Voila, j'ai une gate sous smoothwall qui marche tres bien , mais je souhaiterai bloquer le traffic vers le net dans un creneau horaire (23h -> 7h) pour certaines machines connectees derriere, mais pas toutes. Je ne vois pas tellement comment faire
Mettre qquechose dans le crontab ?
Autre solution ?
 
 

Bah ca me semble la chose la plus logique a faire...
a 23h tu lance le script le plus restrictif, a 7h le script moins restrictif...

 
 
oui c'est pas tellement le crontab le probleme, mais c'est koi mettre dans le script pour bloquer le trafic.. c'est la dessus que je bloque

Ah, ton probleme c'est que t'y connais rien en iptables ???
Bah tu peux preciser les adresses des tes machines dont on doit bloquer l'acces ? enfin un petit schema de ton reseau quoi si c'est possible (avec plage d'IP et type d'acces au net : modem, ou carte reseau, si oui nom de l'interface, etc...)
Comme ca on pourra te donner les regles iptables a rajouter.

Voila, ca ressemble a ca:
 

 
Il faut que le net soit dispo 24/24 sur PC1, PC2 et le serveur web, mais pas entre 23h et 7h sur les autres, connectes sur le hub.
 
Smoothwall: 192.168.0.1
Serveur web: 192.168.0.2
PC1: 192.168.0.5
PC2: 192.168.0.6
Les autres pcs sur le hub : entre 192.168.0.10 et 192.168.0.255 (certains avec une adresse fixe, une partie en dhcp)
 
Sur la gate, eth0 est sur le lan (192.168.0.1) et ppp0 sur le net (adresse ip non fixe)
 
 
Merci

OK, donc le mieux c'est de tout interdire sur la partie intranet, sauf les connexions en provenance de PC1 et PC2, et les connexions deja etablies a destination de ces deux machines...
 
Ce qui se traduit en terme de regles iptables par... (deux minutes, je cherche )

merci de ton aide

http://www.netfilter.org/files/pat [...] 07.tar.bz2
 
Dans Base: tu as le patch TIME
 
This option adds CONFIG_IP_NF_MATCH_TIME, which supplies a time match module.
This match allows you to filter based on the packet arrival time
(arrival time at the machine which the netfilter is running on) or
departure time (for locally generated packets).
 
Supported options are:
--timestart HH:MM
  The starting point of the time match frame.
 
--timestop HH:MM
  The stopping point of the time match frame
 
--days Tue,Mon...
  Days of the week to match separated by a coma, no space
  (one of Sun,Mon,Tue,Wed,Thu,Fri,Sat)
 
Example:
  -A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
  will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday
  to Friday.
 
  -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon
  will match the packets (locally generated) that have a departure timestamp
  in the range 8:00->18:00 on Monday only.

Tu peux aussi mettre en place un proxy. C'est plus facile et cela pourra te permettre de proscrire des urls (squid avec squidguard (blacklists))... Et même si tu le souhaite il peut te servir de cache (http, dns).Enfin c'est comme tu veux. Voili Voilà  

 
j'utilise déjà squid en parti justement pour bloquer certaines adresses
 
j'avais vu qu'on pouvait proscrire le traffic dans certains créneaux horaires avec squid, mais je veux pouvoir bloquer tout, même un simple ping !

 
dans le readme ils mettent :

 
et smoothwall, c'est:
 

 
je vais tâcher de voir ca avec iptables, mais   ...

iptables -A FORWARD -s 192.168.0.11 -j DROP
 
avec cette commande, tu bloques tout ce qui vient de la machine 192.168.0.11 à destination du Net
 
EDIT : je viens de voir ta version de noyau, c'est pas iptables qu'il te faut, mais ipchain.

 
 
et on peut pas dire de bloquer TOUT le traffic sauf venant d'un ou 2 postes ?
 
du genre
 
ipchains -A FORWARD -s * -j DROP  
ipchains -A FORWARD -s 192.168.0.5 -j ALLOW
 
  ou je raconte n'importe koi ?    

je ne connais pas bien Ipchains, mais ce que tu dis doit être possible :
 
tu enlèves la référence à l'IP source et là, il bloquera tout. ensuite, tu réautorise ce que tu veux.

 
j'ai compris plus ou moins le principe
 
j'ai fait un petit essai, mais j'ai une erreur
 

 
J'ai fait plein de tests avec des valeurs différentes pour le -s, mais ca marche pas à chaque fois il me met no target by that name  

la syntaxe doit pas être la même entre iptable et ipchain, et là, tu utilises la syntaxe iptable

J'ai regardé le man et plusieurs exemples sur le net, ils disent bien de faire comme ca
 
Le -A d'après ce que j'ai lu, c'est qu'on ajoute la règle (ici rejeter le traffic) à une chaine ou qquechose comme ca.
Pourtant qd je fais
 

 
on voit bien qu'il y a une chaine forward... Je comprends plus    
 
Keski cloche ?

essayes cette chaine là pour bloquer tout :
ipchains -P forward DENY

 
bon, ya pas eu de message d'erreur... mais je suis derrière, et ca marche encore ?  

j'avais vu un pb similaire avec iptable qui tenait au fait que la règle est ajoutée à la suite des autres et donc si il y a avant une règle qui autorise l'accès, c'est celle ci qui prévaudra.
 
il fallait utiliser l'option -I (au lieu de -A) avec iptable pour insérer la règle avant les autres.

Ce qui m'étonne avec tout à l'heure, c'est que
 
 

 
donc la chaine foward existe, mais si je fais:
 

pour rejeter tout ce qui vient de 192.168.0.5, bah ca marche pas, il veut plus rien savoir, oubliée la chaine forward

siouplé, c'est important   !

dsl ... sur ipchains, peux pas trop t'aider ...

un ptit coup de main svp... je vx pas y passer mon weekend, et je pige vraiment pas !

passe en 2.4, ipchains c'est obsolete.
et avec iptables t'as le patch que je t'ai propose plus haut ..
MEts toi une petite deb minimal avec un kernel 2.4

oué ca serait la solution, mais j'ai pas tellement envie de changer de distrib j'ai pas le temps de refaire toute la conf et tout le paramétrage...  
 
c'est juste un probleme de syntaxe au niveau de la commande, mais je ne vois vraiment PAS d'ou ça vient  

bon, j'ai trouvé !        
 
C'est TRES con, faut juste mettre le forward en minuscules et pas en MAJUSCULES
 

 
... me bloque le traffic forward depuis 192.168.0.5 !

re probleme, ca marche pas comme j'en ai envie    
 

 
devrait me bloquer le traffic depuis tous les postes et le laisser sur 192.168.0.5, mais ca me le coupe quand même je vois pas le pb   ...

T'as essayé dans le sens inverse ?
ou avec des -A a la place des -I (enfin si ipchains accepte le -A, je suis pas sur, je me base sur iptables...)

Dans quel sens il prend les regles normalement quand on fait un ipchains -L input ? De haut en bas, non ?

 
 
ben je viens de tester, ca me bloque le net nulle part
C'est quand même dingue cette histoire !
 

si qqun veut voir ce qui va pas, voila les 2 scripts:
microsoft et alp1go , ce sont les pcs à garder online 24/24
adresses ip: 192.168.0.42 et 192.168.0.5 respectivement.
 

 
j'en ai marre

up du soir, bonsoir !

allez... un ptit coup de main svp   !

Chnage ton topic en "[HELP] règles ipchains", parce que bon, la plupart des personnes ici connaissent iptables, pas ipchains...

Bon, voila ou ca en est :
 
petite precision, je passe par un proxy transparent pour le web (squid).
 
Si je bloque le forward sur tous les postes sauf les 2 a proteger, ca passe. Pareil avec le input. MAIS voila le pb: si je bloque le forward ET l'input sauf sur les 2 postes a proteger, bah ca marche plus nulle part... alors que ca devrait !
Je vois vraiment pas d'ou peut venir le pb ...