Asaiel Posté(e) le 31 mai 2017 Posté(e) le 31 mai 2017 Bonjour, Je suis hôte sur un célèbre site de location de biens immobiliers, et je souhaiterais pouvoir mettre à disposition des personnes que je reçois un accès internet, restreint et sécurisé, par wifi et par ethernet. Je souhaite notamment pouvoir bloquer l'ensemble des fonctionnalité de Peer to Peer/téléchargement illégal, ainsi que l'accès aux sites douteux/frauduleux. Ma configuration: - Freebox en mode bridge - Routeur 1900AC Wifi et ethernet - NAS DS414 derriere le routeur - CPL derriere le routeur, permettant de relier la chambre (hébergeant les invités) en ethernet. Quelle stratégie/réglage mettriez-vous en place pour garantir la "bonne" utilisation de la connexion? Merci d'avance!
Asaiel Posté(e) le 3 juin 2017 Auteur Posté(e) le 3 juin 2017 Un petit up, je suis sur que quelqu'un a déjà été confronté au même problème
Fenrir Posté(e) le 3 juin 2017 Posté(e) le 3 juin 2017 Réponse courte : il n'est techniquement pas possible de bloquer tout le trafic illégitime, au mieux on peut compliquer la tâche nb : le PeerToPeer n'est pas nécessairement illégitime, de nombreux "services" parfaitement légitimes fonctionnent en P2P Ensuite je me pose tout un tas de question lorsque je vois le décalage entre ton post, ton matériel et le service que tu souhaites rendre (ou du moins ce que je devine). En tout état de cause, je vais partir du principe que ton réseau est cloisonné (vlan par exemple), que tu as de quoi monter un serveur dédié au filtrage de contenu et que tu as demandé les autorisations nécessaires à Free. solution de facilité : n'autorise QUE le http+https (TCP 80/443) via un proxy explicite que chacun des résident devra configurer utilise par exemple squidguard pour restreindre la liste des sites un peu moins simple : n'autorise QUE le http+https (TCP 80/443) via un proxy transparent (donc le https ne sera filtré) ajoute un filtrage DNS pour limiter les dérives un cran au dessus : combine les solutions précédentes à du DPI pour filtrer un peu plus l'HTTPS ps : si tu ne propose pas un accès WIFI à tes résidents, autant ne rien proposer
Asaiel Posté(e) le 4 juin 2017 Auteur Posté(e) le 4 juin 2017 Bonjour Fenrir, Et merci de ta réponse. L'idée globale est bien de proposer un accès Wifi, mais dans la mesure ou un accès ethernet existe aussi physiquement dans la chambre, je dois pouvoir contrôler les deux flux. De plus, j'aimerais éviter de me payer un courrier hadopi du fait d'un hôte indélicat... Même si je te rejoins tout a fait sur ta remarque concernant le P2P (qui n'est pas toujours illégitime). Les solutions que tu proposes me semblent très pertinentes du point de vue de ma demande, mais peu être un peu lourdes (et couteuses) à mettre en oeuvre. Je me demandais si les fonctionnalités du routeur, "en l'état" me permettrait de faire une partie du job...?
Fenrir Posté(e) le 4 juin 2017 Posté(e) le 4 juin 2017 Je n'ai jamais eu de routeur Synology entre les mains, donc je ne sais pas ce qui est ou n'est pas faisable avec, mais s'il permet de configurer le pare feu "sortant" en fonction des réseaux et/ou des interfaces LAN tu devrais pouvoir t'en sortir avec en n’autorisant que les flux de base (web, messagerie, vpn). Sinon, l'investissement pour proposer un accès filtré (en best effort) à Internet pour quelques utilisateurs et avec un débit inférieur à 100mbits est de l'ordre de la centaine d'€ + quelques heures de travail si tu es près à mettre la main à la pâte (avec un raspberry pi 3 par exemple).
Asaiel Posté(e) le 14 juin 2017 Auteur Posté(e) le 14 juin 2017 Merci encore de ta réponse Fenrir. Je pense en effet qu'il est possible d'être plus restrictif sur le pare-feu pour gérer la chose. Après, je me pose la question de la gestion des règles du pare-feu par adresse IP: même si j'utilise le serveur DHCP pour réserver une IP correspondant à mon poste (sur lequel je peux être moins restrictif), il est toujours possible pour un hôte de forcer une adresse IP (sans utiliser le serveur DHCP donc) et donc de contourner les règles du pare feu... Reste effectivement la possibilité du raspberry, pour laquelle il faudrait que je me pense sérieusement sur les technos de mise en réseau.
Fenrir Posté(e) le 14 juin 2017 Posté(e) le 14 juin 2017 Sinon tu as des routeurs plus puissants à partir de 60€ qui savent faire tout ça de base (et plein d'autres choses).
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.