Filtrage par machine ou par groupe de machine

Présentation

Le module Amon propose de gérer des groupes de machine par plage d'adresse IP.

En ajoutant une référence à ce groupe, il est possible :

  • de lui interdire l'accès au réseau ;
  • de lui interdire la navigation web seulement ;
  • de lui autoriser la navigation web selon des horaires ;
  • de lui associer une politique de filtrage web spécifique.

Complément

Les informations liées aux groupes de machine sont stockées dans :

/usr/share/ead2/backend/tmp/ipset_group<num_instance>.txt

Les éventuelles plages horaires associées sont dans :

/usr/share/ead2/backend/tmp/ipset_schedules<num_instance>.pickle

Créer un groupe de machine

Pour configurer un groupe de machine de la zone 1, aller dans Filtre web 1 / Groupe de machine.

Interface de gestion de groupe de machine
Interface de gestion de groupe de machine

Cliquer sur Nouveau groupe de machine et un formulaire de création apparaît.

Formulaire de création
Formulaire de création

Remplir :

  • nom pour le groupe de machine ( sans accents ni caractères spéciaux ) ;
  • donner l'adresse IP de début de plage ;
  • donner l'adresse IP de fin de plage ;
  • si plusieurs interfaces réseau sont associés à cette zone, il vous demandera le nom de l'interface ;
  • valider.

Le groupe de machine est dans la liste et peut être géré.

Le groupe de machine est ajouté
Le groupe de machine est ajouté

Remarque

S'il ne vous est pas possible de choisir l'interface de votre groupe lors de sa création, c'est qu'une seule interface du pare-feu est associée à cette zone.

À partir de la version 2.5.2 d'EOLE, il n'est plus obligatoire que la plage d'adresse du groupe soit de classe C.

Un trop grand nombre d'adresses dans un groupe peut entraîner une baisse de performance.

Limiter l'accès réseau

Dans la colonne Interdictions, il est possible de choisir parmi :

  • jamais ;
  • le web tout le temps ;
  • le web selon des horaires (à définir au préalable) ;
  • toute activité réseau.

ExempleInterdire le groupe de navigation web

Dans la colonne Interdictions, choisir Le web tout le temps

Le groupe de machine est alors interdit d'accès sur les ports :

  • 80 (HTTP)
  • 443 (HTTPS)
  • 3128 (e2guardian)
  • 8080 (Squid)

Si vous désirez faire une interdiction de navigation selon des horaires, il faut :

  • configurer des horaires ;
  • appliquer l'interdiction.

ExempleConfiguration des horaires

Dans la colonne Interdictions, choisir Le web selon horaires.

Cliquer sur l'horloge, la gestion des horaires apparaît.

Gestionnaire d'horaires pour les groupes de machine
Gestionnaire d'horaires pour les groupes de machine
  • choisir la plage horaire d'autorisation ;
  • choisir les jours d'applications ;
  • valider.
Remplir le formulaire
Remplir le formulaire

Les plages horaires définies s'affichent (la croix permet de supprimer la plage).

Affichage des plages horaires
Affichage des plages horaires

Remarque

Sans plage horaire définie, la navigation web est interdite tout le temps

La modification des plages horaires est dynamique.

Si le groupe de machine est interdit de navigation web selon horaires, il est possible de modifier les plages horaires.

Il est aussi possible de copier les horaires depuis un autre groupe de machine.

  • choisir le groupe dans la liste ;
  • valider.

ExempleInterdire l'accès au réseau

Pour interdire tout accès réseau à notre groupe de machine, dans la colonne Interdictions, choisir Toute activité réseau.

Spécifier une politique de filtrage

Il est possible d'associer une politique de filtrage au groupe de machine. Pour cela choisir la politique dans la colonne politique optionnelle.

Certaines politiques de filtrage sont fixes :

  • modérateur ;
  • interdit ;
  • mode liste blanche.

D'autres sont configurables :

  • Défaut ;
  • 1 ;
  • 2 ;
  • 3 ;
  • 4.

Supprimer un groupe de machine

Pour supprimer un groupe de machine, cliquez sur la croix en face de votre groupe de machine.