Filtrage par machine ou par groupe de machine
Présentation
Le module Amon propose de gérer des groupes de machine par plage d'adresse IP.
En ajoutant une référence à ce groupe, il est possible :
- de lui interdire l'accès au réseau ;
- de lui interdire la navigation web seulement ;
- de lui autoriser la navigation web selon des horaires ;
- de lui associer une politique de filtrage web spécifique.
Complément
Les informations liées aux groupes de machine sont stockées dans :
/usr/share/ead2/backend/tmp/ipset_group<num_instance>.txt
Les éventuelles plages horaires associées sont dans :
/usr/share/ead2/backend/tmp/ipset_schedules<num_instance>.pickle
Créer un groupe de machine
Pour configurer un groupe de machine de la zone 1, aller dans Filtre web 1
/ Groupe de machine
.
Cliquer sur Nouveau groupe de machine
et un formulaire de création apparaît.
Remplir :
- nom pour le groupe de machine ( sans accents ni caractères spéciaux ) ;
- donner l'adresse IP de début de plage ;
- donner l'adresse IP de fin de plage ;
- si plusieurs interfaces réseau sont associés à cette zone, il vous demandera le nom de l'interface ;
- valider.
Le groupe de machine est dans la liste et peut être géré.
Remarque
S'il ne vous est pas possible de choisir l'interface de votre groupe lors de sa création, c'est qu'une seule interface du pare-feu est associée à cette zone.
À partir de la version 2.5.2 d'EOLE, il n'est plus obligatoire que la plage d'adresse du groupe soit de classe C.
Un trop grand nombre d'adresses dans un groupe peut entraîner une baisse de performance.
Limiter l'accès réseau
Dans la colonne Interdictions
, il est possible de choisir parmi :
- jamais ;
- le web tout le temps ;
- le web selon des horaires (à définir au préalable) ;
- toute activité réseau.
ExempleInterdire le groupe de navigation web
Dans la colonne Interdictions
, choisir Le web tout le temps
Le groupe de machine est alors interdit d'accès sur les ports :
- 80 (HTTP)
- 443 (HTTPS)
- 3128 (e2guardian)
- 8080 (Squid)
Si vous désirez faire une interdiction de navigation selon des horaires, il faut :
- configurer des horaires ;
- appliquer l'interdiction.
ExempleConfiguration des horaires
Dans la colonne Interdictions
, choisir Le web selon horaires
.
Cliquer sur l'horloge, la gestion des horaires apparaît.
- choisir la plage horaire d'autorisation ;
- choisir les jours d'applications ;
- valider.
Les plages horaires définies s'affichent (la croix permet de supprimer la plage).
Remarque
Sans plage horaire définie, la navigation web est interdite tout le temps
La modification des plages horaires est dynamique.
Si le groupe de machine est interdit de navigation web selon horaires, il est possible de modifier les plages horaires.
Il est aussi possible de copier les horaires depuis un autre groupe de machine.
- choisir le groupe dans la liste ;
- valider.
ExempleInterdire l'accès au réseau
Pour interdire tout accès réseau à notre groupe de machine, dans la colonne Interdictions
, choisir Toute activité réseau
.
Spécifier une politique de filtrage
Il est possible d'associer une politique de filtrage au groupe de machine. Pour cela choisir la politique dans la colonne politique optionnelle
.
Certaines politiques de filtrage sont fixes :
- modérateur ;
- interdit ;
- mode liste blanche.
D'autres sont configurables :
- Défaut ;
- 1 ;
- 2 ;
- 3 ;
- 4.
Supprimer un groupe de machine
Pour supprimer un groupe de machine, cliquez sur la croix en face de votre groupe de machine.