imaginons un LAN WiFi de X clients.
au centre, un AP fait-maison relié à internet.
But :
_ tout les users ont le droit de se parler entre eux
_ certains users (seulement)ont le droit d'accéder à internet par ce bias
(peut importe de quel client il se connecte)
Any Idea ?
(au cas où, c'est le 2eme point que je bloque ;-) )
forcément c'est pas un filtrage IP, d'une part car on peut imaginer un DHCPd
dynamique, mais aussi parce que d'un point de vue sécu c'est pas top.
Donc ...?
proxy http avec authentification ? et s'il y en a un qui fait autre chose
que de l'http ?
Merci d'éclairer mon inculture (non pas pour la montrer du doigt mais pour
qu'elle fleurisse :-) )
Bonjour, imaginons un LAN WiFi de X clients. au centre, un AP fait-maison relié à internet. But : _ tout les users ont le droit de se parler entre eux _ certains users (seulement)ont le droit d'accéder à internet par ce bias (peut importe de quel client il se connecte) [...]
forcément c'est pas un filtrage IP, d'une part car on peut imaginer un DHCPd dynamique, mais aussi parce que d'un point de vue sécu c'est pas top. Donc ...? proxy http avec authentification ? et s'il y en a un qui fait autre chose que de l'http ? un proxy genre squid(-ssl), si il veut se connecter à autre chose que du
web/ftp si son programme client sait utiliser un proxy c'est parfait. Faut voir ce qu'on entend par "autre chose". Mon squid me permet d'ecouter des webradios, d'utiliser msn, et j'en passe. Autre avantage, ça reduit joliment mon volume mensuel transféré, et il y a moyen de lui greffer un zappeur de pub...
On peut aussi imaginer un truc genre openvpn qui lui permet de contourner le firewall. Si il a son propre compte sur la machine ou une sort de "profil itinérant", voire une clé usb, c'est pas trop compliqué. Openvpn a un mode interactif aussi, moins sécurisé, mais tout dépend de l'environnement. Le vpn reste la solution la plus versatile, avec un jeu de règles approriés sur le tunnel c'est difficile de faire mieux. Les utilisateurs autorisés promener leurs certificats sur une clé usb.
Une autre idée si "autre chose" est se connecter à une appli qui utilise des ports bien connus on peut envisager un tunnel ssh avec le port forwarding qui va bien.
Juste quelques p'tites idées,
-- MaXX
Bonjour,
Stéphane T. wrote:
Bonjour,
imaginons un LAN WiFi de X clients.
au centre, un AP fait-maison relié à internet.
But :
_ tout les users ont le droit de se parler entre eux
_ certains users (seulement)ont le droit d'accéder à internet par ce bias
(peut importe de quel client il se connecte)
[...]
forcément c'est pas un filtrage IP, d'une part car on peut imaginer un
DHCPd dynamique, mais aussi parce que d'un point de vue sécu c'est pas
top.
Donc ...?
proxy http avec authentification ? et s'il y en a un qui fait autre chose
que de l'http ?
un proxy genre squid(-ssl), si il veut se connecter à autre chose que du
web/ftp si son programme client sait utiliser un proxy c'est parfait. Faut
voir ce qu'on entend par "autre chose". Mon squid me permet d'ecouter des
webradios, d'utiliser msn, et j'en passe. Autre avantage, ça reduit
joliment mon volume mensuel transféré, et il y a moyen de lui greffer un
zappeur de pub...
On peut aussi imaginer un truc genre openvpn qui lui permet de contourner le
firewall. Si il a son propre compte sur la machine ou une sort de "profil
itinérant", voire une clé usb, c'est pas trop compliqué. Openvpn a un mode
interactif aussi, moins sécurisé, mais tout dépend de l'environnement.
Le vpn reste la solution la plus versatile, avec un jeu de règles approriés
sur le tunnel c'est difficile de faire mieux. Les utilisateurs autorisés
promener leurs certificats sur une clé usb.
Une autre idée si "autre chose" est se connecter à une appli qui utilise des
ports bien connus on peut envisager un tunnel ssh avec le port forwarding
qui va bien.
Bonjour, imaginons un LAN WiFi de X clients. au centre, un AP fait-maison relié à internet. But : _ tout les users ont le droit de se parler entre eux _ certains users (seulement)ont le droit d'accéder à internet par ce bias (peut importe de quel client il se connecte) [...]
forcément c'est pas un filtrage IP, d'une part car on peut imaginer un DHCPd dynamique, mais aussi parce que d'un point de vue sécu c'est pas top. Donc ...? proxy http avec authentification ? et s'il y en a un qui fait autre chose que de l'http ? un proxy genre squid(-ssl), si il veut se connecter à autre chose que du
web/ftp si son programme client sait utiliser un proxy c'est parfait. Faut voir ce qu'on entend par "autre chose". Mon squid me permet d'ecouter des webradios, d'utiliser msn, et j'en passe. Autre avantage, ça reduit joliment mon volume mensuel transféré, et il y a moyen de lui greffer un zappeur de pub...
On peut aussi imaginer un truc genre openvpn qui lui permet de contourner le firewall. Si il a son propre compte sur la machine ou une sort de "profil itinérant", voire une clé usb, c'est pas trop compliqué. Openvpn a un mode interactif aussi, moins sécurisé, mais tout dépend de l'environnement. Le vpn reste la solution la plus versatile, avec un jeu de règles approriés sur le tunnel c'est difficile de faire mieux. Les utilisateurs autorisés promener leurs certificats sur une clé usb.
Une autre idée si "autre chose" est se connecter à une appli qui utilise des ports bien connus on peut envisager un tunnel ssh avec le port forwarding qui va bien.
Juste quelques p'tites idées,
-- MaXX
Stéphane T.
Et peut-on imaginer des règle pf dynamique liées à squid ?
L'utilisateur n'a d'office aucun accès vers l'extérieur. Il demande un site quelquonque et là le proxy http lui demande une authentification.(jusque là rien d'exceptionnel). Une fois auhtentifié, il y aurait un module qui dit "'l'user TOTO s'est authentifié, il a actuellement l'IP aa.bb.cc.dd" et hop l'IP en question a tout les droit vers l'extérieur.
Est-ce qu'on tel module existe?
Je ne connais pas WiFi (jamais eu l'occasion de mettre en place), n'y at il pas dans la fenetrede paramètre (là où on met leSSID, canal, ..) un endroit supplémentaire oùil est demandé unnom d'utilisateur (et mot de passe) facultatif? Parce que j'ai souvent entendu parler de radius (là aussi jeconanispas)liéà des solutions WiFi... n'y a t il pas une piste de ce coté?
ce qui m'interesse c'est du "tout ou rien", passelon des ports "classiques". Soit l'user ne peut pas DU TOUT aller sur l'extérieur, soit il peut TOUT faire vers l'exterieur.
Continuez dans vos idées, çam'interesse :-)
Stéphane
Et peut-on imaginer des règle pf dynamique liées à squid ?
L'utilisateur n'a d'office aucun accès vers l'extérieur.
Il demande un site quelquonque et là le proxy http lui demande une
authentification.(jusque là rien d'exceptionnel).
Une fois auhtentifié, il y aurait un module qui dit "'l'user TOTO s'est
authentifié, il a actuellement l'IP aa.bb.cc.dd" et hop l'IP en question a
tout les droit vers l'extérieur.
Est-ce qu'on tel module existe?
Je ne connais pas WiFi (jamais eu l'occasion de mettre en place), n'y at il
pas dans la fenetrede paramètre (là où on met leSSID, canal, ..) un endroit
supplémentaire oùil est demandé unnom d'utilisateur (et mot de passe)
facultatif?
Parce que j'ai souvent entendu parler de radius (là aussi jeconanispas)liéà
des solutions WiFi... n'y a t il pas une piste de ce coté?
ce qui m'interesse c'est du "tout ou rien", passelon des ports "classiques".
Soit l'user ne peut pas DU TOUT aller sur l'extérieur, soit il peut TOUT
faire vers l'exterieur.
Et peut-on imaginer des règle pf dynamique liées à squid ?
L'utilisateur n'a d'office aucun accès vers l'extérieur. Il demande un site quelquonque et là le proxy http lui demande une authentification.(jusque là rien d'exceptionnel). Une fois auhtentifié, il y aurait un module qui dit "'l'user TOTO s'est authentifié, il a actuellement l'IP aa.bb.cc.dd" et hop l'IP en question a tout les droit vers l'extérieur.
Est-ce qu'on tel module existe?
Je ne connais pas WiFi (jamais eu l'occasion de mettre en place), n'y at il pas dans la fenetrede paramètre (là où on met leSSID, canal, ..) un endroit supplémentaire oùil est demandé unnom d'utilisateur (et mot de passe) facultatif? Parce que j'ai souvent entendu parler de radius (là aussi jeconanispas)liéà des solutions WiFi... n'y a t il pas une piste de ce coté?
ce qui m'interesse c'est du "tout ou rien", passelon des ports "classiques". Soit l'user ne peut pas DU TOUT aller sur l'extérieur, soit il peut TOUT faire vers l'exterieur.
Continuez dans vos idées, çam'interesse :-)
Stéphane
Eric Masson
"Stéphane T." writes:
Et peut-on imaginer des règle pf dynamique liées à squid ?
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Éric Masson
-- J'ai mplayer2 qui fait des siennes Quand je veux téléchargé une bande-annonce ou autre vidéo. mplayer2 se met en lecture. En conclusion mon micro ne télécharge pas et mon patron gueule comme un putoi. -+- MN in <http://www.le-gnu.net> - Vidéo et des bas -+-
"Stéphane T." <sdsdsds@sdsds.sd> writes:
Et peut-on imaginer des règle pf dynamique liées à squid ?
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Éric Masson
--
J'ai mplayer2 qui fait des siennes Quand je veux téléchargé une
bande-annonce ou autre vidéo. mplayer2 se met en lecture. En conclusion
mon micro ne télécharge pas et mon patron gueule comme un putoi.
-+- MN in <http://www.le-gnu.net> - Vidéo et des bas -+-
Et peut-on imaginer des règle pf dynamique liées à squid ?
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Éric Masson
-- J'ai mplayer2 qui fait des siennes Quand je veux téléchargé une bande-annonce ou autre vidéo. mplayer2 se met en lecture. En conclusion mon micro ne télécharge pas et mon patron gueule comme un putoi. -+- MN in <http://www.le-gnu.net> - Vidéo et des bas -+-
Stéphane T.
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Euh, autant éviter de réinventer la roue et utiliser authpf(8)
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Tu me dira, on peut coller putty pré-paramétré (oui je sais c'est mal) direct dans le menu de démarrage de windows
un avis?
Stéphane
Eric Masson
"Stéphane T." writes:
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Euh, authpf est un shell, donc tu peux l'utiliser avec n'importe quel outil permettant d'obtenir un shell sur la bécane.
Éric Masson
-- CC> Ah, et c'est aussi la faute de fral ??? Pauvre fille, cencuree par des nains, torturee par des singes, bientot abonnee a AOL. -+-ED In :<http://www.le-gnu.net>-Grandeur et décadence du neuneu -+-
"Stéphane T." <sdsdsds@sdsds.sd> writes:
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Euh, authpf est un shell, donc tu peux l'utiliser avec n'importe quel
outil permettant d'obtenir un shell sur la bécane.
Éric Masson
--
CC> Ah, et c'est aussi la faute de fral ???
Pauvre fille, cencuree par des nains, torturee par des singes, bientot
abonnee a AOL.
-+-ED In :<http://www.le-gnu.net>-Grandeur et décadence du neuneu -+-
Oui j'y pensai à lui, mais il faut s'authentifier via ssh, non?
Euh, authpf est un shell, donc tu peux l'utiliser avec n'importe quel outil permettant d'obtenir un shell sur la bécane.
Éric Masson
-- CC> Ah, et c'est aussi la faute de fral ??? Pauvre fille, cencuree par des nains, torturee par des singes, bientot abonnee a AOL. -+-ED In :<http://www.le-gnu.net>-Grandeur et décadence du neuneu -+-
mknux
Bonjour,
Tu peux utiliser un portail captif pour effectuer une authentification via une page web. Il existe pour ça monowall qui est une distribution basée sur FreeBSD. L'authentification peut être relayée sur un annuaire ldap ou serveur radius. http://m0n0.ch/wall/
Autrement authpf comme cité précédement par Eric peut trés bien faire son office en utilisant un applet JAVA ou authentification par clef publique.
En espérant que ça peut t'aider.
AleX
Bonjour,
Tu peux utiliser un portail captif pour effectuer une authentification
via une page web.
Il existe pour ça monowall qui est une distribution basée sur
FreeBSD.
L'authentification peut être relayée sur un annuaire ldap ou serveur
radius. http://m0n0.ch/wall/
Autrement authpf comme cité précédement par Eric peut trés bien
faire son office en utilisant un applet JAVA ou authentification par
clef publique.
Tu peux utiliser un portail captif pour effectuer une authentification via une page web. Il existe pour ça monowall qui est une distribution basée sur FreeBSD. L'authentification peut être relayée sur un annuaire ldap ou serveur radius. http://m0n0.ch/wall/
Autrement authpf comme cité précédement par Eric peut trés bien faire son office en utilisant un applet JAVA ou authentification par clef publique.
En espérant que ça peut t'aider.
AleX
Arnaud Launay
Le Thu, 13 Oct 2005 01:41:36 +0200, Stéphane T. écrivit:
_ certains users (seulement)ont le droit d'accéder à internet par ce bias (peut importe de quel client il se connecte)
NuFW ?
http://www.nufw.org/
Développé par Eric Leblond (INL, http://www.inl.fr/ ).
*********************************************************************** we think there is no way we can cleanly port NuFW to *BSD. We think the nuauth daemon should compile and run on *BSD with no special things to change, though (this has not been tested yet, that we know of).
We feel concerned about *BSD, and if we find that NuFW can be ported to those systems, we will work on it. ***********************************************************************
-- Laurent, newbie FreeBSD'iste ;-)
Arnaud Launay wrote:
Le Thu, 13 Oct 2005 01:41:36 +0200, Stéphane T. écrivit:
_ certains users (seulement)ont le droit d'accéder à internet
par ce bias (peut importe de quel client il se connecte)
NuFW ?
http://www.nufw.org/
Développé par Eric Leblond (INL, http://www.inl.fr/ ).
Arnaud.
Oui mais le portage *BSD n'est pas pour demain hélas :
***********************************************************************
we think there is no way we can cleanly port NuFW to *BSD. We think the
nuauth daemon should compile and run on *BSD with no special things to
change, though (this has not been tested yet, that we know of).
We feel concerned about *BSD, and if we find that NuFW can be ported to
those systems, we will work on it.
***********************************************************************
*********************************************************************** we think there is no way we can cleanly port NuFW to *BSD. We think the nuauth daemon should compile and run on *BSD with no special things to change, though (this has not been tested yet, that we know of).
We feel concerned about *BSD, and if we find that NuFW can be ported to those systems, we will work on it. ***********************************************************************
-- Laurent, newbie FreeBSD'iste ;-)
Arnaud Launay
Le Fri, 14 Oct 2005 22:22:38 +0200, Laurent écrivit:
Oui mais le portage *BSD n'est pas pour demain hélas : http://www.nufw.org/Frequently-Asked-Questions.html [snip]
Tu as quand même loupé un bout de la faq, parce que tel que tu l'as formulé là, on dirait vraiment qu'ils ne veulent faire aucun effort pour le faire, hors, ce n'est pas tout à fait le cas:
"From our looks at pf, there is currently no mechanism to deport a packet's decision into userland, through a socket (like netfilter's QUEUE target allows, together with libipq"
Le Fri, 14 Oct 2005 22:22:38 +0200, Laurent écrivit:
Oui mais le portage *BSD n'est pas pour demain hélas :
http://www.nufw.org/Frequently-Asked-Questions.html
[snip]
Tu as quand même loupé un bout de la faq, parce que tel que tu
l'as formulé là, on dirait vraiment qu'ils ne veulent faire aucun
effort pour le faire, hors, ce n'est pas tout à fait le cas:
"From our looks at pf, there is currently no mechanism to deport a
packet's decision into userland, through a socket (like
netfilter's QUEUE target allows, together with libipq"
Le Fri, 14 Oct 2005 22:22:38 +0200, Laurent écrivit:
Oui mais le portage *BSD n'est pas pour demain hélas : http://www.nufw.org/Frequently-Asked-Questions.html [snip]
Tu as quand même loupé un bout de la faq, parce que tel que tu l'as formulé là, on dirait vraiment qu'ils ne veulent faire aucun effort pour le faire, hors, ce n'est pas tout à fait le cas:
"From our looks at pf, there is currently no mechanism to deport a packet's decision into userland, through a socket (like netfilter's QUEUE target allows, together with libipq"
