Sources et destinations : Interdire ou restreindre l'activité d'un sous-réseau

Dans l'EAD il est possible d'interdire l'accès web en fonctions de plages horaires ou d'interdire l'activité à tout un sous-réseau .

Vue d'ensemble pour l'ajout d'une source à interdire
Vue d'ensemble pour l'ajout d'une source à interdire

Dans le menu de l'EAD, choisir l'entrée portant le nom du filtre choisi dans l'interface de configuration du module, par défaut Filtre web 1. Puis sélectionner Sources et destinations et enfin Sources interdites.

Les paramètres à saisir sont :

  • la Source à interdire : le sous-réseau (ou poste) sur lequel les restrictions doivent être appliquées ;
  • l'Interface associée à l'adresse (n'apparaît que s'il existe plusieurs interfaces rattachées au filtre web sélectionné) ;
  • les plages horaires et journalières de la restriction (restriction web uniquement) ;
  • le Niveau de restriction : web ou réseau.

Remarque

Avec le niveau de restriction Seulement le web, l'accès au proxy, sur le port 3128 et selon la configuration, sur les ports du second proxy (3129 par défaut) et de Cntlm (3127 par défaut) est bloqué pour le sous-réseau saisi.

À partir de la version 2.6.1 d'EOLE, la navigation sans proxy ne subit pas de restrictions particulières, elle s'effectue donc avec les règles déjà en place sur le module (par défaut : affichage d'une page d'erreur indiquant que le proxy n'est pas configuré).

ExempleInterdire l'accès web depuis le sous-réseau 10.21.11.0/255.255.255.0 provenant de l'interface 1 tous les jours entre minuit et 6 heures du matin

Ajout d'une source à interdire
Ajout d'une source à interdire

Soit l'interface 1 sur la zone de filtre web 1 :

  • Saisir 10.121.11.0/255.255.255.0 dans Source à interdire ;
  • Choisir admin (xxx) dans la liste Interface associée à l'adresse ;
  • Sélectionner 0:01 comme heure de début et 06:30 comme heure de fin ;
  • Sélectionner les jours : du lundi au dimanche ;
  • Choisir Seulement le web comme Niveau de restriction ;
  • Cliquer sur Ajouter.

Un message  de confirmation "L'adresse 10.121.11.0/255.255.255.0 a été ajoutée à la liste des postes interdits de navigation web. Le pare-feu a bien été redémarré" apparaît.

Le filtrage et les restrictions basées sur des plages horaires sont appliquées par l'utilisation du module time du logiciel iptables.

iptables interprète les dates en UTC[1], il y a donc un décalage normal entre ce qui est saisi dans l'interface et les informations renvoyées par la commande iptables-save.

ExempleAnnuler une interdiction

Dans le menu de l'EAD, choisir l'entrée portant le nom du filtre choisi dans l'interface de configuration du module, par défaut Filtre web 1. Puis sélectionner Sources et destinations et enfin Sources interdites.

Suppression d'une source interdite
Suppression d'une source interdite
  • Choisir l'interdiction à supprimer dans la liste ;
  • Cliquer sur Supprimer.

Complément

Les sources interdites d'accès web sont écrites dans :

/usr/share/ead2/backend/tmp/horaire_ip<num_instance>.txt

Les sources interdites d'accès réseau sont écrites dans :

/usr/share/ead2/backend/tmp/poste_all<num_instance>.txt