Commande route : Couper la connexion internet dans un établissement

Version imprimable

27/11/2007, 20h19
morelo

Bonjour,

J'administre un petit réseau pédagogique dans un "petit Lycée".

J'ai un serveur ( Mandriva 2005) qui fait passerelle , DNS, serveur de fichiers et proxy( squid - squidguard) pas de dhcp ( tous les pc sont en ip fixe)

Je suis en train de préparer des scripts batch pour couper la connexion internet en fonction des salles de cours.

J'ai donc cherché du côté de la commande route pour couper la route de la passerelle et j'ai testé les commandes suivantes :

Pour se connecter :

Code:

at \\192.168.0.5 %h% route add 0.0.0.0 mask 0.0.0.0 192.168.0.1

Pour se déconnecter :

Code:

at \\192.168.0.5 %h% route delete 0.0.0.0

%h% est ma variable de temps et 192.168.0.1 est ma passerelle.

J'ai testé les commandes sur mon réseau personnel ( box + routeur)
et tout fonctionne bien.

Dès que j'arrive sur le réseau du Lycée, les routes s'ajoutent bien pour ouvrir la connexion internet. Par contre lorsque je veux me déconnecter, la route 0.0.0.0 192.168.0.1 0.0.0.0 se supprime mais je peux toujours me connecter à Internet. Pourtant les ping sur l'extérieur sont bien bloqués lorsque je fait le route delete 0.0.0.0.

J'ai vérifié du coté du service dhcp sur le serveur et il n'est pas activé.
De plus les ping sur l'extérieur sont bien bloqués lorsque je fait le

Code:

route delete 0.0.0.0

Avez-vous une idée en tête pour résoudre mon problème . Il y a beaucoup d'aide en ligne pour partager une connexion internet mais moi, je cherche à la couper !

Pensez-vous que mon problème vient du serveur proxy ? ou du DNS ?

Merci d'avance pour votre aide
:oops:

EDIT :

Au fait , c'est mon premier message .
J'espère que je l'ai mis au bon endroit.

Merci pour votre compréhension.
27/11/2007, 21h35
gorgonite

Avec l'utilisation d'un proxy, les ordinateurs n'ont pas besoin de route pour accéder à internet (car dans ton cas l'ip du routeur est dans la classe d'adresse des clients)

donc tu dois couper tout ce qui ne passe par le proxy http...

à ta place, je configurerais cette limite de temps au niveau du proxy (cherches dans les options de squid ;))

sinon tu peux mettre un script de déclaration de proxy "automatique", qui va être modifié en fonction de la salle et de l'heure ;)
27/11/2007, 22h09
morelo

Merci pour la rapidité de ta réponse !

En fait , les profs me demandent de pouvoir couper la connexion internet au besoin et sans la planifier .

Le système Pingoo V3 permet cette fonctionnalité avec en plus un interface web. Je pensais que ce système fonctionnait avec la commande route.

Il faut donc écrire des scripts qui configure squid???
27/11/2007, 22h33
gorgonite

Citation:

Envoyé par morelo

Le système Pingoo V3 permet cette fonctionnalité avec en plus un interface web. Je pensais que ce système fonctionnait avec la commande route.

Il faut donc écrire des scripts qui configure squid???

si tout était configuré en nat au niveau de la passerelle, ça marcherait ;)

dans le fichier de configuration de squid, ça semble se configurer
http://www.linuxfocus.org/Francais/M...ticle235.shtml (trouvé sur :google:)

voici l'extrait de concernant (:merci: à la licence FDL, je peux recopier)

Citation:

Utiliser le contrôle d'accès
Les contrôles d'accès et les règles multiples offrent une grande souplesse dans le contrôle des accès clients à Internet. Des exemples très courants sont donnés ci-dessous; cela ne signifie pas du tout que ce soient les seuls disponibles.

2. Restreindre l'accès selon les heures et les jours

acl allowed_clients src 192.168.0.0/255.255.255.0
acl regular_days time MTWHF 10:00-16:00
http_access allow allowed_clients regular_days
http_access deny allowed_clients
Tous les clients du réseau 192.168.0.0 peuvent accèder à Internet du Lundi au Vendredi de 10h du matin à 4h de l'après-midi.
3. Plusieurs plages horaires selon le client

acl hosts1 src 192.168.0.10
acl hosts2 src 192.168.0.20
acl hosts3 src 192.168.0.30
acl matin time 10:00-13:00
acl lunch time 13:30-14:30
acl soir time 15:00-18:00
http_access allow host1 matin
http_access allow host1 soir
http_access allow host2 lunch
http_access allow host3 soir
http_access deny all
La règle ci-dessus donne l'accès à la machine host1 aux heures du matin et du soir; mais host2 et host3 n'accèdent, respectivement, qu'à l'heure du repas de midi et aux heures du soir.

Note:
Tous les éléments figurant dans la même entrée d'accès sont associés par un ET et exécutés de la manière suivante
http_access Action statement1 AND (ET) statement2 AND (ET) statement OR (OU)

Des règles multiples de http_access sont comparées par des OU alors que les règles d'une entrée d'accès sont associées par des ET; pour cette raison la règle

http_access allow host1 matin soir
ne fonctionnerait jamais (soir ET matin) puisqu'elle ne serait jamais vérifiée.
27/11/2007, 22h42
gorgonite

Citation:

Envoyé par morelo

Merci pour la rapidité de ta réponse !

au passage, ce serait sympa de me faire un topo quand tu auras réussis afin que je complète mon article "passerelle libre sous linux"

http://gorgonite.developpez.com/tuto...ux/passerelle/
27/11/2007, 22h46
morelo

En Fait il faudrait qu'à partir d'un script accessible en exécution uniquement , je puissent ajouter des ACLs dans le squid.conf .
Je n'ai rien vu sur le net la dessus !

J'ai déjà travaillé sur squid pour limiter les heures et les jours ainsi pour faire une authentification à partir de mon annuaire ldap.

Bon je vais chercher encore demain .

Merci en tout cas pour m'avoir donné la bonne direction de recherche.

Si tu as une idée pour modifier squid.conf à distance et par un script ...:oops:

Merci encore Morelo
28/11/2007, 10h20
gorgonite

sinon je viens de penser à un truc plus simple.

via un script tu détermines une plage horaire, et tu règles ton iptables pour bloquer les entrées sur le port de squid... puis tu le remets à la fin de la plage horaire ;)

une petit appli exécuté via cgi-bin devrait suffire :D
28/11/2007, 14h32
morelo

Merci pour L'info ,

Seulement, si je coupe le port du proxy, je le coupe pour tout le monde et pas uniquement pour une salle.

J'avais bien pensé à jouer sur le paramétrage du navigateur sur le client mais il y aura toujours des petits malin à arriver avec une clé live par exemple et à configurer leur propre navigateur.

De mon côté, je cherche quelle est la syntaxe pour ajouter une ligne dans le fichier squid.conf à partir d'un script sh.

Les script que j'ai de SambaParis le font sur smb.conf mais pour le paramétrage de squid.conf, l'ordre des ACL est très important. Je doit donc pouvoir ajouter une ligne à un endroit précis du fichier de conf.

Merci pour les infos

Morelo
:)
28/11/2007, 16h25
gorgonite

Citation:

Envoyé par morelo

Seulement, si je coupe le port du proxy, je le coupe pour tout le monde et pas uniquement pour une salle.

absolument pas tu peux specifier la source des connexions dans les regles iptables... ;)
28/11/2007, 22h39
morelo

Merci pour l'info , je me lance de ce pas dans le man d'iptable.
Des nouvelles dès que j'aurai avancé !!:?
29/11/2007, 11h02
gorgonite
un petit mémo :
http://gorgonite.developpez.com/tuto...isations#LII-6

j'essayerais ceci :
Code:

1 2 $IPTABLES -A INPUT -m state --state NEW -p tcp -s ${LA_SALLE_CONCERNEE} \ --sport 1024: --dport ${PORT_SQUID} -i ${IF_LOCAL} -j DROP
evidemment, il faut avoir "bien" réglé les zones de façon à ce que chaque salle puisse être casée dans une zone ;)