bonjour,
je souhaite limiter le surf a certain site uniquement sur une machine
sous os 10.3.9.
par exemple pouvoir surfer sur toute les pages appartenent à
http://www.bon_domaine.com commme :
http://www.bon_domaine.com/pages_1
http://www.bon_domaine.com/pages_2 ...
mais surfe impossible sur
http://www.pas_bon_domaine.com/pages_1
une idée pour faire ça si possible sans faire trop usine à gaz.
merci pour les pistes.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
patpro ~ Patrick Proniewski
In article <1hf2ukw.1pmow4y1ln4b1sN%, (Barbabule) wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec leurs avantages et leurs inconvénients.
patpro
In article <1hf2ukw.1pmow4y1ln4b1sN%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
bonjour,
je souhaite limiter le surf a certain site uniquement sur une machine
sous os 10.3.9.
par exemple pouvoir surfer sur toute les pages appartenent à
http://www.bon_domaine.com commme :
http://www.bon_domaine.com/pages_1
http://www.bon_domaine.com/pages_2 ...
mais surfe impossible sur
http://www.pas_bon_domaine.com/pages_1
une idée pour faire ça si possible sans faire trop usine à gaz.
merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec
leurs avantages et leurs inconvénients.
In article <1hf2ukw.1pmow4y1ln4b1sN%, (Barbabule) wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec leurs avantages et leurs inconvénients.
patpro
invalide
patpro ~ Patrick Proniewski wrote:
In article <1hf2ukw.1pmow4y1ln4b1sN%, (Barbabule) wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec leurs avantages et leurs inconvénients.
patpro
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien. peux tu me donner plus d'infos sur comment le paramettrer, ou un site qui explique un peu ça.
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
In article <1hf2ukw.1pmow4y1ln4b1sN%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
bonjour,
je souhaite limiter le surf a certain site uniquement sur une machine
sous os 10.3.9.
par exemple pouvoir surfer sur toute les pages appartenent à
http://www.bon_domaine.com commme :
http://www.bon_domaine.com/pages_1
http://www.bon_domaine.com/pages_2 ...
mais surfe impossible sur
http://www.pas_bon_domaine.com/pages_1
une idée pour faire ça si possible sans faire trop usine à gaz.
merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec
leurs avantages et leurs inconvénients.
patpro
merci pour les infos, je ne souhaite pas (si possible) installer de soft
de type firewall / proxy, par contre pouvoir utiliser le fichier hosts
me plait bien.
peux tu me donner plus d'infos sur comment le paramettrer, ou un site
qui explique un peu ça.
In article <1hf2ukw.1pmow4y1ln4b1sN%, (Barbabule) wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
firewall, (faux) proxy web, /etc/hosts, ... autant de solutions avec leurs avantages et leurs inconvénients.
patpro
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien. peux tu me donner plus d'infos sur comment le paramettrer, ou un site qui explique un peu ça.
ADDRESS
Barbabule wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
Préférences système > Comptes > Contôles parentales
...je crois. -- ric
ric at pixelligence dot com
Barbabule <invalide@free.fr> wrote:
bonjour,
je souhaite limiter le surf a certain site uniquement sur une machine
sous os 10.3.9.
par exemple pouvoir surfer sur toute les pages appartenent à
http://www.bon_domaine.com commme :
http://www.bon_domaine.com/pages_1
http://www.bon_domaine.com/pages_2 ...
mais surfe impossible sur
http://www.pas_bon_domaine.com/pages_1
une idée pour faire ça si possible sans faire trop usine à gaz.
merci pour les pistes.
Préférences système > Comptes > Contôles parentales
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
Préférences système > Comptes > Contôles parentales
...je crois. -- ric
ric at pixelligence dot com
invalide
ric zito wrote:
Barbabule wrote:
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
Préférences système > Comptes > Contôles parentales
...je crois.
slt, et merci pour la réponse, mais je suis en 10.3.9 pas en 10.4.x et l'option controle parentale ne s'applique pas. Je ne peux pas faire de passage en 10.4 car le poste de travail est 'validé' pour un process de production.
ric zito <ADDRESS@IN.SIG> wrote:
Barbabule <invalide@free.fr> wrote:
bonjour,
je souhaite limiter le surf a certain site uniquement sur une machine
sous os 10.3.9.
par exemple pouvoir surfer sur toute les pages appartenent à
http://www.bon_domaine.com commme :
http://www.bon_domaine.com/pages_1
http://www.bon_domaine.com/pages_2 ...
mais surfe impossible sur
http://www.pas_bon_domaine.com/pages_1
une idée pour faire ça si possible sans faire trop usine à gaz.
merci pour les pistes.
Préférences système > Comptes > Contôles parentales
...je crois.
slt,
et merci pour la réponse, mais je suis en 10.3.9 pas en 10.4.x et
l'option controle parentale ne s'applique pas. Je ne peux pas faire de
passage en 10.4 car le poste de travail est 'validé' pour un process de
production.
bonjour, je souhaite limiter le surf a certain site uniquement sur une machine sous os 10.3.9. par exemple pouvoir surfer sur toute les pages appartenent à http://www.bon_domaine.com commme : http://www.bon_domaine.com/pages_1 http://www.bon_domaine.com/pages_2 ... mais surfe impossible sur http://www.pas_bon_domaine.com/pages_1 une idée pour faire ça si possible sans faire trop usine à gaz. merci pour les pistes.
Préférences système > Comptes > Contôles parentales
...je crois.
slt, et merci pour la réponse, mais je suis en 10.3.9 pas en 10.4.x et l'option controle parentale ne s'applique pas. Je ne peux pas faire de passage en 10.4 car le poste de travail est 'validé' pour un process de production.
patpro ~ patrick proniewski
In article <1hf2xm3.a9oo05184xeyqN%, (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien.
tu n'as pas besoin d'un vrai proxy (même si il y en a vaguement un intégré), quant au firewall, il est intégré aussi, mais ce dernier n'offre pas forcément la solution la plus évidente.
Le fichier hosts (ou la base netinfo) quant à lui, est nettement plus simple à utiliser quand on veut bloquer une poignée de sites. Si tu veux bloquer tous les sites sauf une poignée, tu t'exposes à des effets de bords très gênants.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout ce qui touche au réseau.
En attendant, voilà une solution à base de faux proxy :
1) activer le partage web pour servir de faux proxy (pref systeme, partage) 2) activer l'utilisation du proxy pour le web : préférences réseau, configurer l'interface active, onglet proxy. cocher "web proxy" mettre "localhost" et "80" dans "web proxy server" 3) ajouter la liste des noms de site à autoriser dans le champ "bypass proxy setting..." 4) appliquer les réglages 5) lancer safari pour tester
avantage : tout en click inconvénient : ne fonctionne que pour Safari, il faut faire les réglages à la main pour les autres navigateurs (firefox, ...)
Si tu veux, je te montre comment faire un vrai proxy avec le partage web, mais ça complique inutilement les choses.
patpro
In article <1hf2xm3.a9oo05184xeyqN%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft
de type firewall / proxy, par contre pouvoir utiliser le fichier hosts
me plait bien.
tu n'as pas besoin d'un vrai proxy (même si il y en a vaguement un
intégré), quant au firewall, il est intégré aussi, mais ce dernier
n'offre pas forcément la solution la plus évidente.
Le fichier hosts (ou la base netinfo) quant à lui, est nettement plus
simple à utiliser quand on veut bloquer une poignée de sites. Si tu veux
bloquer tous les sites sauf une poignée, tu t'exposes à des effets de
bords très gênants.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises
pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si
ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout
ce qui touche au réseau.
En attendant, voilà une solution à base de faux proxy :
1) activer le partage web pour servir de faux proxy (pref systeme,
partage)
2) activer l'utilisation du proxy pour le web : préférences réseau,
configurer l'interface active, onglet proxy.
cocher "web proxy"
mettre "localhost" et "80" dans "web proxy server"
3) ajouter la liste des noms de site à autoriser dans le champ "bypass
proxy setting..."
4) appliquer les réglages
5) lancer safari pour tester
avantage : tout en click
inconvénient : ne fonctionne que pour Safari, il faut faire les réglages
à la main pour les autres navigateurs (firefox, ...)
Si tu veux, je te montre comment faire un vrai proxy avec le partage
web, mais ça complique inutilement les choses.
In article <1hf2xm3.a9oo05184xeyqN%, (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien.
tu n'as pas besoin d'un vrai proxy (même si il y en a vaguement un intégré), quant au firewall, il est intégré aussi, mais ce dernier n'offre pas forcément la solution la plus évidente.
Le fichier hosts (ou la base netinfo) quant à lui, est nettement plus simple à utiliser quand on veut bloquer une poignée de sites. Si tu veux bloquer tous les sites sauf une poignée, tu t'exposes à des effets de bords très gênants.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout ce qui touche au réseau.
En attendant, voilà une solution à base de faux proxy :
1) activer le partage web pour servir de faux proxy (pref systeme, partage) 2) activer l'utilisation du proxy pour le web : préférences réseau, configurer l'interface active, onglet proxy. cocher "web proxy" mettre "localhost" et "80" dans "web proxy server" 3) ajouter la liste des noms de site à autoriser dans le champ "bypass proxy setting..." 4) appliquer les réglages 5) lancer safari pour tester
avantage : tout en click inconvénient : ne fonctionne que pour Safari, il faut faire les réglages à la main pour les autres navigateurs (firefox, ...)
Si tu veux, je te montre comment faire un vrai proxy avec le partage web, mais ça complique inutilement les choses.
patpro
invalide
patpro ~ patrick proniewski wrote:
In article <1hf2xm3.a9oo05184xeyqN%, (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout ce qui touche au réseau.
Rebonjour, vraiment merci de prendre un peu de ton tps pour m'aider.
Je vais te donner tous les details. Tout d'abord comme je l'ai expliqué dans un autre message le poste en question est 'validé' pour un process (suivi production et commande d'automatisme) donc je ne peux pas vraiment installer de nouveau soft dessus. Il se trouve que des opérateurs utilisent ce post pour surfer sur le web (malgrès la présence d'un autre poste bureautique connecter au web : ils sont 4 et comme ça il peuvent surfer à deux... malgrès plusieurs remarques de ma part et le plantage en pleine nuit de la production suite au telechargement et l'installation d'un soft). Comme je n'aime pas me lever la nuit pour aller remettre tout le bazard en route sur le poste process (en faite je l'ai changé par son clone et j'ai fais le depannage de la machine le lendemain :) je souhaite interdire le surf sur cette marchine.
Mon probleme et que ce poste doit etre connecter au web pour deux raisons : - ce poste commande un automatisme et le suivi de production via une interface web qui seconnecter sur des machines locale type PC100 et systeme avec serveur web embarqué(IP: 192.168.2.153...161 Port 8081) - des informations sont recupérer par cette même interface en provenance de deux sites distants joignable par : http://serveur_data_1.domaine.org:8080 et http://serveur_data_2.domaine.org:8080
La synchro horaire de cette machine et realiser sur notre serveur NTP local (IP: 192.168.2.200).
Une sauvegarde automatique de certains repertoires est realiser via un script qui réalise le transfers via ftp vers : - un serveur NAS local (IP: 192.168.2.250) - un serveur NAS distant (ftp://serveur_NAS.domaine.org)
J'aimerai donc interdire tout sauf ce dont le poste a besoin pour fonctionner.
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
In article <1hf2xm3.a9oo05184xeyqN%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft
de type firewall / proxy, par contre pouvoir utiliser le fichier hosts
me plait bien.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises
pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si
ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout
ce qui touche au réseau.
Rebonjour,
vraiment merci de prendre un peu de ton tps pour m'aider.
Je vais te donner tous les details.
Tout d'abord comme je l'ai expliqué dans un autre message le poste en
question est 'validé' pour un process (suivi production et commande
d'automatisme) donc je ne peux pas vraiment installer de nouveau soft
dessus. Il se trouve que des opérateurs utilisent ce post pour surfer
sur le web (malgrès la présence d'un autre poste bureautique connecter
au web : ils sont 4 et comme ça il peuvent surfer à deux... malgrès
plusieurs remarques de ma part et le plantage en pleine nuit de la
production suite au telechargement et l'installation d'un soft).
Comme je n'aime pas me lever la nuit pour aller remettre tout le bazard
en route sur le poste process (en faite je l'ai changé par son clone et
j'ai fais le depannage de la machine le lendemain :) je souhaite
interdire le surf sur cette marchine.
Mon probleme et que ce poste doit etre connecter au web pour deux
raisons :
- ce poste commande un automatisme et le suivi de production via une
interface web qui seconnecter sur des machines locale type PC100 et
systeme avec serveur web embarqué(IP: 192.168.2.153...161 Port 8081)
- des informations sont recupérer par cette même interface en provenance
de deux sites distants joignable par :
http://serveur_data_1.domaine.org:8080
et
http://serveur_data_2.domaine.org:8080
La synchro horaire de cette machine et realiser sur notre serveur NTP
local (IP: 192.168.2.200).
Une sauvegarde automatique de certains repertoires est realiser via un
script qui réalise le transfers via ftp vers :
- un serveur NAS local (IP: 192.168.2.250)
- un serveur NAS distant (ftp://serveur_NAS.domaine.org)
J'aimerai donc interdire tout sauf ce dont le poste a besoin pour
fonctionner.
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution
bien propre pour cette machine je suis preneur.
In article <1hf2xm3.a9oo05184xeyqN%, (Barbabule) wrote:
merci pour les infos, je ne souhaite pas (si possible) installer de soft de type firewall / proxy, par contre pouvoir utiliser le fichier hosts me plait bien.
Pour savoir ce qui te convient le mieux, il faudrait que tu nous dises pourquoi tu veux bloquer tous les sites sauf quelques uns, et aussi si ça doit bloquer aussi le mail, la synchro d'horloge, le ftp, bref tout ce qui touche au réseau.
Rebonjour, vraiment merci de prendre un peu de ton tps pour m'aider.
Je vais te donner tous les details. Tout d'abord comme je l'ai expliqué dans un autre message le poste en question est 'validé' pour un process (suivi production et commande d'automatisme) donc je ne peux pas vraiment installer de nouveau soft dessus. Il se trouve que des opérateurs utilisent ce post pour surfer sur le web (malgrès la présence d'un autre poste bureautique connecter au web : ils sont 4 et comme ça il peuvent surfer à deux... malgrès plusieurs remarques de ma part et le plantage en pleine nuit de la production suite au telechargement et l'installation d'un soft). Comme je n'aime pas me lever la nuit pour aller remettre tout le bazard en route sur le poste process (en faite je l'ai changé par son clone et j'ai fais le depannage de la machine le lendemain :) je souhaite interdire le surf sur cette marchine.
Mon probleme et que ce poste doit etre connecter au web pour deux raisons : - ce poste commande un automatisme et le suivi de production via une interface web qui seconnecter sur des machines locale type PC100 et systeme avec serveur web embarqué(IP: 192.168.2.153...161 Port 8081) - des informations sont recupérer par cette même interface en provenance de deux sites distants joignable par : http://serveur_data_1.domaine.org:8080 et http://serveur_data_2.domaine.org:8080
La synchro horaire de cette machine et realiser sur notre serveur NTP local (IP: 192.168.2.200).
Une sauvegarde automatique de certains repertoires est realiser via un script qui réalise le transfers via ftp vers : - un serveur NAS local (IP: 192.168.2.250) - un serveur NAS distant (ftp://serveur_NAS.domaine.org)
J'aimerai donc interdire tout sauf ce dont le poste a besoin pour fonctionner.
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
patpro ~ patrick proniewski
In article <1hf3737.1v16mnh1i259f6N%, (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant pas changer à ton insu), alors tu es tranquil : fonce sur le firewall intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit lancé au démarrage proprement), car l'interface de MacOS X n'est pas assez complète pour tes besoins je pense. Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo* # j'autorise toutes les connexions déjà établies allow tcp from any to any established # j'autorise à sortir vers les serveurs de data sur le port 8080 allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out # j'autorise la sortie vers les adresses 192.168.2.* port 8081 allow tcp from any to 192.168.2.1/24 dst-port 8081 out # j'autorise la sortie vers les serveurs NAS allow tcp from any to 192.168.2.250 out allow tcp from any to serveur_NAS.domaine.org out # serveur ntpd sur le port ntpd allow tcp from any to 192.168.2.200 out dst-port 132 allow udp from any to 192.168.2.200 out dst-port 132 # j'interdis tout le reste en TCP deny log tcp from any to any # j'autorise les requetes DNS allow udp from any to any dst-port 53 # j'interdis tout le reste en UDP deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
patpro
In article <1hf3737.1v16mnh1i259f6N%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution
bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en
permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant
pas changer à ton insu), alors tu es tranquil : fonce sur le firewall
intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit
lancé au démarrage proprement), car l'interface de MacOS X n'est pas
assez complète pour tes besoins je pense.
Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo*
# j'autorise toutes les connexions déjà établies
allow tcp from any to any established
# j'autorise à sortir vers les serveurs de data sur le port 8080
allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out
allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out
# j'autorise la sortie vers les adresses 192.168.2.* port 8081
allow tcp from any to 192.168.2.1/24 dst-port 8081 out
# j'autorise la sortie vers les serveurs NAS
allow tcp from any to 192.168.2.250 out
allow tcp from any to serveur_NAS.domaine.org out
# serveur ntpd sur le port ntpd
allow tcp from any to 192.168.2.200 out dst-port 132
allow udp from any to 192.168.2.200 out dst-port 132
# j'interdis tout le reste en TCP
deny log tcp from any to any
# j'autorise les requetes DNS
allow udp from any to any dst-port 53
# j'interdis tout le reste en UDP
deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
In article <1hf3737.1v16mnh1i259f6N%, (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant pas changer à ton insu), alors tu es tranquil : fonce sur le firewall intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit lancé au démarrage proprement), car l'interface de MacOS X n'est pas assez complète pour tes besoins je pense. Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo* # j'autorise toutes les connexions déjà établies allow tcp from any to any established # j'autorise à sortir vers les serveurs de data sur le port 8080 allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out # j'autorise la sortie vers les adresses 192.168.2.* port 8081 allow tcp from any to 192.168.2.1/24 dst-port 8081 out # j'autorise la sortie vers les serveurs NAS allow tcp from any to 192.168.2.250 out allow tcp from any to serveur_NAS.domaine.org out # serveur ntpd sur le port ntpd allow tcp from any to 192.168.2.200 out dst-port 132 allow udp from any to 192.168.2.200 out dst-port 132 # j'interdis tout le reste en TCP deny log tcp from any to any # j'autorise les requetes DNS allow udp from any to any dst-port 53 # j'interdis tout le reste en UDP deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
patpro
invalide
patpro ~ patrick proniewski wrote:
In article <1hf3737.1v16mnh1i259f6N%, (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant pas changer à ton insu), alors tu es tranquil : fonce sur le firewall intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit lancé au démarrage proprement), car l'interface de MacOS X n'est pas assez complète pour tes besoins je pense. Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo* # j'autorise toutes les connexions déjà établies allow tcp from any to any established # j'autorise à sortir vers les serveurs de data sur le port 8080 allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out # j'autorise la sortie vers les adresses 192.168.2.* port 8081 allow tcp from any to 192.168.2.1/24 dst-port 8081 out # j'autorise la sortie vers les serveurs NAS allow tcp from any to 192.168.2.250 out allow tcp from any to serveur_NAS.domaine.org out # serveur ntpd sur le port ntpd allow tcp from any to 192.168.2.200 out dst-port 132 allow udp from any to 192.168.2.200 out dst-port 132 # j'interdis tout le reste en TCP deny log tcp from any to any # j'autorise les requetes DNS allow udp from any to any dst-port 53 # j'interdis tout le reste en UDP deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
patpro
Encore merci, je vais tester ça.
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
In article <1hf3737.1v16mnh1i259f6N%invalide@free.fr>,
invalide@free.fr (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution
bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en
permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant
pas changer à ton insu), alors tu es tranquil : fonce sur le firewall
intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit
lancé au démarrage proprement), car l'interface de MacOS X n'est pas
assez complète pour tes besoins je pense.
Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo*
# j'autorise toutes les connexions déjà établies
allow tcp from any to any established
# j'autorise à sortir vers les serveurs de data sur le port 8080
allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out
allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out
# j'autorise la sortie vers les adresses 192.168.2.* port 8081
allow tcp from any to 192.168.2.1/24 dst-port 8081 out
# j'autorise la sortie vers les serveurs NAS
allow tcp from any to 192.168.2.250 out
allow tcp from any to serveur_NAS.domaine.org out
# serveur ntpd sur le port ntpd
allow tcp from any to 192.168.2.200 out dst-port 132
allow udp from any to 192.168.2.200 out dst-port 132
# j'interdis tout le reste en TCP
deny log tcp from any to any
# j'autorise les requetes DNS
allow udp from any to any dst-port 53
# j'interdis tout le reste en UDP
deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
In article <1hf3737.1v16mnh1i259f6N%, (Barbabule) wrote:
Je vais tenter ta solution, de 'faux proxy', mais si tu as une solution bien propre pour cette machine je suis preneur.
ha ben voila, si tout ce que tu dois autoriser est connu de toi en permanence (IP ne dépendant pas d'un prestataire externe, et ne pouvant pas changer à ton insu), alors tu es tranquil : fonce sur le firewall intégré.
Le mieux c'est de te trouver un script de firewall (pour que ce soit lancé au démarrage proprement), car l'interface de MacOS X n'est pas assez complète pour tes besoins je pense. Dans ce script de démarrage il faudrait mettre des règles du genre :
allow ip from any to any via lo* # j'autorise toutes les connexions déjà établies allow tcp from any to any established # j'autorise à sortir vers les serveurs de data sur le port 8080 allow tcp from any to serveur_data_1.domaine.org dst-port 8080 out allow tcp from any to serveur_data_2.domaine.org dst-port 8080 out # j'autorise la sortie vers les adresses 192.168.2.* port 8081 allow tcp from any to 192.168.2.1/24 dst-port 8081 out # j'autorise la sortie vers les serveurs NAS allow tcp from any to 192.168.2.250 out allow tcp from any to serveur_NAS.domaine.org out # serveur ntpd sur le port ntpd allow tcp from any to 192.168.2.200 out dst-port 132 allow udp from any to 192.168.2.200 out dst-port 132 # j'interdis tout le reste en TCP deny log tcp from any to any # j'autorise les requetes DNS allow udp from any to any dst-port 53 # j'interdis tout le reste en UDP deny log udp from any to any in
je dis bien, des règles "du genre" de celles ci, je n'ai pas testé.
