Aller au contenu
  • 0

EdgeRouter X : Possibilités de filtrages et reponses ?


boris21dd

Question

Bonjour à tous,

Grace à Fenrir, je pense avoir trouvé un bon routeur le EdgeRouter X.

Des questions sont donc à l'ordre du jour :

Disposant d'un NVR "Network Video Recorder" et d'une application sur Smartphone, j'aimerai disposer d'un filtrage via des adresses Mac ou IP passant par les ports redirigés sur le NVR.

  • Est ce que cela est possible ?
  • Peut on imaginer faire automatiquement un trace route à chaque ip ou adresse mac allant sur le NVR par un port dédié ?

Je dispose d'un switch non administrable 24 ports,

  • peut on imaginer connecter plusieurs entrées du routeur au switch et ainsi optimiser la bande passante intranet ?

Disposant d'un emetteur hs373 et d'un recepteur hdmi sur le réseau qui se sont greffé en 192.168.168.xxx hors de ma plage DHCP 192.168.3.xxx, pour info, les deux ip je les ai retrouvé via NMAP et Wireshark

  • Le EdgeRouter X les verra t il ?
  • Ce routeur prend il en charge les fichiers de blocklists IP?
  • Que pensez vous de son firewall et controle parentale ?
  • Si je rajoute une borne wifi aura t il la main dessus et que me conseillez vous ?

Merci d'avance pour vos réponses.

 

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

22 réponses à cette question

Messages recommandés

  • 0
il y a 16 minutes, boris21dd a dit :

Disposant d'un NVR "Network Video Recorder" et d'une application sur Smartphone, j'aimerai disposer d'un filtrage via des adresses Mac ou IP passant par les ports redirigés sur le NVR.

  • Est ce que cela est possible ?
  • Peut on imaginer faire automatiquement un trace route à chaque ip ou adresse mac allant sur le NVR par un port dédié ?
  • Le filtrage par @mac est possible avec ce routeur, mais rarement utile du point de vue sécurité (une @mac c'est facile à changer). Il faut plus voir ça comme une couche de "contrôle". À noter aussi qu'un filtrage par @mac ne foncitonne qu'au sein du même réseau (donc pas pour un trafic venant d'Internet).
  • Ça ne présente aucun intérêt de faire un trace route d'une connexion entrante, sauf à vouloir faire du débogage réseau. Un client peut passer par CDE pour aller de A à B, mais dans l'autre sens le trafic peut parfaitment passer par IJKL pour faire B vers A. Néanmoins c'est possible (tu peux intégrer des scripts dans ces routeurs).
il y a 16 minutes, boris21dd a dit :

Je dispose d'un switch non administrable 24 ports,

  • peut on imaginer connecter plusieurs entrées du routeur au switch et ainsi optimiser la bande passante intranet ?

Non, non et non :

  • Ce modèle ne gère pas l'agrégation de lien
  • l'agrégation de lien ne permet pas d'accélérer le trafic d'un utilisateurs, ça permet de mieux répartir le trafic de plusieurs
  • et dans tous les, sauf à disposer d'une connexion Internet allant au delà du 1Gbits, la limitation sera toujours celle de ton FAI
il y a 16 minutes, boris21dd a dit :

Disposant d'un emetteur hs373 et d'un recepteur hdmi sur le réseau qui se sont greffé en 192.168.168.xxx hors de ma plage DHCP 192.168.3.xxx, pour info, les deux ip je les ai retrouvé via NMAP et Wireshark

  • Le EdgeRouter X les verra t il ?
  • Ce routeur prend il en charge les fichiers de blocklists IP?
  • Que pensez vous de son firewall et controle parentale ?
  • Si je rajoute une borne wifi aura t il la main dessus et que me conseillez vous ?
  • ni plus ni moins que ton pc, mais tu pourras lui ajouter des adresses dans ce réseau pour faire communiquer le tout
  • pas nativement, mais c'est assez simple à faire (je me suis fait un script pour filtrer le trafic en fonction du pays)
  • le firewall fonctionne très bien (c'est netfilter avec des modules d’accélération matériel), mais il ne fait pas de contrôle parental (encore une fois tu peux l'ajouter)
  • ta question revient à demander : j'ai une voiture, si j’achète une moto, la voiture aura t'elle la main dessus ? / pour le modèle de borne, celles du même constructeur on un très bon rapport qualité prix (et sont nettement moins laides que celles qu'on trouve habituellement chez les particuliers)
Lien vers le commentaire
Partager sur d’autres sites

  • 0

Bonjour Fenrir,

Merci pour ce retour détaillé, la commande est donc passée.

Je vais tenté de trouver du temps pour préparer son arrivée. :eek:

Du coup je vais surement avoir besoin d'aide mais en retour je partagerais mon avancée, scripts en tout genre.

Je vais déjà regarder comment on réalise un script :rolleyes:, l'histoire risque d’être longue mais passionnante.

To be continue...

 

Lien vers le commentaire
Partager sur d’autres sites

  • 0

À toutes fins utiles, ici c'est plus un forum synology, donc même si on est plusieurs à avoir du matériel ubiquiti, l'essentiel des questions/réponses porte sur le matériel synology. Le forum ubiquiti est très actif, tu devrais y trouver toute l'aide nécessaire assez facilement.

Voici tout de même quelques bases pour débuter avec un EdgeRouter :

  1. c'est un routeur avant tout, il ne faut pas voir ça comme un switch ou une box
  2. réfléchi à ce que tu souhaites faire, à la manière dont tu souhaites segmenter ton réseau, ... fais un schéma
  3. lors de la configuration initiale tu n’auras plus le net sur ton pc
    1. télécharge sur ton pc la dernière version stable : https://www.ubnt.com/download/edgemax/edgerouter-x/default/edgerouter-er-xer-x-sfpep-r6-firmware-v191
    2. télécharge aussi les docs sur la même page
    3. consulte le guide suivant : https://help.ubnt.com/hc/en-us/articles/115002531728-EdgeRouter-Beginners-Guide-to-EdgeRouter
  4. ensuite fais le tour du propriétaire, en particulier les wizard pour faire la conf initiale (nb : 80% des fonctions ne sont pas accessibles en web)
  5. pour l'aspect firewall, tu as 2 manières (non exclusives) de le gérer :
    1. le mode "traditionnel" : c'est le plus simple et le plus facile à mettre en place, si tu as peu de règles c'est le mode à privilégier
    2. le mode par zone : c'est nettement plus complexe à mettre en place mais une fois configuré, c'est beaucoup plus simple à gérer (nb : ça ralenti pas mal le démarrage et la modification des règles)
Lien vers le commentaire
Partager sur d’autres sites

  • 0

juste pour la partie contrôle parental:

l'analyse par DPI ne fonctionne pas pour ce type de filtrage: par ex, bloquer topadultsites ne bloque pas youporn,

l'ajour de quid + squidguard pour filtrer par proxy bouffe tout l'espace de stockage (94% occupé après récupération des listes + compilation) + bcp de ram (~70% de ram occupée):

  • impossible de sauvegarder la configuration après car le temps de générer le fichier de la config, l'interface web fait un timeout,
  • impossible de mettre à jour le routeur (plus d'espace pour télécharger le nouveau firmware)
  • le traffic par le proxy disparaît complètement du traffic analysis: on ne sait plus ce qui consomme de la bande passante

J'ai essayé de mettre un squid / squidguard sur un raspberry et de faire une redirection transparente vers le raspberry : la procédure trouvée chez ubnt ne fonctionne pas (il semblerai qu'il y ait un bug dans la version 1.9.1 qui empèche le fonctionnement)

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 0

J'avais testé le contrôle parental et était confronté aux meme problématiques. Pour l update, je devais supprimer l update en backup.
L analyse en dpi fonctionnait partiellement - il fallait juste que j aille sur les sites interdits avant pour qu'ils soient mentionnés.
J avais rapidement tenté d utiliser le nas avec le paquet squid de Gaëtan --> sans succès. Il faudrait que jy repenche.
À côté de ca, ERx est un super produit. Je dis encore merci a fenrir.
Le filtrage geoip fonctionne très bien.
VPN parfait.
Meme si au début on s'y perd pas mal (enfin pour moi...).
Le tout jumelé à une borne AC LR de la meme marque et derrière un freebox V6.

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Messieurs,

je viens donc de découvrir les DPI et visiblement cette technique est la plus couteuse identifiée en terme de filtrage.

https://www.nextinpact.com/archive/54930-hadopi-dpi-filtrage-blocage-couts.htm

A mon avis pour bloquer simplement les sites pour adultes, on doit avoir une liste des ip tels que Youporn and co.

Le reste serait filtré par mot clé ou une association de mots clés.

Par contre les DPI pour détecter un vers ou une intrusion ou autre sa devrait etre moins gourmant si on sait à quoi s'attendre.

L'idée de déporter ce filtrage via un passage obligé sur le raspberry  devrait faire un étranglement du débit non ?  A l'inverse, je ne sais pas si on peut brancher le raspberry en écoute du réseau comme avec Wireshark et non en étranglement du réseau afin de réaliser le filtrage DPI puis d'alerter le routeur via une requete ou autre. Cette requete activera une partie du filtrage DPI sur la router pour ainsi lui dire de chercher quelque chose de bien précis afin de limiter les ressources.

Intéressant mais en écoute pour un vers de la taille d'un paquet c'est trop tard il est passé.

Modifié par Lucien77
suppression lignes vides
Lien vers le commentaire
Partager sur d’autres sites

  • 0

Encore une fois, ce routeur de fait pas de contrôle parentale. Le DPI, qui n'est pas du contrôle parental, est expérimental sur ce modèle. Pour rappel, ce routeur ne coute que 60€.

Si vous souhaitez faire du filtrage de contenu, il faut passer par un proxy, comme par exemple squidguard sur synology (avec du pbr ou de l'icap ou ...) et/ou du filtrage DNS.

Dans un cas comme dans l'autre, même si ce boitier peut le faire (plus ou moins efficacement), ce n'est pas son rôle, ça reste un routeur.

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

  • 0

 

Oui c sur.

il y a une heure, Fenrir a dit :

Encore une fois, ce routeur de fait pas de contrôle parentale. Le DPI, qui n'est pas du contrôle parental, est expérimental sur ce modèle. Pour rappel, ce routeur ne coute que 60€.

Ok, il n'est pas fait pour cela mais pour les novices je pense qu'il est préférable de tirer profit d'un matériel plutot que de se familiariser avec plusieurs pour un gain de temps. En tout cas comme tu me l'as bien vendu, ba je pense que je vais essayer de faire plein de truc avec meme si mes compétences sont limitées même en anglais donc le forum ubiquiti sera une barriere supplémentaire.

Si on reste dans l'idee de Hedy d'utiliser l'edgerouter X et au vu du faible cout de l'appareil ne peut on pas mettre un deuxième Edgerouter X derriere le premier pour qu'il fasse uniquement ce travail ?

Cote applications, si squidguard ne fonctionne pas, Hedy peux passer par un des concurrents non ? "Pour rappel, mois j'attends déjà de recevoir mon routeur donc je suis dans le reve. ;-) du coup je me dis que si je te facilite tes recherches je me faciltes l'avenir ;-)

les concurrents de squiguard, conseils etc scr : https://dsi.ut-capitole.fr/documentations/cache/squidguard.html

Des scripts très utiles pour repérer les URLs pornographiques dans un log squid (et plus) créées par Cedric Foll : http://savannah.nongnu.org/projects/pornfind/ 

scr : https://dsi.ut-capitole.fr/documentations/cache/squidguard.html

Modifié par Lucien77
Inutile de citer le post précédent
Lien vers le commentaire
Partager sur d’autres sites

  • 0
il y a 15 minutes, boris21dd a dit :

pour les novices je pense qu'il est préférable de tirer profit d'un matériel plutot que de se familiariser avec plusieurs pour un gain de temps.

Je ne suis pas de cet avis, au contraire je pense qu'il est plus simple de prendre un "truc" adapté à une tâche pour réaliser cette tâche que d'essayer d'adapter ce "truc" pour faire des choses non prévues.

C'est le principe KiSS : Keep it Simple, Stupid

Par exemple pour ce routeur, il est adapté pour faire du routage et du contrôlé d'accès (firewall), ses composants électroniques ont été choisi dans ce sens pour permettre de réaliser ces tâches le plus rapidement possible en consommant le moins de ressources possibles (accélération matériel/offload). C'est ce qui a permis au constructeur de proposer un routeur 1Gbits, compact, qui ne chauffe pas, ne consomme presque rien à un tarif défiant toute concurrence.

Après, tout comme avec les Synology, l'OS sous-jacent étant un Linux (une debian en l’occurrence), on peut lui faire faire plein d'autres choses, mais ça ne sera jamais aussi efficace qu'avec un système adapté.

il y a 31 minutes, boris21dd a dit :

Si on reste dans l'idee de Hedy d'utiliser l'edgerouter X et au vu du faible cout de l'appareil ne peut on pas mettre un deuxième Edgerouter X derriere le premier pour qu'il fasse uniquement ce travail ?

Un rpi coute le même prix et te permettra plus facilement d'installer un système de contrôle parental. Comme tu l'as évoqué plus haut, le rpi sera plus limite en bande passante, c'est là que l'erx va te servir car il te permettra de n'envoyer au rpi que le trafic à filtrer (par exemple uniquement le trafic HTTP venant des machines de tes enfants et pas le streaming netflix initié par ta tv).

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Mon idée initiale était effectivement d utiliser le Erx pour faire du "all on one". Sauf que je me suis rendu compte qu un routeur est un routeur ... il permet certes des choses mais on peut pas lui demander non plus de faire le café.
Cest pourquoi je me suis tourné vers un filtrage DNS externe... pouuueeeetttt : mauvaise idée !!
Jai laisse quelques filtrage dpi pour les clients "enfants". Paramètre les connexions au net a des heures souhaitées

Ensuite, je suis passé à l idée de filtrage via le syno. L installation était plutôt compliquée.
Quel est le plus d un rpi vs squid sur le syno ? Si ce n'est qu on va pas surcharger le nas d une tâche supplémentaire.

Le 2nd erx sera quasi autant saturé en le cascadant.

Lien vers le commentaire
Partager sur d’autres sites

  • 0
Il y a 2 heures, Hedy a dit :

Quel est le plus d un rpi vs squid sur le syno ?

Un pc (ici un rpi car pas cher et peu encombrant) avec le système de ton choix sera plus facilement customisable qu'un os spécialisé pour faire routeur ou nas ou machine à café.

Voici un exemple pour squid sur un rpi : http://www.pihomeserver.fr/2015/09/01/un-controle-parental-grace-au-raspberry-pi-squid-et-squidguard/

Mais on peut aussi le faire avec dansguarian, privoxy, ...

Sur un syno, pour peu qu'on dispose d'un modèle gérant docker, on peut facilement arriver au même résultat.

Pour ce qui est du filtrage par DNS, ça fonctionne très bien et ne consomme presque pas de ressources, c'est le seul type de filtrage en place chez moi et c'est la première ligne à mettre en place avant de sortir la grosse artillerie (proxy, dpi, ...). L'autre avantage de l'approche DNS, c'est qu'elle fonctionne pour tous les protocoles sans devoir intervenir sur les périphériques.

Lien vers le commentaire
Partager sur d’autres sites

  • 0

le pb de la gestion du contrôle parental n'est pas simple a gérer et ça ne va pas aller en s'améliorant...

google pousse les sites à passer en https dés qu'un champ password est dans la page. de plus en plus de sites basculent (par ex yp). squidguard ne permet pas de filtrer les sites en https.

les DNS menteurs, ok, mais un ado de 12 ans qui joue à minecraft sait changer un DNS sur sa machine pour accéder à des serveurs custom. 

perso, après avoir essayé le proxy sur le routeur, j'ai essayé de transférer cette fonction sur un rpi. pas de soucis pour le proxy qui fonctionne. par contre pour rediriger le traffic http vers le proxy depuis le erX, nada. j'ai configuré une policy routing (https://help.ubnt.com/hc/en-us/articles/204962204-EdgeRouter-Policy-based-routing-for-transparent-proxy) et rien n'est transféré. à priori, un bug dans la v1.9.1

le erX est super pour son prix. par contre, ses limitations ne sont pas claires, et fonctionnalités s'auto excluent partiellement, ou interagissent entre elles ce qui amène des questionnements. C'est quand même un produit dont le soft doit s'améliorer, du moins au niveau du rendu utilisateur.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Pour l'https, tu peux aussi le filtrer si tu maitrise les périphériques, il suffit d'installer ton autorité sur les différents périphériques. Tu peux aussi passer en proxy explicite (avec un .pac c'est simple à maintenir).

Pour les DNS menteurs, s'il s'agit de ton propre réseau il suffit d'interdire d'autres DNS que les tiens.

Maintenant, ton gamin sera toujours en mesure de trouver des méthodes de contournement, tout comme il pourra très bien faire le con sur le chemin de l'école ou utiliser son smartphone (ou celui d'un copain) ... pour ma part, le filtrage c'est pour limiter les accidents.

Pour ce qui est du PBR, ça fonctionne très bien en 1.9.1, je viens de tester en 3min (dont 2 pour installer squid sur un rpi).

  • 192.168.0.2 : adresse du proxy, à exclure de la redirection (sinon tu créés une boucle)
  • 192.168.0.10-99 : range d'adresse à filtrer
set protocols static table 5 route 0.0.0.0/0 next-hop 192.168.0.2
set firewall group address-group PROXY_CLIENTS address 192.168.0.10-99
set firewall group port-group PROXY_PORTS port 80
set firewall group port-group PROXY_PORTS port 8080
commit
set firewall modify TRANS_PROXY rule 1 action modify
set firewall modify TRANS_PROXY rule 1 description 'use table 5 to route for PROXY_PORTS'
set firewall modify TRANS_PROXY rule 1 destination group port-group PROXY_PORTS
set firewall modify TRANS_PROXY rule 1 modify table 5
set firewall modify TRANS_PROXY rule 1 protocol tcp
set firewall modify TRANS_PROXY rule 1 source group address-group PROXY_CLIENTS
commit
set interfaces switch switch0 firewall in modify TRANS_PROXY
commit

Et sur le rpi :

iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 8080 -j REDIRECT --to-port 3129

Le reste c'est de la conf squid/squidguard, comme dans le tuto, j'ai juste ajouté :

http_port 3129 intercept

Enfin pour les limitations, oui elles existent, mais je les trouve assez clair, pour peu qu'on prenne le temps de se renseigner.

Lien vers le commentaire
Partager sur d’autres sites

  • 0

ben moi, ça marche pas... la seule diff, dans le tuto, on travaille avec eth1, et toi sur switch0.

je vais recommencer avec switch0 pour voir.

ça m'évitera de mettre des regles de fw sur les interfaces. (ça a l'air de rendre inaccessible le router après un reboot.)

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Dans le tuto, eth1 correspond à leur port LAN, chez moi le LAN est sur switch0 (et quelques interfaces de vlan), chez toi c'est ... ce que tu as configuré.

Si tu as configuré des interfaces comme membres du switch, alors ces interfaces ne sont plus utilisées pour le routage/firewall, la conf doit être effectuée sur l'interface switch.

Si ton LAN est sur eth2 et que cette interface n'est pas membre du switch, alors c'est sur eth2 qu'il faut appliquer la conf.

...

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Bonsoir,

Du coup, pour notre Edgerouter X,  j'ai trouvé en provisoire ce plugin "Wizard" pour les  blacklists qui est vraiment pas mal.

Donc une bonne trame de départ :smile:, par contre sa nous propose de blacklister les ip locales et whitelister donc je sais pas si je ne mets rien dans les locales sa fonctionne quand meme

58f90c084e878_Captureedgerouterxwizardsblacklist.thumb.JPG.288cbc55c30542fddb95be524764f0b5.JPG

blacklist.tar

 

Lien vers le commentaire
Partager sur d’autres sites

  • 0
il y a 47 minutes, boris21dd a dit :

par contre sa nous propose de blacklister les ip locales et whitelister

Il te propose de créer tes propres black/white listes, en complément de celles qu'il télécharge.

J'avais commencé à faire un wizard graphique pour le mien (celui pour le geoip), mais je n'ai jamais trouvé la motivation de le finir car je n'utilise pas l'interface graphique et que de toute manière, ce genre de fonction, une fois configurée, on n'y revient plus.

Je me suis donc contenté d'un wizard en CLI.

Mais si ça t'amuse, mon script est libre de droits.

ps : tu as oublié de poster les scripts qui vont avec le wizard, sans les scripts ce wizard ne fait rien (tout est indiqué sur le github)

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Du coup je suis allé voir sur github et on est une ancienne version

Puis sur https://community.ubnt.com/t5/EdgeMAX/Emerging-Threats-Blacklist/m-p/1355039#M79421

La on a tout en vrac.

J'ai donc ouvert le fichier wizard-run "fichier contenu dans le pack blacklist.tar" Pour moi, il s'agit du le script mais il manque plein de truc notamment la recompilation des fichiers textes téléchargé afin de pomper uniquement les ip.

On a pas non plus la sélection de l'ip locale concernée par ce filtrage.

Tu penses qu'il y a plusieurs scripts car on peut pas tout programmer depuis le pack que je t'ai envoyé ?

Lien vers le commentaire
Partager sur d’autres sites

  • 0

Je n'ai pas testé ce wizard ni les scripts associés, mais ce qui est certain c'est que dans le tar il n'y a aucune commande permettant de configurer le firewall, il y a juste de quoi créer des listes. Ces listes sont utilisée par les scripts.

En passant, tu peux parfaitement utiliser tes blacklists avec mon script, c'est prévu (c'était une demande de @gaetan.cambier)

Il faudra juste modifier la ligne 185 pour adapter le format de certains des fichiers :

  • curl -s $BASEURL | grep -E '^[0-9]' | sort -u | awk -v list=$NETGROUPtmp '{print "add -exist "list" "$1}' > $NETGROUPFILEtmp
  • curl -s $BASEURL | grep -E '^[0-9]' | sort -u | awk '{print $1}' | awk -v list=$NETGROUPtmp '{print "add -exist "list" "$1}' > $NETGROUPFILEtmp

Et peut être ajouter le masque (/32) s'il n'y en a pas, il faut tester (je ne me rappelle pas par cœur de ce que fait ipset s'il n'a pas de masque).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à cette question…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.