Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification. Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d'autre domaines pour charger script / images ...
Sur mon ucopia, je peux enregistrer les adresses mac et définir des url accessibles sans authentification, mais je suis bloqué dès lors que je cherche à autoriser des sites comme skype qui fait appel à ces centaines d'url distinctes, qui évoluent tout le temps.
Merci
Pi-Hole ? C'est pas le plus sécurisé mais si c'est du PC en libre service (donc je présume sans accès aux paramètres réseaux) ça peut faire le job je pense.
-- Kevin
Pour des tablettes (genre iPad) je sais qu'il existe un "mode présentation" où pour visiter autre chose il faut un mot de passe.
Pour PC il doit sûrement exister un soft similaire et ne laisser que ce navigateur en question visible sur le Bureau : https://en.wikipedia.org/wiki/Site-specific_browser
Le 01/10/2020 à 2:08 PM, PAILLE Jeremie a écrit :
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification.
Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d’autre domaines pour charger script / images …
Sur mon ucopia, je peux enregistrer les adresses mac et définir des url accessibles sans authentification, mais je suis bloqué dès lors que je cherche à autoriser des sites comme skype qui fait appel à ces centaines d’url distinctes, qui évoluent tout le temps.
Merci
-- Ce message est confidentiel et etabli a l' intention exclusive de ses destinataires. Toute utilisation non conforme a sa destination, toute diffusion ou publication, totale ou partielle, est interdite. Si vous recevez ce message par erreur, merci de le detruire sans en conserver de copie et d'en avertir immediatement l'expediteur. Internet ne permettant pas de garantir l'integrite de ce message, l'ARHM decline toute responsabilite si ce message a ete modifie, altere, deforme ou falsifie.
Liste de diffusion du FRsAG http://www.frsag.org/
+1 pour PiHole
Nicolas Girardi.
Le 1 oct. 2020 à 14:33, Garfieldairlines on lists list@garfieldairlines.net a écrit :
Pour des tablettes (genre iPad) je sais qu'il existe un "mode présentation" où pour visiter autre chose il faut un mot de passe.
Pour PC il doit sûrement exister un soft similaire et ne laisser que ce navigateur en question visible sur le Bureau : https://en.wikipedia.org/wiki/Site-specific_browser
Le 01/10/2020 à 2:08 PM, PAILLE Jeremie a écrit :
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification. Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d’autre domaines pour charger script / images …
Sur mon ucopia, je peux enregistrer les adresses mac et définir des url accessibles sans authentification, mais je suis bloqué dès lors que je cherche à autoriser des sites comme skype qui fait appel à ces centaines d’url distinctes, qui évoluent tout le temps.
Merci
Ce message est confidentiel et etabli a l' intention exclusive de ses destinataires. Toute utilisation non conforme a sa destination, toute diffusion ou publication, totale ou partielle, est interdite. Si vous recevez ce message par erreur, merci de le detruire sans en conserver de copie et d'en avertir immediatement l'expediteur. Internet ne permettant pas de garantir l'integrite de ce message, l'ARHM decline toute responsabilite si ce message a ete modifie, altere, deforme ou falsifie.
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Quelle différence entre Pi-Hole et une allowlist ?
Le jeu. 1 oct. 2020 à 14:40, Nicolas GIRARDI n.girardi@gmail.com a écrit :
+1 pour PiHole
Nicolas Girardi.
Le 1 oct. 2020 à 14:33, Garfieldairlines on lists < list@garfieldairlines.net> a écrit :
Pour des tablettes (genre iPad) je sais qu'il existe un "mode présentation" où pour visiter autre chose il faut un mot de passe.
Pour PC il doit sûrement exister un soft similaire et ne laisser que ce navigateur en question visible sur le Bureau : https://en.wikipedia.org/wiki/Site-specific_browser Le 01/10/2020 à 2:08 PM, PAILLE Jeremie a écrit :
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification.
Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d’autre domaines pour charger script / images …
Sur mon ucopia, je peux enregistrer les adresses mac et définir des url accessibles sans authentification, mais je suis bloqué dès lors que je cherche à autoriser des sites comme skype qui fait appel à ces centaines d’url distinctes, qui évoluent tout le temps.
Merci
-- Ce message est confidentiel et etabli a l' intention exclusive de ses destinataires. Toute utilisation non conforme a sa destination, toute diffusion ou publication, totale ou partielle, est interdite. Si vous recevez ce message par erreur, merci de le detruire sans en conserver de copie et d'en avertir immediatement l'expediteur. Internet ne permettant pas de garantir l'integrite de ce message, l'ARHM decline toute responsabilite si ce message a ete modifie, altere, deforme ou falsifie.
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com qui charge des applets via le domaine msft.com ou msftcdn.com voire akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume guillaume@ophane.net a écrit :
On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas tera.al@gmail.com wrote:
Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com qui charge des applets via le domaine msft.com ou msftcdn.com voire akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume guillaume@ophane.net a écrit : On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Je crois que le problème de l’OP c’est de pouvoir facilement accepter les sites qui dépendent de 157 domaines autres pour s’afficher correctement (187 si on ajoute les pubs), sans avoir à se pelucher les 157 domaines.
Peut-être en autorisant les requêtes qui contiennent le domaine en question en REFERRER ?
Le 1 oct. 2020 à 17:15, Pierre-Philipp Braun pbraun@nethence.com a écrit :
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas <tera.al@gmail.com mailto:tera.al@gmail.com> wrote:
Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com http://microsoft.com/ qui charge des applets via le domaine msft.com http://msft.com/ ou msftcdn.com http://msftcdn.com/ voire akamai.com http://akamai.com/. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume <guillaume@ophane.net mailto:guillaume@ophane.net> a écrit : On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Ouais …. Je vois quand meme qu’il n’y a pas de solution miracle, il faut forcement passer par une usine à gaz en listant toutes les URL. ..
From: FRsAG frsag-bounces@frsag.org On Behalf Of Pierre-Philipp Braun Sent: jeudi 1 octobre 2020 17:15 To: Adrien Rivas tera.al@gmail.com Cc: frsag@frsag.org Subject: Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas <tera.al@gmail.commailto:tera.al@gmail.com> wrote: Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.comhttp://microsoft.com qui charge des applets via le domaine msft.comhttp://msft.com ou msftcdn.comhttp://msftcdn.com voire akamai.comhttp://akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume <guillaume@ophane.netmailto:guillaume@ophane.net> a écrit : On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
Je ne sais pas pour squid, mais pour le PiHole, il y a des listes noires toutes faites, présélectionnées selon le DNS résolveur choisi. Il y a aussi des listes noires pour DNSfilter sur Android/frdoid. C'est de simples fichiers texte que tu peux concaténer à un fichiers host et redirigés ers 127.0.0.1. Si tu montes un DNS résolveur local, tu peux réutiliser ces listing (il doit aussi y en avoir pour unbound).
Si l'idée est de faire une liste blanche, ça devrait aller plus vite.
Cordialement
Le 1 octobre 2020 17:35:59 GMT+02:00, PAILLE Jeremie Jeremie.PAILLE@arhm.fr a écrit :
Ouais …. Je vois quand meme qu’il n’y a pas de solution miracle, il faut forcement passer par une usine à gaz en listant toutes les URL. ..
From: FRsAG frsag-bounces@frsag.org On Behalf Of Pierre-Philipp Braun Sent: jeudi 1 octobre 2020 17:15 To: Adrien Rivas tera.al@gmail.com Cc: frsag@frsag.org Subject: Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas <tera.al@gmail.commailto:tera.al@gmail.com> wrote: Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.comhttp://microsoft.com qui charge des applets via le domaine msft.comhttp://msft.com ou msftcdn.comhttp://msftcdn.com voire akamai.comhttp://akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume <guillaume@ophane.netmailto:guillaume@ophane.net> a écrit : On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Sauf que son besoin c'est d'avoir une liste blanche restreinte, mais une expérience utilisateurs réussie. En gros une solution qui, pour de la navigation web, est capable d'offrir l'accès à un site whitelisté et d'implicitement autoriser dans la page les différents liens vers d'autres sites / catégories de sites, dans la mesure où ces urls ne tomberaient pas dans des catégories explicitement bloquées, comme du phishing, serveur C&C, P2P, radio, etc...
Le jeu. 1 oct. 2020 à 17:52, Rémy Dernat remy.dernat@umontpellier.fr a écrit :
Bonsoir,
Je ne sais pas pour squid, mais pour le PiHole, il y a des listes noires toutes faites, présélectionnées selon le DNS résolveur choisi. Il y a aussi des listes noires pour DNSfilter sur Android/frdoid. C'est de simples fichiers texte que tu peux concaténer à un fichiers host et redirigés ers 127.0.0.1. Si tu montes un DNS résolveur local, tu peux réutiliser ces listing (il doit aussi y en avoir pour unbound).
Si l'idée est de faire une liste blanche, ça devrait aller plus vite.
Cordialement
Le 1 octobre 2020 17:35:59 GMT+02:00, PAILLE Jeremie < Jeremie.PAILLE@arhm.fr> a écrit :
Ouais …. Je vois quand meme qu’il n’y a pas de solution miracle, il faut forcement passer par une usine à gaz en listant toutes les URL. ..
*From:* FRsAG frsag-bounces@frsag.org *On Behalf Of *Pierre-Philipp Braun *Sent:* jeudi 1 octobre 2020 17:15 *To:* Adrien Rivas tera.al@gmail.com *Cc:* frsag@frsag.org *Subject:* Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas tera.al@gmail.com wrote:
Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com qui charge des applets via le domaine msft.com ou msftcdn.com voire akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume guillaume@ophane.net a écrit :
On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 01/10/2020 à 17:55, Adrien Rivas a écrit :
Sauf que son besoin c'est d'avoir une liste blanche restreinte, mais une expérience utilisateurs réussie. En gros une solution qui, pour de la navigation web, est capable d'offrir l'accès à un site whitelisté et d'implicitement autoriser dans la page les différents liens vers d'autres sites / catégories de sites, dans la mesure où ces urls ne tomberaient pas dans des catégories explicitement bloquées, comme du phishing, serveur C&C, P2P, radio, etc...
Bonjour,
Pi-Hole permet ça. Un joker sur la BL + la liste sur la WL. Par contre, comme ce n'est qu'au niveau résolution de nom, soit on verrouille sur chaque poste les résolveurs utilisés, soit un user un peu bidouilleur pourra facilement outre-passer. (Comme on le fait sur une connexion jaune très foncé…) C'est sûr que ça prendra un peu de temps de lister toutes les URL à mettre dans la WL et que cela ne tiendra pas sur le long. Y'aurait-il un outil qui pourrait parer au dynamisme d'Internet ? :-D
Ha ! Aussi, depuis la version majeure, Pi-Hole permet de faire des groupes de règles et c'est vraiment ce qui lui manquait… Maintenance = quasi zéro. 2 lignes de commandes et poaf, ça tombe en marche avec upgrade et màj, même sur un Rpi pour une 15aine de users (qu'en dire sur une VM cossue…).
Cerise sur le MacDo, on peut filtrer avec des RegEx.
Cdt,
Le 01/10/2020 à 18:39, mlrx via FRsAG a écrit :
[…]
Cdt,
Peut-être http://www.alcasar.net ?
Le 01/10/2020 à 17:55, Adrien Rivas a écrit :
Sauf que son besoin c'est d'avoir une liste blanche restreinte, mais une expérience utilisateurs réussie. En gros une solution qui, pour de la navigation web, est capable d'offrir l'accès à un site whitelisté et d'implicitement autoriser dans la page les différents liens vers d'autres sites / catégories de sites, dans la mesure où ces urls ne tomberaient pas dans des catégories explicitement bloquées, comme du phishing, serveur C&C, P2P, radio, etc...
Idée peut-être un peu stupide, mais pourquoi pas partir d'une liste de sites autorisés, et lancer un client qui va effectivement se connecter et produire une liste de toutes les dépendances pour les autoriser ?
Évidemment, ça suppose de pouvoir le faire notamment pour les sites qui nécessitent de l'authentification et autres blagues hors HTTP, mais bon, ça doit pouvoir se scénariser ;)
@+ Gilou
Le jeu. 1 oct. 2020 à 17:52, Rémy Dernat <remy.dernat@umontpellier.fr mailto:remy.dernat@umontpellier.fr> a écrit :
Bonsoir, Je ne sais pas pour squid, mais pour le PiHole, il y a des listes noires toutes faites, présélectionnées selon le DNS résolveur choisi. Il y a aussi des listes noires pour DNSfilter sur Android/frdoid. C'est de simples fichiers texte que tu peux concaténer à un fichiers host et redirigés ers 127.0.0.1. Si tu montes un DNS résolveur local, tu peux réutiliser ces listing (il doit aussi y en avoir pour unbound). Si l'idée est de faire une liste blanche, ça devrait aller plus vite. Cordialement Le 1 octobre 2020 17:35:59 GMT+02:00, PAILLE Jeremie <Jeremie.PAILLE@arhm.fr <mailto:Jeremie.PAILLE@arhm.fr>> a écrit : Ouais …. Je vois quand meme qu’il n’y a pas de solution miracle, il faut forcement passer par une usine à gaz en listant toutes les URL. .. ____ __ __ __ __ __ __ *From:*FRsAG <frsag-bounces@frsag.org <mailto:frsag-bounces@frsag.org>> *On Behalf Of *Pierre-Philipp Braun *Sent:* jeudi 1 octobre 2020 17:15 *To:* Adrien Rivas <tera.al@gmail.com <mailto:tera.al@gmail.com>> *Cc:* frsag@frsag.org <mailto:frsag@frsag.org> *Subject:* Re: [FRsAG] limiter les accès internet à une poignée de site internet.____ __ __ Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients ____ On 1 Oct 2020, at 14:52, Adrien Rivas <tera.al@gmail.com <mailto:tera.al@gmail.com>> wrote:____ Argument acceptable, ça me convient.____ __ __ Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com <http://microsoft.com> qui charge des applets via le domaine msft.com <http://msft.com> ou msftcdn.com <http://msftcdn.com> voire akamai.com <http://akamai.com>. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.____ __ __ Le jeu. 1 oct. 2020 à 14:48, Guillaume <guillaume@ophane.net <mailto:guillaume@ophane.net>> a écrit :____ On 01/10/2020 14:43, Adrien Rivas wrote: > Quelle différence entre Pi-Hole et une allowlist ? le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/____ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/____
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
On 01/10/2020 14:08, PAILLE Jeremie wrote:
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification.
Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d’autre domaines pour charger script / images …
J'ai mis en place ceci il y a quelques années avec squid et squid-guard cela fonctionne tres bien
@+W.
On Thu, 1 Oct 2020 12:08:22 +0000 PAILLE Jeremie Jeremie.PAILLE@arhm.fr wrote:
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification. Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d'autre domaines pour charger script / images ...
euh…
dans le fichiers hosts, (/etc/hosts ou l'autre host)
127.0.0.1 www.examples.com // NDD à remplacer par un de ceux que vous voulez interdire, et à copier à raison de une ligne par autant de NDD à interdire ?
?
Le tout dans un système en mode kiosque.
(Non ?)
Ah riche idée, comme ça, il n’a que 1.8 milliards de FQDN de sites web à mettre dans son /etc/hosts :)
Le 2 oct. 2020 à 01:21, contact@orditux.org a écrit :
euh…
dans le fichiers hosts, (/etc/hosts ou l'autre host)
127.0.0.1 www.examples.com // NDD à remplacer par un de ceux que vous voulez interdire, et à copier à raison de une ligne par autant de NDD à interdire ?
On Fri, 2 Oct 2020 01:25:34 +0200 David Ponzone david.ponzone@gmail.com wrote:
Ah riche idée, comme ça, il n’a que 1.8 milliards de FQDN de sites web à mettre dans son /etc/hosts :)
Aurais-je mal lu le mail initial ?
"> From: PAILLE Jeremie Jeremie.PAILLE@arhm.fr
To: "frsag@frsag.org" frsag@frsag.org Subject: [FRsAG] limiter les accès internet à une poignée de site internet. Date: Thu, 1 Oct 2020 12:08:22 +0000 Sender: "FRsAG" frsag-bounces@frsag.org
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, "
Une dizaine de sites internet, n'est-ce pas une dizaine de noms de domaines ?
Salut,
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
Le ven. 2 oct. 2020 à 03:37, contact@orditux.org a écrit :
On Fri, 2 Oct 2020 01:25:34 +0200 David Ponzone david.ponzone@gmail.com wrote:
Ah riche idée, comme ça, il n’a que 1.8 milliards de FQDN de sites web à
mettre dans
son /etc/hosts :)
Aurais-je mal lu le mail initial ?
"> From: PAILLE Jeremie Jeremie.PAILLE@arhm.fr
To: "frsag@frsag.org" frsag@frsag.org Subject: [FRsAG] limiter les accès internet à une poignée de site
internet.
Date: Thu, 1 Oct 2020 12:08:22 +0000 Sender: "FRsAG" frsag-bounces@frsag.org
Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC,
tablette) à une
10enne de sites internet, "
Une dizaine de sites internet, n'est-ce pas une dizaine de noms de domaines ?
-- Orditux Informatique 06 18 56 60 83 contact@orditux.org RCS Foix : 381 525 765 00024 Numéro de déclaration d'activité : 76090059009 Identifiant DataDock 0067430 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
Salut,
je ne vois pas de solution facile. Ce qui pourrait être fait: avoir une VM du système qui "crawle" régulièrement les sites webs, avec quelque chose comme selenium (navigateur instrumenté en python ou d'autres langages) et enregistre l'ensemble des IPs / domaines avec qui ça communique, pour ensuite autoriser au cas par cas au niveau du résolveur et du pare-feu.
Bien evidemment, c'est loin d'être une solution toute prête, mais j'imagine qu'en quelques jours de travail ça peut se faire de manière assez propre.
My 2 cents,
Rémy
On 02/10/2020 09:09, Sebastien Guilbaud wrote:
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
-- seb
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Remy,
J’en viens à la même conclusion que toi, il n’y a rien de simple et tout fait, il reste tout à faire …. Je test actuellement Pihole mais j’ai le sentiment que le travail est le même qu’en définissant les adresses sur un proxy…
C’est quand même mal foutu …
From: FRsAG frsag-bounces@frsag.org On Behalf Of Rémy Grünblatt Sent: vendredi 2 octobre 2020 09:13 To: Sebastien Guilbaud sguilbaud@gmail.com; frsag@frsag.org Subject: Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Salut,
je ne vois pas de solution facile. Ce qui pourrait être fait: avoir une VM du système qui "crawle" régulièrement les sites webs, avec quelque chose comme selenium (navigateur instrumenté en python ou d'autres langages) et enregistre l'ensemble des IPs / domaines avec qui ça communique, pour ensuite autoriser au cas par cas au niveau du résolveur et du pare-feu.
Bien evidemment, c'est loin d'être une solution toute prête, mais j'imagine qu'en quelques jours de travail ça peut se faire de manière assez propre.
My 2 cents,
Rémy On 02/10/2020 09:09, Sebastien Guilbaud wrote:
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
-- seb
_______________________________________________
Liste de diffusion du FRsAG
Re-Bonjour,
Je me rend compte que j'ai vu la chose seulement d'un point de vue "réseau", et pas d'un point de vue "utilisation".
C'est aussi possible d'installer un firefox en mode Kiosk ( https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode ) et de le limiter à quelques domaines (c'est beaucoup plus simple), avec par exemple https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/
Ici, c'est ce que j'ai fais avec un firefox lancé dans son serveur X qui redémarre automatiquement si on appuit sur escape.
Rémy
On 02/10/2020 09:21, PAILLE Jeremie wrote:
Bonjour Remy,
J’en viens à la même conclusion que toi, il n’y a rien de simple et tout fait, il reste tout à faire ….
Je test actuellement Pihole mais j’ai le sentiment que le travail est le même qu’en définissant les adresses sur un proxy…
C’est quand même mal foutu …
*From:*FRsAG frsag-bounces@frsag.org *On Behalf Of *Rémy Grünblatt *Sent:* vendredi 2 octobre 2020 09:13 *To:* Sebastien Guilbaud sguilbaud@gmail.com; frsag@frsag.org *Subject:* Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Salut,
je ne vois pas de solution facile. Ce qui pourrait être fait: avoir une VM du système qui "crawle" régulièrement les sites webs, avec quelque chose comme selenium (navigateur instrumenté en python ou d'autres langages) et enregistre l'ensemble des IPs / domaines avec qui ça communique, pour ensuite autoriser au cas par cas au niveau du résolveur et du pare-feu.
Bien evidemment, c'est loin d'être une solution toute prête, mais j'imagine qu'en quelques jours de travail ça peut se faire de manière assez propre.
My 2 cents,
Rémy
On 02/10/2020 09:09, Sebastien Guilbaud wrote:
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines. oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin. -- seb _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
(c'est plus pour compléter mon message précédant que pour le remplacer, notons, la question de la découverte des domaines reste, mais si c'est des $gros_sites, ça devrait pas trop changer dans le temps, en tout cas il devrait être possible de trouver quelques regex assez rapidement)
(désolé pour le spam)
Je vois pas de gestion du Refer dans ce add-on, donc je pige pas comment tu autorises les 250 autres domaines appelés par lemonde.fr par exemple.
Le 2 oct. 2020 à 09:55, Rémy Grünblatt remy@grunblatt.org a écrit :
Re-Bonjour,
Je me rend compte que j'ai vu la chose seulement d'un point de vue "réseau", et pas d'un point de vue "utilisation".
C'est aussi possible d'installer un firefox en mode Kiosk ( https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode ) et de le limiter à quelques domaines (c'est beaucoup plus simple), avec par exemple https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/ https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/ Ici, c'est ce que j'ai fais avec un firefox lancé dans son serveur X qui redémarre automatiquement si on appuit sur escape.
Bah, déjà, y'a pas forcément intérêt à autoriser les 250 autres domaines appelés par lemonde.fr, puisque c'est majoritairement de la pub et du tracking inutile.
Ensuite, comme écrit dans le message d'après: « la question de la découverte des domaines reste, mais si c'est des $gros_sites, ça devrait pas trop changer dans le temps, en tout cas il devrait être possible de trouver quelques regex assez rapidement »
Si je prends lemonde.fr, puisque c'est ton exemple: un whitelist de lemonde.fr et de lmde.fr (et leurs sous-domaines) permet d'avoir un site web qui fonctionne très bien :)
Je me permet, pusique c'est vendredi: https://xkcd.com/1205/
Rémy
ps: c'est referrer / referer, pas refer, non ?
On 02/10/2020 10:07, David Ponzone wrote:
Je vois pas de gestion du Refer dans ce add-on, donc je pige pas comment tu autorises les 250 autres domaines appelés par lemonde.fr http://lemonde.fr par exemple.
Le 2 oct. 2020 à 09:55, Rémy Grünblatt <remy@grunblatt.org mailto:remy@grunblatt.org> a écrit :
Re-Bonjour,
Je me rend compte que j'ai vu la chose seulement d'un point de vue "réseau", et pas d'un point de vue "utilisation".
C'est aussi possible d'installer un firefox en mode Kiosk ( https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode%C2%A0) et de le limiter à quelques domaines (c'est beaucoup plus simple), avec par exemple https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/
Ici, c'est ce que j'ai fais avec un firefox lancé dans son serveur X qui redémarre automatiquement si on appuit sur escape.
Un truc qui peut aider et que j'utilise sur les browsers compatibles, c'est l'extension NoScript qui permet d'afficher tous les domaines appelés par une page web. Par exemple, si je vais sur le site lemonde.fr, je passe en fiable le domaine lemonde.fr puis je vois tous les autres domaines bloqués. Si la page à un problème d'affichage je vérifie si je ne dois pas passer un autre domaine en fiable (attention d'ailleurs car en activant un autre domaine cela déclenche souvent des requêtes vers d'autres domaines également).
Bref, ce n'est pas forcément l'outil miracle mais cela permet de tester des domaines et faire le tri sur ce qu'il faut laisser passer ou non pour un fonctionnement de base tout en bloquant le reste.
Le ven. 2 oct. 2020 à 11:16, Rémy Grünblatt remy@grunblatt.org a écrit :
Bah, déjà, y'a pas forcément intérêt à autoriser les 250 autres domaines appelés par lemonde.fr, puisque c'est majoritairement de la pub et du tracking inutile.
Ensuite, comme écrit dans le message d'après: « la question de la découverte des domaines reste, mais si c'est des $gros_sites, ça devrait pas trop changer dans le temps, en tout cas il devrait être possible de trouver quelques regex assez rapidement »
Si je prends lemonde.fr, puisque c'est ton exemple: un whitelist de lemonde.fr et de lmde.fr (et leurs sous-domaines) permet d'avoir un site web qui fonctionne très bien :)
Je me permet, pusique c'est vendredi: https://xkcd.com/1205/
Rémy
ps: c'est referrer / referer, pas refer, non ? On 02/10/2020 10:07, David Ponzone wrote:
Je vois pas de gestion du Refer dans ce add-on, donc je pige pas comment tu autorises les 250 autres domaines appelés par lemonde.fr par exemple.
Le 2 oct. 2020 à 09:55, Rémy Grünblatt remy@grunblatt.org a écrit :
Re-Bonjour,
Je me rend compte que j'ai vu la chose seulement d'un point de vue "réseau", et pas d'un point de vue "utilisation".
C'est aussi possible d'installer un firefox en mode Kiosk ( https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode ) et de le limiter à quelques domaines (c'est beaucoup plus simple), avec par exemple https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/
Ici, c'est ce que j'ai fais avec un firefox lancé dans son serveur X qui redémarre automatiquement si on appuit sur escape.
Liste de diffusion du FRsAG http://www.frsag.org/
Oui, et je le redis (je dois trop dire de conneries, plus personne me lit), la solution c’est le Referer :) D’ailleurs McAfee sait le faire:
https://community.mcafee.com/t5/Web-Gateway/Whitelist-and-external-reference...
Ca sera probablement pas parfait. Si McAfee sait le faire, je pense que Squid aussi, quand même.
Le 2 oct. 2020 à 09:09, Sebastien Guilbaud sguilbaud@gmail.com a écrit :
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
-- seb _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 2/10/20 à 09:16, David Ponzone a écrit :
Oui, et je le redis (je dois trop dire de conneries, plus personne me lit), la solution c’est le Referer :) D’ailleurs McAfee sait le faire:
https://community.mcafee.com/t5/Web-Gateway/Whitelist-and-external-reference... https://community.mcafee.com/t5/Web-Gateway/Whitelist-and-external-references/td-p/306974
Ca sera probablement pas parfait. Si McAfee sait le faire, je pense que Squid aussi, quand même.
Oui, acl aclname referer_regex
http://www.squid-cache.org/Doc/config/acl/
Par contre, je ne sais pas à quel point ça se contourne facilement pour avoir accès à plus de sites que permis. Et si le navigateur envoit bien le referer pour toutes les requêtes, notament, il faut peut-être forcer la valeur du Referer policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Xavier.
-
Adrien Rivas -
Anthony Deshayes -
contact@orditux.org -
David Ponzone -
Garfieldairlines on lists -
Gilou -
Guillaume -
Kevin -
mlrx -
Nicolas GIRARDI -
PAILLE Jeremie -
Pierre-Philipp Braun -
Rémy Dernat -
Rémy Grünblatt -
Sebastien Guilbaud -
William Bonnet -
Xavier Claude