Commande route : Couper la connexion internet dans un établissement

[morelo]

Bonjour,

J'administre un petit réseau pédagogique dans un "petit Lycée".

J'ai un serveur ( Mandriva 2005) qui fait passerelle , DNS, serveur de fichiers et proxy( squid - squidguard) pas de dhcp ( tous les pc sont en ip fixe)

Je suis en train de préparer des scripts batch pour couper la connexion internet en fonction des salles de cours.

J'ai donc cherché du côté de la commande route pour couper la route de la passerelle et j'ai testé les commandes suivantes :

Pour se connecter :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

at \\192.168.0.5 %h% route add 0.0.0.0 mask 0.0.0.0 192.168.0.1

Pour se déconnecter :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

at \\192.168.0.5 %h% route delete 0.0.0.0

%h% est ma variable de temps et 192.168.0.1 est ma passerelle.

J'ai testé les commandes sur mon réseau personnel ( box + routeur)
et tout fonctionne bien.

Dès que j'arrive sur le réseau du Lycée, les routes s'ajoutent bien pour ouvrir la connexion internet. Par contre lorsque je veux me déconnecter, la route 0.0.0.0 192.168.0.1 0.0.0.0 se supprime mais je peux toujours me connecter à Internet. Pourtant les ping sur l'extérieur sont bien bloqués lorsque je fait le route delete 0.0.0.0.

J'ai vérifié du coté du service dhcp sur le serveur et il n'est pas activé.
De plus les ping sur l'extérieur sont bien bloqués lorsque je fait le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route delete 0.0.0.0

Avez-vous une idée en tête pour résoudre mon problème . Il y a beaucoup d'aide en ligne pour partager une connexion internet mais moi, je cherche à la couper !


Pensez-vous que mon problème vient du serveur proxy ? ou du DNS ?

Merci d'avance pour votre aide




EDIT :

Au fait , c'est mon premier message .
J'espère que je l'ai mis au bon endroit.

Merci pour votre compréhension.

[gorgonite]

Avec l'utilisation d'un proxy, les ordinateurs n'ont pas besoin de route pour accéder à internet (car dans ton cas l'ip du routeur est dans la classe d'adresse des clients)


donc tu dois couper tout ce qui ne passe par le proxy http...

à ta place, je configurerais cette limite de temps au niveau du proxy (cherches dans les options de squid )

sinon tu peux mettre un script de déclaration de proxy "automatique", qui va être modifié en fonction de la salle et de l'heure

[morelo]

Merci pour la rapidité de ta réponse !

En fait , les profs me demandent de pouvoir couper la connexion internet au besoin et sans la planifier .

Le système Pingoo V3 permet cette fonctionnalité avec en plus un interface web. Je pensais que ce système fonctionnait avec la commande route.

Il faut donc écrire des scripts qui configure squid???

[gorgonite]

Citation:

Envoyé par morelo

Le système Pingoo V3 permet cette fonctionnalité avec en plus un interface web. Je pensais que ce système fonctionnait avec la commande route.

Il faut donc écrire des scripts qui configure squid???

si tout était configuré en nat au niveau de la passerelle, ça marcherait

dans le fichier de configuration de squid, ça semble se configurer
http://www.linuxfocus.org/Francais/M...ticle235.shtml (trouvé sur )


voici l'extrait de concernant ( à la licence FDL, je peux recopier)

Citation:

Utiliser le contrôle d'accès
Les contrôles d'accès et les règles multiples offrent une grande souplesse dans le contrôle des accès clients à Internet. Des exemples très courants sont donnés ci-dessous; cela ne signifie pas du tout que ce soient les seuls disponibles.

2. Restreindre l'accès selon les heures et les jours

acl allowed_clients src 192.168.0.0/255.255.255.0
acl regular_days time MTWHF 10:00-16:00
http_access allow allowed_clients regular_days
http_access deny allowed_clients
Tous les clients du réseau 192.168.0.0 peuvent accèder à Internet du Lundi au Vendredi de 10h du matin à 4h de l'après-midi.
3. Plusieurs plages horaires selon le client

acl hosts1 src 192.168.0.10
acl hosts2 src 192.168.0.20
acl hosts3 src 192.168.0.30
acl matin time 10:00-13:00
acl lunch time 13:30-14:30
acl soir time 15:00-18:00
http_access allow host1 matin
http_access allow host1 soir
http_access allow host2 lunch
http_access allow host3 soir
http_access deny all
La règle ci-dessus donne l'accès à la machine host1 aux heures du matin et du soir; mais host2 et host3 n'accèdent, respectivement, qu'à l'heure du repas de midi et aux heures du soir.

Note:
Tous les éléments figurant dans la même entrée d'accès sont associés par un ET et exécutés de la manière suivante
http_access Action statement1 AND (ET) statement2 AND (ET) statement OR (OU)

Des règles multiples de http_access sont comparées par des OU alors que les règles d'une entrée d'accès sont associées par des ET; pour cette raison la règle

http_access allow host1 matin soir
ne fonctionnerait jamais (soir ET matin) puisqu'elle ne serait jamais vérifiée.

[gorgonite]

Citation:

Envoyé par morelo

Merci pour la rapidité de ta réponse !

au passage, ce serait sympa de me faire un topo quand tu auras réussis afin que je complète mon article "passerelle libre sous linux"

http://gorgonite.developpez.com/tuto...ux/passerelle/

[morelo]

En Fait il faudrait qu'à partir d'un script accessible en exécution uniquement , je puissent ajouter des ACLs dans le squid.conf .
Je n'ai rien vu sur le net la dessus !

J'ai déjà travaillé sur squid pour limiter les heures et les jours ainsi pour faire une authentification à partir de mon annuaire ldap.


Bon je vais chercher encore demain .

Merci en tout cas pour m'avoir donné la bonne direction de recherche.

Si tu as une idée pour modifier squid.conf à distance et par un script ...

Merci encore Morelo

[gorgonite]

sinon je viens de penser à un truc plus simple.


via un script tu détermines une plage horaire, et tu règles ton iptables pour bloquer les entrées sur le port de squid... puis tu le remets à la fin de la plage horaire


une petit appli exécuté via cgi-bin devrait suffire

[morelo]

Merci pour L'info ,

Seulement, si je coupe le port du proxy, je le coupe pour tout le monde et pas uniquement pour une salle.

J'avais bien pensé à jouer sur le paramétrage du navigateur sur le client mais il y aura toujours des petits malin à arriver avec une clé live par exemple et à configurer leur propre navigateur.

De mon côté, je cherche quelle est la syntaxe pour ajouter une ligne dans le fichier squid.conf à partir d'un script sh.

Les script que j'ai de SambaParis le font sur smb.conf mais pour le paramétrage de squid.conf, l'ordre des ACL est très important. Je doit donc pouvoir ajouter une ligne à un endroit précis du fichier de conf.

Merci pour les infos

Morelo

[gorgonite]

Citation:

Envoyé par morelo

Seulement, si je coupe le port du proxy, je le coupe pour tout le monde et pas uniquement pour une salle.

absolument pas tu peux specifier la source des connexions dans les regles iptables...

[morelo]

Merci pour l'info , je me lance de ce pas dans le man d'iptable.
Des nouvelles dès que j'aurai avancé !!

[gorgonite]

un petit mémo :
http://gorgonite.developpez.com/tuto...isations#LII-6



j'essayerais ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$IPTABLES -A INPUT -m state --state NEW -p tcp -s ${LA_SALLE_CONCERNEE} \
  --sport 1024: --dport ${PORT_SQUID} -i ${IF_LOCAL} -j DROP

evidemment, il faut avoir "bien" réglé les zones de façon à ce que chaque salle puisse être casée dans une zone