Bonjour,

J'ai une Livebox Sagem relié à PC serveur (DHCP et stockage de donnée) lui-même relié à un modem/routeur Linksys (WAG200G) qui ne sert que de borne wifi. Moi je suis connecté en filaire, directement au cul de la Livebox. Les autres (ma soeur, mon frère et mon père) sont en Wifi, via le Linksys, dont le serveur partage sa connexion.

J'aimerais bloquer emule sur l'ensemble du réseau car la connexion Internet est à mon nom. Je ne veux pas d'histoire.
J'en ai mare de devoir passer sur chaque PC pour désinstaller emule, aussitôt réinstallé quand j'ai le dos tourné.
Pour l'instant la seule solution que j'ai trouvé c'est de désactiver le wifi.

Sur la Livebox, j'ai interdit les ports de emule, emule tourne quand-même en lowID. Pire : J'ai interdit tous les ports sauf le 80, et bien emule tourne toujours.

Donc  j'aimerais savoir si c'est réellement possible de bloquer ce put*** de logiciel sans devoir couper le net pour autant.

Je dois bloquer à quel niveau ? Livebox ? Linksys ? Routeur (Quel logiciel) ?

Merci !

je suis pas expert la dedans, mais il me semble qu on sait changer les port de emule, ce qui veux dire que si il ya que le 80 de libre ils mettrons le port 80 et c'est bo (il me semble), perso moi pour passer outre le firewall/proxy du routeur je passe en tunnel ssh et le modem ne sait rien m interdire si on fait les bonnes manipulation.
 
a premiere vue je vois pas de solution, interdire un site c'est relativement facile.
 
 
ou alors peut etre creer un compte admin sur tout les pc et interdidre l utilisation de emule par les autre utilisateurs.

La seule solution que je connaisse c'est d'analyser les entêtes des trames envoyées pour peu qu'elles ne soient pas cryptées. Mais à moins d'avoir un routeur Cisco à 2000€ et d'être un expert en réseau, je ne vois pas...
Donc si quelqu'un à une petite idée

Le P2P n'est pas interdit c'est son contenu qui l'est.
 
T'as quand meme vache tu pourrais les laisser s'amuser un peu

C'est un faux probleme, change ton acces (passe) sur la box, ferme le UpNp, efface les règles établis,... plus de connec.
Maintenant si tu offres la connexion a tes proches, sois clair avec eux, c'est bien mieux

t'as pas un vieux Pc qui traine ?.   tu mets 2 cartes reseau cdedans et tu le transformes en firewall/Proxy  avec filtrage de protocols.
 
Pas cher, pas trop prise de tete à implementer (ya des distrib linux comme ipcop qui le font) et là tu sera tranquille.
 

Ecoute, la réponse est très simple: c'est mort  

Même en fermant tous les ports, Emule tournera quand même en LowID, comme tu l'as toi-même constaté.
C'est pas une règle de firewall qui t'aidera, désolé. Comme ça a déjà été dit par bas-profil, il te faudrait un équipement réseau ou un PC capable de filtrer au niveau des trames réseau.
EDIT: Et encore, en activant le brouillage de protocole dans Emule (trivial: juste une case à cocher), tu passes au travers  
Tu penses bien que la communauté qui a programmé ça a pensé à tout.

PS: sinon un peu d'ouverture d'esprit te permetterai d'intégrer le fait que tout n'est pas illégal sous emule...

encore quelqu'un qui parle sans connaitre .....
 
je le repete il est tout à fait possible de bloquer emule ainsi que d'autres protocoles p2p. Et pour cela tu n'as pas besoin de 2000€ de matos.
CF: http://www.debian-administration.org/articles/562 par exemple.
 
Quand aux protocoles utilisant le brouillage : tu résoud cela en faisant de la QOS:  tu places tous les protocoles non reconnues dans une queue auquelle tu as attribuée une bande passante ridicule (genre 1ko/s).  Ainsi meme si le p2p passe il n'aura qu'un 1ko/s => cela dissuade bien des utilisateurs.
 
 

Merci pour tes conseils vrobaina. Je vais voir ça  

Alors ?

je fais un énooooorme détérage de topics!
mais , y a t'il une vraie solution pour ca? la solution proposée par vrobaina fonctionne t'elle?
merci!!!

oh que oui, elle fonctionne et coté investissement c'est pas grand chose.
 
autrement tu investis dans un petit firewall genre netasq et là, idem le p2p ne passera plus.

Bonjour,
Merci pour ta réponse super rapide.
J'ai cherché un peu hier comment faire, mais je ne sais pas comment metttre en place un blocage de protocoles, ni le QOS. Le tout sous windows de preference, car je suis une bille avec linux!

sinon un routeur style wrt54gl avec dd-wrt comme firmware, ça se règle en 3 clics.

j'ai vu ca aussi, oui. mais je ne trouve pas de routeur comme  ca d'occas...

 
Bonjour vrobaina
 
apres avoir lu plusieurs autres thread qui mettent en avant une solution a base d'ipcop, je pense que c'est ce que je vais faire, pour l'acces internet libre service dans les locaux de mon assoc
 
je viens de lire le debut de cette page http://nilz.fr/?p=70 sur les couleurs des réseaux
 
mais evidemment, j'ai 3 questions !

• pour offrir de l'internet sans fil a partir d'une freebox, en interdisant youtube, dailymotion, emule : je suppose qu'il me faut désactiver le wifi freebox, puis relier un switch au port bleu, puis relier des AP au switch ?
• peut-on installer IPCOP sur du materiel de type Compaq PROLIANT ?
• pour emule, est-ce qu'on peut mettre des regles basées sur le QoS uniquement a certaines heures ?

merci bcp
 
anthony

1er point : oui c'est cela, ton switch redistribuant les accès.

2ème point : aucun soucis, ce ne sera pas le matériel qui risquera de bloquer, mais l'OS. un OS Linux (Debian netinstall par exemple) ou IPCOP (basé sur du "from scratch" ) pourra largement tourner dessus. si on devait partir sur une machine spécialisée ou un Mac (G3/G4/G5), le choix de l'OS sera encore plus important.

3ème point : du QoS variant sur les heures, en théorie c'est faisable :
- on crée des scripts (.sh) avec les règles à appliquer
- un cron appelle les scripts, et recharge le firewall
en pratique il y aura une coupure de tous les clients au moment du rechargement du firewall

par contre si vous utilisez IPCOP vers des AP WiFi, il faudra vous connecter sur l'interface verte, et la box sur l'interface rouge.

 
J'avais mis ça en place il y a quelques années sur un réseau dans un foyer d'étudiants où j'étais : deux tâches cron qui chargeaient des règles de firewall différentes à 23h et 6h le matin. En pratique, le chargement était quasiment instantané, et les utilisateurs ne s'apercevaient pas du changement. C'est vraiment pas un problème
(et pourtant, c'était pas un foudre de guerre cette machine )

ben justement, en fait ma question plus précisement c'etait : est-ce que les drivers pour du matos Pro style Proliant existent pour linux ...
mais donc tu a l'air de dire qu'il y a no problemo ...
 

OK, je redemanderai a ce sujet quand le moment sera venu ...
 

ah bon ?
je viens juste de découvrir IPCOP, mais de ce que j'ai lu hier (http://nilz.fr/?p=70), c'est la prise bleue qui est normalement destinée aux AP wifi ...
 
anthony

pour le Proliant, c'est une gamme, donc il faudrait en savoir un peu plus (chipset, carte réseau, carte graphique au moins, ainsi que le contrôleur IDE ou SATA si tu utilises du RAID et quel type de RAID).
si c'est le modèle archi-connu en bi-pentium 3 (ML370 et dérivés), ça tourne facilement dessus.
 
pour l'interface bleue, il te faudra mettre les adresses MAC de tes points d'accès, pas top et je ne sais pas si on peut en mettre plusieurs...
sur l'interface verte par contre, tous les équipements réseaux dessus (dans la même gamme d'ip, penses-y lors de la configuration des AP) seront transparent pour les réglages.

merci Bardiel pour ta réponse

pour le Proliant, pour l'instant je ne connais pas encore le modele précis que je vais avoir, en tout cas ce sera du DL qqch..
 

 
a propos de l'interface bleue ou verte pour les AP, je vais pas poser + de question maintenant, deja il faut que je monte l'IPCOP ...
par contre, qd tu parle de la meme gamme d'ip, peux tu préciser ? tu parle des 3 premiers chiffres de l'IP c'est ca ?

Oui c'est cela :
192.168.1.y sur un masque de sous-réseau 255.255.255.0 (maximum 254 bouzins sur le réseau)
192.168.x.y sur un masque de sous-réseau 255.255.254.0 (maximum 64ooo bouzins et des brouettes)
10.w.x.y sur un masque de sous-réseau 255.254.0.0 (là, faut en poser des AP )

Bardiel, j'ai vu un post de ta part ici ou tu parle de la loi qui impose de garder les logs
http://forum.hardware.fr/hfr/syste [...] htm#t66028
 
est-ce que d'un point de vue légal, cette exigence sera satisfaite avec IPCOP ?
 
merci
anthony

A voir avec le journal du pare-feu, par contre il te faudra prévoir des les exporter (donc les chercher "à la main" en ouvrant une console - Ctrl+Alt+F1 par exemple - et farfouiller dedans )

OK
donc sur le principe, si périodiquement j'exporte tout comme un porc, dans le lot j'aurai ce qu'il faut .
 
anthony

Re-Bonjour
 
Ca y est, j'ai monté mon IPCOP, ca marche !
J'ai installé le advanced proxy + le urlfilter, et pour l'instant dans urlflter, j'ai carrément interdit youtube et dailymotion.
 
Mais maintenant je voudrais faire un truc un moins bourrin, cad interdire tous les sites de streaming, et aussi le P2P
Et pour obtenir cette fonctionnalité, je souhaite donc avoir une approche a base de QoS, comme vous me le conseilliez.
(Pour le changement des regles en fonction de l'heure, on verra plus tard.)
 
Mais déja, ma premiere question c'est :
 
j'ai rapidement lu le lien vers debian-administration, mais je vois des lignes de commandes etc, et aucune reference a IPCOP.
du coup je me demande si par hasard, j'aurais rien compris du tout ?
 
pouvez vous m'expliquer ou me renvoyer vers une page qui explique qu'est-ce que c'est que le QoS, et comment ca se met en oeuvre dans IPCOP ?
il faut installer un addon ?
l'approche a base de QoS se fait en dehors de IPCOP ?
 
merci pour votre aide précieuse car comme vous voyez pour l'instant je sais plus ou j'habite ;-)
 
anthony

 
merci !

Tu peux utiliser les black listes dispo sur le Web afin bloquer par thème plutôt que par IP / domaine. En plus elles se mettent à jour automatiquement.

A ma connaissance, ce n'est pas possible en standard.

IPCOP une distribution issues de SmoothWall (fork) lui-même crée sur une base Red Hat (de mémoire). C'est donc un linux-Based.
L'administration est donc celle d'un linux allégé et orienté (coté réseau il y a plein de chose).
Tu retrouveras l'essentiel mais pas tout. La distrib est allégé pour en réduire la taille.

L'addon QoS pour IPCop 1.4.21 est dispo  c'est par ici
Le QoS permet un filtrage sur le protocole des flux. Pour cela il a besoin d'un noyau spécial qui supporte la reconnaissance des protocoel réseau (L7). Tu dois monter installer un nouveau noyau AVANT de mettre l'addon QoS. Pas de panique c'est tout simple . C'est par ici.
Pour installer le noyau  => tar xjf ipcop-1.4.21-kernel-2.4.36.6-smp.tar.bz2 -C /

Tu peux utiliser l'addon P2PBlock pour bloquer le p2p (normal hein vu le nom )

Jette un coup d'œil sur le Wiki et essai.
J'ai mis un peu de temps avant d'avoir un QoS parfaitement efficace.

Voila
@+

merci m3z pour tes réponses
 
en résumé si je comprends bien, pour filter le P2P, j'ai 2 solutions :

• soit installer le plugin P2Pblocker
• soit avoir une approche QoS, et dans le cas il faut d'abord installer le noyau L7, puis installer l'addon QoS 2.6.1 dont tu as donné le lien

si c'est bien ca, alors c'est clair que je vais préférer l'approche facile avec l'addon P2Pblocker je crois bien !
mais en revanche, pour bloquer le streaming video, là je suis obligé de passer par le QoS, c'est ca ?
 

c'est quoi le Wiki essai ?
 
merci
anthony

Non QoS sert à gérer la qualité de service c'est à dire à garantir que chaque service (réseau) se verra attribué les ressources (temps de transite, bande passante, priorite par rapport au autres flux) dont il a besoin .
En clair le téléphone ca demande une bande passante réduite mais ca ne souffre pas de délais.
Le téléchargement FTP ca demande une certaine bande passante mais si il y a un peu de délais entres les trames ce n'est pas gênant.
Le QoS te permet de garantir les 2 en priorisant les flux qui traverse le routeur.

Là oui c'est fait pour ca !

Tu peux doubler tout ca avec un filtrage urlfilter sur les tracker et autres moteurs de recherche.

En ce qui concerne le P2P encrypté, La pas de solution idéale. Une règle pour limiter le débit des flux inconnus doit permettre de limiter les excès.
Évidement ce n'est pas sans conséquence (tout protocole inconnu sera lent !)

Ca tombe bien

Tu peux bloquer les fichiers d'extension wma,avi,ra,ram,mp3,plu,asf et flv dans urlfilter.

  = regarde la page Wiki et essai l'addon
La page Wiki QoS

@+

merci m3z
 
initialement j'ai envisagé la QoS a cause de ce post plus haut :

mais de ce que tu me dis, finalement pas besoin de Qos :

• je peux bloquer le p2p avec p2pblocker
• je peux bloquer le streaming video avec urlfilter en filtrant ma,avi,ra,ram,mp3,plu,asf,flv

le seul "inconvénient", c'est que le simple telechargement d'un fichier ma,avi,ra,ram,mp3,plu,asf,flv ne passera pas non plus, alors qu'a la base je voulais juste interdire le streaming pour ne pas effondrer la bande passante.
 
mais c'est pas tres grave, ca devrait quand meme me satisfaire.
 
par contre j'ai une derniere question (peut-etre idiote) :
avec urlfilter filtrant les ma,avi,ra,ram,mp3,plu,asf,flv, si je fais save as sur un mp3 et que je l'enregistre en tant que .txt pour ruser, est-ce que urlfilter va quand meme faire son boulot d'interdiction des MP3, ou pas ?
 
merci
 
anthony

Utilise si c'est du p2p non identifié comme tel.
 
mais de ce que tu me dis, finalement pas besoin de Qos :

• je peux bloquer le p2p avec p2pblocker
• je peux bloquer le streaming video avec urlfilter en filtrant ma,avi,ra,ram,mp3,plu,asf,flv

Tu as simplement à coché les cases:  
File extension blocking et  
block Audio/Video files
 
 

J'ai peur qu'effectivement ce soit du tout ou rien  
 

 
Le fichier est renommé localement (sur le PC qui télécharge) la requête qui passe au niveau d'ipcop se fait sur le nom de fichier d'origine donc pa
merci
 
anthony[/quotemsg]
 

Utilise si c'est du p2p non identifié comme tel.

Tu as simplement à cocher les cases:
File extension blocking et
block Audio/Video files
par contre je ne connais pas la liste des extensions bloquées (faut jeter un oeil dans le fichier de conf).

J'ai peur qu'effectivement ce soit du tout ou rien

Le fichier est renommé localement (sur le PC qui télécharge).
La requête qui passe au niveau d'ipcop se fait sur le nom de fichier d'origine donc pas de soucis c'est bloqué.

@+

OK
et pour mon info, alors si à la source le MP3 est enregistré en tant que .TXT, ds ce cas le urlfilter n'empechera pas son telechargement, correct ?
anthony

Correct