille-pain sous NetBSD.

                * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.