Blacklist openwrt

[Kori]

Je vous la fait courte.

Je souhaite mettre en place une blacklist sur mon accès internet. J'ai un routeur sous openwrt, après de brèves recherches j'ai installé Tinyproxi (avec son app luci qui va bien).

Si quelqu'un a déjà tenté l'aventure, je serais intéressé car la doc est plus que sommaire. Et pour l'heure (en plus il est tard ce qui n'arrange rien) j'y pige que dalle !

Dès demain je vous mets des screens pour ceux qui n'ont pas openwrt et qui voudraient s'y coller.

[CaseyN]

J'avais tenté un filtrage DNS mais il foirait pour deux raisons : 1) j'ai plus de place sur mon routeur donc le script n'arrivait pas à recharger la liste des domaines. 2) DNSmasq ne prenait pas en compte les domaines de la blacklist, je ne sais pas si c'était une erreur de format du fichier ou s'il envoyait à son DNS secondaire.

Question proxy j'ai pas testé mais j'avais monté un squidguard sur Smoothwall donc je pourrai peut être retrouver des parallèles une fois que tu auras mis les screens.

[Kori]

Voilà j'ai ajouté les screens dans le post #1, je vais faire des recherches de mon côté. Le problème c'est que les docs ne se trouvent qu'en ligne de commande, et sans explication (genre "j'ai fais ça" mais pas de commentaire des lignes).

Edit :

Voici ce que j'ai commencé à faire :

- port en écoute, j'ai mis 80 qui correspond au http

- j'ai testé dans la première adresse en écoute l'ip de mon pc (actuellement vide)

- rien mis dans la deuxième ligne adresse en écoute, je ne comprends pas cette option.

- j'ai créé un fichier .txt avec un nom de site sous les formes http://www.nom_du_site.bidule, www.nom_du_site.bidule, nom_du_site.bidule, et nom_du_site. Chaque ref est sur une ligne différente.

- dans filtres et acls, j'ai testé en validant l'option via url.

- dans paramètres de confidentialité, je n'ai rien touché. Je ne pense pas que cela soit utile.

Le tout pour l'heure sans résultat...

[Kori]

Bon j'ai avancé dans mes recherches, et je suis sur une mauvaise piste. Tout simplement car le but de tinyproxy est d'utiliser... un proxy.

Bon c'est tout con quand on le sait, alors c'est une mauvaise car il suffit de débrayer le proxy du navigateur pour s'affranchir de la blacklist.

Il faut que je revois ma copie et je vais orienter mes recherches vers un truc plus firewall. Après je veux une liste perso (je sais j'ai oublié de faire simple), donc à voir.

[RFN]

Salut Kori

Dans les paramètres du router, tu ne peux pas déclarer les URL bloquées ?

Sinon, tu as les fichiers host des OS (avec un petit mécanismes de réplication entre machines...)

[Tom23]

J'avais pas vu ce topic moi

De ce que je sais squid est dispo sur certaines versions d'openwrt. Et lui sait faire ce que tu souhaites.

J'avais mis en place un truc encore plus restrictif il y a un moment en n'autorisant que les sites placés dans une whitelist et je l'avais documenté ici : http://homeserver-diy.net/wiki/index.php?title=Filtrage_par_liste_blanche_pour_une_adresse_IP_locale_donn%C3%A9e_avec_Squid

Pour une blacklist c'est pas plus compliqué.

A voir si tu peux configurer squid en proxy transparent. Il me semble que de cette façon toutes les connexions passeront par squid et les filtrera sans s'embêter avec la conf des clients.

[Kori]

@RFN : je ne vois nul part où déclarer un quelconque bloquage d'url. Et après de longue recherches aucune fonction de contrôle parental en vue sur openwrt.

"Sinon, tu as les fichiers host des OS (avec un petit mécanismes de réplication entre machines...)" si tu peux développer ce point je ne connais pas.

@Tom23 : A tout de même te voilà

Je savais que tu avais bossé sur le dossier, mais avec un serveur en filtre. Je vais me pencher sur ton article et voir si c'est adaptable sur mon routeur.

Et pas de squid en vue dans les paquets dispos sous openwrt. Après je confonds peut-être (j'ai lu la dose sur le sujet ces derniers jours) mais il me semble que c'est lui qui est trop gourmand en ressources pour un routeur. A vérifier tout de même...

Edit : bizarre squid figure bien sur le wiki d'openwrt mais pas dans les dépôts...

[RFN]

Le fichier host est un fichier qui joue le rôle de DNS local : à une URL, on associe une IP. Le point fort c'est que l'OS regarde en premier dans ce fichier avant d'interroger le DNS.

Un peu de lecture : http://fr.wikipedia.org/wiki/Hosts

Le défaut, c'est que ce fichier est détenu par chaque machine. Si tu veux uniformiser toutes tes machines, il va falloir synchroniser ce fichier avec un fichier maitre que tu administreras.

[Kori]

OK, merci de cet éclaircissement, mais je dois travailler à la base soit le routeur. Tout simplement car à la maison il y a pléthore de machines, y compris la tv qui est connectée. Et implanter un fichier dans une tv (même problème pour une xboite) ça va pas le faire

[CaseyN]

Tu peux jouer avec le fichier hosts de ton OpenWRT, tant que l'on l'utilise comme DNS ça devrait bloquer.

Si tu veux dans la semaine on voit ça sur TS ? (Ou cette aprem ^^)

[Kori]

Ouaip on se calle un rdv sur ts, ce week end je suis occupé, mais comme d'hab libre mardi et mercredi. Tu me dis pour toi et je me callerais, merci.

Un grand merci à tous les participants (je me sens moins seul^^), je vous tiens au jus sur notre future avancée

[RFN]

Ah ben j'aurais au moins appris qu'un peut mettre une fichier host sur l'openwrt. Cette solution devrait être parfaite.

[CaseyN]

Le fichiers hosts est l'un des très rares éléments que tu trouves sur tous les OS et remplissant la même fonction partout. Couple ça à un DNSmasq sur OpenWRT et te voilà avec un filtrage par DNS (tout aussi facile à éviter qu'un proxy coté client mais bon pour un LAN ça fait l'affaire)

[Kori]

Bah avec un proxy c'est tout simple à contourner même pour un enfant. Ça fonctionne pas sur FF, ok j'installe IE et hop ça marche. Sans même avoir besoin de comprendre le pourquoi du comment.

[CaseyN]

À voir l'intérêt/la puissance de coupler un filtrage DNS et un proxy… Les deux ayant des usages différents même si certains sont redondants.

[Kori]

On en reparlera de vive voix, penses à me donner tes dispos cette semaine (ou plus tard hein, je suis pas dans l'urgence c'est un projet qui me trotte dans la tête depuis déjà un bon moment). Pendant ce temps je vais me renseigner sur le concept du fichier host, et voir quel rôle ça joue.

[Kori]

Bon après petites recherche c'est pas bien compliqué le fonctionnement du fichier hosts. Comment j'ai pu passer à côté d'un truc aussi cool que ça...

Cependant après avoir trouvé le fichier sur le routeur. Il contient de base 127.0.0.1 localhost, ça normal.

J'y ajoute comme test l'ip de google avec en nom de domaine mon site osef-team.net

J'ai vidé mon cache navigateur et le cache dns de mon pc

Mais rien ne se passe j'accède toujours correctement à mon site. j'ai du zapper un truc quelque part, je cherche...

Edit : après quelques heures passées dessus, des vérifs dans tous les sens avec mon camarade Casey. Et bien c'est sa femme qui m'a mis sur la voie. Avec cette superbe phrase "si ça marche pas avec Windows faut formater". Bon je suis resté sobre et ai simplement rebooté mon pc. Et là ça maaaarche !

Windows arrive à stocker quelque part un historique des résolution dns. Je précise que j'avais vidé le cache navigateur, le dns navigateur et celui de Windows. Et même en supprimant complètement l'accès au dns il se loggait sur des sites déjà visités. Certains avec plus ou moins de réussite (parfois uniquement le contenu HTML).

Me reste une dernière problématique, si je veux blacklister une appli Android. En effet en cas d'erreur d'authentification sur un serveur, l'appli passe à un autre... Et je n'arrive pas à voir dans les logs dns comment ça outrepasse ma blacklist.

Me reste à résoudre ce dernier point pour avoir un contrôle absolu des interdictions sur mon réseau.

[Kori]

Bon tout fonctionne, malgré un apparent redémarrage des services il faut rebooter le routeur pour qu'il prenne correctement en compte le fichier hosts.

[trekker92]

j'utilise le filtrage dns, avec dnsmasq et le fichier hosts, jamais eu de problemes, il actualise a chaque changemement du fichier

[Kori]

dnsmasq est natif sur openwrt, donc idem j'utilise les deux

Mais lors de la modification du fichier host, comme dit je me suis rendu compte qu'il fallait reboot le routeur pour qu'il le prenne correctement en compte. Assez surprenant mais les faits sont là...

[CaseyN]

/etc/init.d/dnsmasq restart

Ça marche aussi et je pense que Trekker a ça sur son son script qui met à jour sa liste de filtrage.

[Kori]

S'pas idiot, comme je me doutais qu'un service n'était pas relancé j'ai fait ça à la windowsien.... reboot global. Tout ça c'est la faut à Bill !!!!!!!!

[trekker92]

c'est simple le service dnsmasq est lancé au boot.. et à _chaque_ demande dns d'un hote dnsmasq interroge d'abord le fichier hosts avant d'envoyer ca au dns du fai;

certes mon truc est un peu bricolo mais jsurfe sans adblock, et c'est tout aussi efficace.

pour vous montrer :

http://dl0r4h.free.fr/index.php?post/2013/01/03/Adblock-on-your-gateway-%3A-bloquer-les-r%C3%A9gies-publicitaires-via-serveur-DNS

si vous avez bsoin de mon fichier de config /etc/config/dhcp jpeux vous donner ca;

mais heureusement j'ai jamais besoin de rebooter le routeur, lors d'un nouvel enregistrement faut déco/reco l'ordi pour que le cache se vide.

[CaseyN]

À la fin de ton lien il y a bien "relancer DNSmasq" ;-) Tu changes le fichier hosts, tu reboot le service.

[trekker92]

bah jme suis rendu compte que récemment il interroge a chaque fois le fichier hosts pour chaque demande.. donc c'est au client de vider son cache pour actualiser en fait.. mais sinon tu peux faire comme ca oui.. par contre ca peut devenir lourd a la longue, et prendre plusieurs seconde quand il se remplit vite.