Groupe de machine : Filtrage par machine ou par groupe de machine

Présentation

Le module Amon propose de gérer des groupes de machine par plage d'adresse IP.

En ajoutant une référence à ce groupe, il est possible :

  • de lui interdire l'accès au réseau ;
  • de lui interdire la navigation web seulement ;
  • de lui autoriser la navigation web selon des horaires ;
  • de lui associer une politique de filtrage web spécifique (non fonctionnel avec l'authentification proxy Cntlm).

Complément

Les informations liées aux groupes de machine sont stockées dans :

/usr/share/ead2/backend/tmp/ipset_group<num_instance>.txt

Les éventuelles plages horaires associées sont dans :

/usr/share/ead2/backend/tmp/ipset_schedules<num_instance>.pickle

Créer un groupe de machine

Pour configurer un groupe de machine de la zone 1, aller dans Filtre web 1 / Groupe de machine.

Interface de gestion de groupe de machine
Interface de gestion de groupe de machine

Cliquer sur Nouveau groupe de machine et un formulaire de création apparaît.

Formulaire de création
Formulaire de création

Remplir :

  • nom pour le groupe de machine ( sans accents ni caractères spéciaux ) ;
  • donner l'adresse IP de début de plage ;
  • donner l'adresse IP de fin de plage ;
  • si plusieurs interfaces réseau sont associés à cette zone, il vous demandera le nom de l'interface ;
  • valider.

Le groupe de machine est dans la liste et peut être géré.

Le groupe de machine est ajouté
Le groupe de machine est ajouté

Remarque

S'il ne vous est pas possible de choisir l'interface de votre groupe lors de sa création, c'est qu'une seule interface du pare-feu est associée à cette zone.

À partir de la version 2.5.2 d'EOLE, il n'est plus obligatoire que la plage d'adresse du groupe soit de classe C.

Un trop grand nombre d'adresses dans un groupe peut entraîner une baisse de performance.

Limiter l'accès réseau

Dans la colonne Interdictions, il est possible de choisir parmi :

  • Jamais : permet de ne jamais interdire l'accès au web ;

  • Le web tout le temps : permet d'interdire la navigation web tout le temps.

    L'accès au proxy, sur le port 3128 et selon la configuration, sur les ports du second proxy (3129 par défaut) et de Cntlm (3127 par défaut) est bloqué pour les plages d'IP stockées dans des ipset.

    À partir de la version 2.6.1 d'EOLE, la navigation sans proxy ne subit pas de restrictions particulières, elle s'effectue donc avec les règles déjà en place sur le module (par défaut : affichage d'une page d'erreur indiquant que le proxy n'est pas configuré).

  • Le web selon des horaires : permet d'interdire la navigation web selon des horaires sont à définir au préalable (utilise les mêmes règles que Le web tout le temps mais avec des plages horaires) ;

  • Toute activité réseau : permet d'interdire toute activité réseau (toutes les requêtes issues des plages d'adresse IP stockées dans des ipset sont rejetées par des règles iptables).

Le filtrage et les restrictions basées sur des plages horaires sont appliquées par l'utilisation du module time du logiciel iptables.

iptables interprète les dates en UTC[1], il y a donc un décalage normal entre ce qui est saisi dans l'interface et les informations renvoyées par la commande iptables-save.

ExempleInterdire le groupe de navigation web

Dans la colonne Interdictions, choisir Le web tout le temps.

Si vous désirez faire une interdiction de navigation selon des horaires, il faut :

  • configurer des horaires ;
  • appliquer l'interdiction.

ExempleConfiguration des horaires

Dans la colonne Interdictions, choisir Le web selon horaires.

Cliquer sur l'horloge, la gestion des horaires apparaît.

Gestionnaire d'horaires pour les groupes de machine
Gestionnaire d'horaires pour les groupes de machine
  • choisir la plage horaire d'autorisation ;
  • choisir les jours d'applications ;
  • valider.
Remplir le formulaire
Remplir le formulaire

Les plages horaires définies s'affichent (la croix permet de supprimer la plage).

Affichage des plages horaires
Affichage des plages horaires

Remarque

Sans plage horaire définie, la navigation web est interdite tout le temps

La modification des plages horaires est dynamique.

Si le groupe de machine est interdit de navigation web selon horaires, il est possible de modifier les plages horaires.

Il est aussi possible de copier les horaires depuis un autre groupe de machine.

  • choisir le groupe dans la liste ;
  • valider.

ExempleInterdire l'accès au réseau

Pour interdire tout accès réseau à notre groupe de machine, dans la colonne Interdictions, choisir Toute activité réseau.

Spécifier une politique de filtrage

Il est possible d'associer une ou plusieurs politiques de filtrage à un groupe de machine. Elles proviennent du logiciel de filtrage e2guardian et sont associées aux plages d'adresses IP grâce à la fonctionnalité ipgroups du plugin d'authentification ip intégré à ce logiciel.

Pour associer une politique de filtrage, choisir la politique dans la colonne politique optionnelle.

Certaines politiques de filtrage sont fixes :

  • modérateur ;
  • interdits ;
  • mode liste blanche.

D'autres sont configurables :

  • Défaut ;
  • 1 ;
  • 2 ;
  • 3 ;
  • 4.

Attention

Le mode modérateur n'est pas compatible avec l'authentification NTLM : #19351.

ComplémentCorrespondance entre numéro de politique et mode de fonctionnement

Pour chaque instance de e2guardian, 8 politiques sont pré-définies par les fichiers guardianfX.conf :

  • politique n°1 : politique par défaut (politiquedefaut) ;
  • politique n°2 : utilisateur modérateur (groupmoderateurs) ;
  • politique n°3 : utilisateur interdit (groupinterdits) ;
  • politique n°4 : utilisateur en mode liste blanche (grouplisteblanche) ;
  • politique n°5 : politique de filtrage personnalisée n°1 (politique1) ;
  • politique n°6 : politique de filtrage personnalisée n°2 (politique2) ;
  • politique n°7 : politique de filtrage personnalisée n°3 (politique3) ;
  • politique n°8 : politique de filtrage personnalisée n°4 (politique4).

Supprimer un groupe de machine

Pour supprimer un groupe de machine, cliquez sur la croix en face de votre groupe de machine.

Ajouter des ipset personnalisés

Par défaut, lors de la création d'un groupe de machine ou de la génération des règles du bastion[2], tous les ipset sont supprimés avant d'être ré-appliqués.

Seuls les ipset préfixés de la chaîne local_ sont protégés de cette suppression.