Administration réseau

[Augustin]

Bonjour à tous,

 

Je suis le titulaire de la ligne internet qui dessert ma maison. J'aimerais y appliquer un contrôle, non pas moral car nous sommes tous adultes, seulement je ne veux pas d'ennuis avec la justice. C'est donc surtout pour bloquer les connexions P2P. Évidemment, si je vous demande conseil, c'est que le dialogue et la diplomatie n'ont pas été fructueux.

 

Connaissez-vous un moyen efficace? Je précise, mon routeur est un NETGEAR (Numericable). J'ai fouillé dans l'interface réseau, sans grand succès (mais je ne suis pas un fin connaisseur).

[shark132b]

As tu essayé de bloquer les connexions aux logiciels P2P à l'aide d'un firewall?

J'ai un modem Netgear chez Dartybox et il y a un menu Filtrage de contenu à partir duquel tu peux limiter les plages horaires,dénir des mots clés, bloquer des domaines, des mots clés.

As tu essayé?

[Augustin]

Merci pour ton aide, j'ai essayé le filtrage du contenu, mais le soucis c'est que ça bloque des domaines en particulier, donc il faudrait que je rentre tout les sites de téléchargement illégal! Et ça n'empêcherais pas des logiciels de P2P de fonctionner...

 

Par contre, qu'entends-tu par bloquer le P2P avec le firewall?

[Invité LolYangccool]

Bonjour,

Peut-être essayer de bloquer les ports qu'utilisent les logiciels de P2P dans la configuration de ta box.

 

Je sais qu'avec les livebox c'est possible mais le reste je ne sais pas.

 

Par contre, penses à changer le mot de passe d'accès à la configuration de la box, parce que le mot de passe par défaut tout le monde ou presque le connais.

Les autres utilisateurs de ton réseau n'auront aucun mal à le trouver sur internet dans le cas d'une livebox.

[shark132b]

Sur mon PC avec Kaspersky internet sécurity, je décide au niveau du firewall si j'autorise l'exécution de certaines applications.

 

Sinon, il faut essayer comme le suggère LolYangccool de laisser ouvert certains ports uniquement: à priori (d'après ce que j'ai trouvé sur le net)

surf : tcp 80 , tcp 443 , tcp 53 , udp 53

msn : tcp 1863

irc : tcp 6667

mail : tcp 25 , tcp 110

[Invité pim]

Ou alors, il faut activer le contrôle parental sur tous les Mac de la maison. Si jamais il y a un ou plusieurs PC dans le lot, c'est l'occasion de changer !

[Invité LolYangccool]

Ou alors, il faut activer le contrôle parental sur tous les Mac de la maison. Si jamais il y a un ou plusieurs PC dans le lot, c'est l'occasion de changer ! 

Oui mais il n'est peut être pas l'administrateur des ordinateurs des autres personnes.

 

Puis il dit qu'ils sont tous majeures, ça ne se fait pas de mettre un contrôle parental pour des adultes...

J'aimerais y appliquer un contrôle, non pas moral car nous sommes tous adultes, seulement je ne veux pas d'ennuis avec la justice.

Et l'avantage en bloquant les ports des logiciels de P2P, c'est que si quelqu'un vient chez lui et qu'il se connecte au réseau, il sera également bloqué.

Pas besoin de mettre un contrôle parental sur son ordinateur.

 

Puis j'imagine mal dire à un de mes amis:

"Je te mets un contrôle parental pour que tu ne télécharges pas illégalement chez moi."

[Augustin]

Voila, LolYangcool a bien cerné le problème. Je ne cherche pas à avoir la main mise sur les ordinateurs se connectant à mon réseau. Je me fiche qu'il y a des connexions à des sites interdits aux mineurs (donc pas de filtre parental). Je veux simplement éviter de recevoir un mail d'Hadopi, c'est tout.

 

Donc il faut vraiment régler le problème à la source. Bloquer les ports peut-être intéressant, mais j'ai peur que cela restreigne l'usage d'internet à des applications tierces (iTunes par exemple), aussi bien sous Mac que sous PC (je suis le seul Mac du foyer).

[Invité LolYangccool]

Bonsoir,

Je penses que pim disait cela pour que tu utilises le contrôle parental non pas pour bloquer l'accès aux sites pour adultes, mais pour que tu bloques certaines applications.

 

Excuses moi de te contredire pim, mais je ne pense pas que ce soit la meilleur ni la plus pratique des solutions.

 

Surtout qu'Augustin est le seul à avoir un Mac chez lui...

[Invité pim]

En fait, le problème avec la solution d'Apple, c'est qu'elle est imparfaite, si on la laisse en "tout automatique" - elle peut par exemple "tenter" d'interdire l'accès aux sites adultes par exemple, mais tout le problème est dans le "tenter". Après, on peut personnaliser à loisir, mais il faut alors autoriser chaque site "à la main" (avec une liste déjà assez remplie, avec les sites d'Apple ou de Disney en bonne place... Ça risque de gueuler un peu sur les sites accessibles ! )

 

Sinon, il y a Content Barrier d'Intego, qui est capable de bloquer l'utilisation des logiciels P2P - en plus d'une liste de réglages "à la Prevert" :

 

http://www.intego.com/fr/internet-security-barrier/

 

 

Bon, en revanche ce n'est pas gratuit non plus. Surtout qu'il va falloir acheter une version multi-poste, en plus de racheter tout le parc de machines en Mac ça va douiller !

 

Mais pour revenir à la question initiale d'Augustin, qui est de bloquer l'ensemble de son réseau sans distinction de machines ou d'utilisateurs, à part se créer un mini-réseau domestique à l'aide d'une version server je ne vois pas. J'ai même ouvert l'Utilitaire Airport pour vérifier : il n'y a aucune option, la borne Time Capsule ou Airport Express ne peut pas filtrer à elle seule. Quant à la Freebox, elle propose un contrôle parental, mais les filtres à s'appliquer concernent les plages horaires ou les adresses Mac (= les adresses des cartes des machines connectées en Ethernet ou en WiFi).

[shark132b]

Dans les paramètres avancés, tu as les blocages des ports avec une option qui s'appelle ajouter un service prédéfini. Je pense qu'il te suffit de bloquer tous les services qui ne te conviennent pas aux heures et aux jours que tu le désires.

 

Pense à changer le mot de passe du routeur

[Augustin]

Merci du conseil, je viens d'aller voir, seulement je n'ai pas tout compris... Il y a plein de services différents (POP3, PPTP), mais pas de services appelé P2P... Je dis peut-être une grosse connerie mais ce n'est vraiment pas mon point fort.

[Augustin]

D'ailleurs, je profite d'être dans le vif du sujet et d'avoir un expert sous le coude;

Faut-il faire d'autres réglages pour améliorer la sécurité (sans ralentir la connexion)? Je pense notamment à cela:

 

 

Comme je n'ai pas configuré le mien du tout, c'est le moment ou jamais...

[iChe]

J'ai du mal à cerner les relations entre les ordis de ce réseau (ou plutôt, entre leurs propriétaires)... Ce que je veux dire, c'est que quand on gère une école (par exemple) il vaut effectivement mieux se protéger des abus en bloquant les connexion à la racines, ce que tu essayes apparemment de faire. Mais à moins qu'un très grand nombre de gens que tu ne connais pas se connecte à ton réseau, vouloir tout contrôler, n'est ce pas une réaction un peu excessive ? Je ne veux surtout pas être hors de propos, je ne veux surtout pas m'introduire dans des affaires qui ne me regardent pas mais, si des gens veulent du P2P, et que toi tu ne veux pas, pourquoi ne pas les laisser se débrouiller et payer leur propre connexion ? Puisqu'apparemment les discussions diplomatiques n'ont pas abouti, rien n'empêche de poser un ultimatum...

 

Je voulais juste dire ça car j'ai très envi d'aider, mais je n'ai pas la réponse technique à ta question ! Alors pourquoi ne pas réessayer un peu de diplomatie, puisqu'après tout, tu es le titulaire de la ligne.

 

Enfin, je rajouterai que Hadopi n'est pas la « menace » que tu sembles craindre. Mais c'est un autre débat, ça ne nous empêche pas de trouver une solution pour l'organisation que tu as décidé d'avoir.

[Augustin]

Tu as à la fois un peu raison et un peu tord. Je ne veux pas tout contrôler, mais seulement le téléchargement illégal. Effectivement, je ne gère pas une école mais vis avec deux personnes de mon âge qui ne portent gère d'attention à mes remarques sur le sujet et qui téléchargent occasionnellement. Étant propriétaire de la ligne, je n'ai pas du tout envie de recevoir de lettre d'Hadopi en m'expliquant que je vole alors que je fait moi-même l'effort d'acheter tout ce que je télécharge sur iTunes. Et c'est là ou tu as raison. Ce n'est pas tant la sanction que je crains, mais plutôt d'être assimilé à quelque chose contre lequel je me bats (mais c'est définitivement un autre débat).

[shark132b]

@Augustin, les paramètres qui sont décochés te permettent d'avoir une protection matérielle du réseau. Perso j'ai laissé tel quel et pas de problèmes depuis des années.

 

Dans les services proposés, je laisserai actif, http, https (surf) , pop3 et smtp (mail).

 

Dans le pire des cas, tu te fais un filtrage Mac sur lequel tu n'autorises la connexion que pour tes appareils perso (menu filtrage Mac) et les autres

 

A priori itunes fonctionne avec le port tcp 80 ouvert (je viens de regarder dans le firewall de kaspersky (pas taper j'utilise pas le mac ce soir il encode mes cassettes dv8 qui trainent depuis 5 ans )

[iChe]

Okay, j'avais donc bien compris le problème. Ça me permet donc de réaffirmer l'idée de l'ultimatum : le propriétaire décide. Si ces deux personnes veulent télécharger illégalement, qu'elles en assument les conséquences jusqu'au bout, soit en devenant les propriétaires de la lignes, soit en allant télécharger ailleurs. Enfin bon, on arrive ici sur des histoires de confiances et de respects des opinions, approches que tu as de toutes évidences déjà tentées, et qui de toute façon sortent du cadre de cette conversation.

 

Je referme donc la parenthèse que j'ai ouverte, je voulais juste comprendre. Si, je rajoute juste que j'admire ta prise de position sur la question du téléchargement.

 

Voila, les pros du réseaux peuvent reprendre une activité normale au fil du sujet !

[Augustin]

@ shark132b:

 

Merci bien pour ces conseils, je vais faire une période d'essai pour les ports, en espérant que ça ne me bloque pas des services (comme iCloud...).

 

Le filtrage Mac, ce n'est pas pour tout de suite... à ce compte la, je change directement la clé du réseau!

 

@ iChe:

 

Je te remercie du compliment.

[Invité LolYangccool]

Bonjour,

J'ai peut être une autre solution:

Baisser le débit des IP de leurs ordinateurs sans baisser le tient.

Si tu leur donne du 1Mb/s, qui est suffisant pour du surf sans téléchargement?

Le seul soucis, c'est quand il vont vouloir télécharger des mises à jour par exemple pour un iPhone. Ca risque d'être long et du coup de te monopoliser la connexion.

 

De plus, je ne sais pas si c'est possible d'appliquer un tel filtrage de chez toi et sans le répercuter sur ton propre ordinateur.

[hachdrien]

J'ai peut être une autre solution:

Baisser le débit des IP de leurs ordinateurs sans baisser le tient.

Si tu leur donne du 1Mb/s, qui est suffisant pour du surf sans téléchargement?

Le seul soucis, c'est quand il vont vouloir télécharger des mises à jour par exemple pour un iPhone. Ca risque d'être long et du coup de te monopoliser la connexion.

Le téléchargement en P2P peut occuper une bande-passante, mais s'accommode très bien de 1Mb/s. De plus, il est possible de laisser un ordinateur en plein téléchargement tout seul la nuit, quand l'utilisateur ne s'en sert pas.

 

C'est bête que le protocole P2P ne puisse visiblement pas être contrôlé depuis l'interface de la box.

 

J'ai, cela dit, en googlant un peu, trouvé ça. En espérant que ça puisse t'aider, je n'ai pas le temps actuellement de décrypter.

[Invité LolYangccool]

Le téléchargement en P2P peut occuper une bande-passante, mais s'accommode très bien de 1Mb/s.

Oui mais c'est beaucoup plus long que du 50Mb/s par exemple !

Ca risque de les décourager un peu, si leur débit est super lent.

 

Edit: Je parle bien de 1Mb/s et non pas de 1MB/s.

C'est pas la même chose.

[Mout]

Salut,

 

J'ai une ou deux petites mises au point à vous proposer, si vous me le permettez.

 

Le P2P, c'est un concept, une manière de faire, ce n'est pas un protocole. et de fait, il n'y a pas de port qui lui soit reservé.

Encore la semaine derniere, une amie voulait améliorer son eMule pour le passer en High ID : il faut ouvrir des ports et tous les tutos commencent par conseiller de changer ces ports. et on a le choix parmi 65535 ports (moins un bon millier réservés pour des choses particulières)

Donc pour filtrer du P2P, il faut une analyse des trames et de ce qu'elles transportent. Et les box du marché ne sont pas faites pour cela.

Quant à laisser des "ports ouverts", c'est uniquement si vous hébergez un service donné. nul besoin d'ouvrir le port 80 pour surfer sur internet. il faut l'ouvrir si votre site est sur votre ordinateur, chez vous.

pour du surf normal, le routeur (ou la box) va ouvrir un port parmi les 60 000 disponibles, au hasard, momentanément, le temps de la session de surf, puis le refermera ensuite. c'est le principe du PAT (Port Adress Translation). le serveur, en revanche, ou le site web, il écoute sur le 80. C'est lui qui a besoin d'ouvrir son port 80. pas moi, ni toi, ni celui qui veut visiter le site.

 

En somme, pour empêcher que la hadopi t'embête, voici mes propositions.

 

A- soit tu empêches les gens de faire du P2P sur ta ligne,

B- soit tu logues tout ce qui est fait sur ton réseau.

 

pour les empêcher, tu peux :

A1- filtrer, auquel cas il te faut un matériel ou un ordi réservé qui fera office de proxy, et de passerelle

A2- empêcher l'accès à ta box. et là, c'est simple : pas de DHCP, une clé Wifi chiante et à changer régulièrement, un sous réseau pas évident, et l'affaire est dans le sac.

 

B- pour loguer, il te faut aussi un ordi réservé, un proxy en fait, qui va noter tout ce que font les gens sur leur réseau. ca ne les empêchera pas de faire du P2P, mais si Hadopi t'embête, tu as les moyens de dénoncer et de prouver que ce n'est pas toi.

J'ai même envie de dire qu'a priori, en partageant ta connexion, tu deviens en quelque sorte Fournisseur d'Accès à Internet, et en cette qualification, tu as l'obligation de loguer les activités de tes utilisateurs. mais bon, dans le cadre privé, je pense pas que la CNIL vienne te faire chier

 

 

 

 

Voila partie objective, technique et pratique. la partie subjective, maintenant : je trouve bien ce que tu as envie de faire, et responsable. c'est exactement le discours de la Hadopi : ne vous rendez pas coupable d'un défaut de sécurisation de votre accès internet.

 

Par ailleurs, le P2P en tant que tel n'est pas, je veux dire *n'est pas* illégal. c'est l'utilisation qui en est faite qui est illégale. C'est comme une voiture : une voiture est autorisée, mais aller à contre sens sur l'autoroute est illégal.

Partager des fichiers en les découpant en morceaux, et en se connectant directement d'utilisateurs à utilisateurs pour les récupérer n'est pas illégal, si ce sont nos photos de vacances ou une distribution Linux.

Mettre à disposition des fichiers sur lesquels vous n'avez pas les droits de diffusion publique, ça, c'est illégal.

 

Mais le problème, c'est que le P2P se rend illégal, par sa manière de fonctionner, lorsque l'on télécharge un film avec droits d'auteurs : le simple fait de télécharger un morceau le rend immédiatement disponible pour les autres. c'est le principe. et si on n'a pas les droits sur ce fichier, on verse dans l'illégalité.

 

En ce sens, télécharger en streaming ou en "DDL" (direct download) n'est pas illégal, mais c'est le site qui se rend coupable de nous y laisser l'accès, alors qu'il n'a pas le droit. et l'utilisateur qui a uploadé le film aussi.

 

 

 

Voila mon avis et mes propositions.

 

++

[Invité LolYangccool]

B- pour loguer, il te faut aussi un ordi réservé, un proxy en fait, qui va noter tout ce que font les gens sur leur réseau. ca ne les empêchera pas de faire du P2P, mais si Hadopi t'embête, tu as les moyens de dénoncer et de prouver que ce n'est pas toi.

Bonjour,

Oui mais il me semble qu'avec Hadopi, ce n'est pas les personnes qui téléchargent illégalement qui risquent quelque chose, mais la personne qui possède la ligne.

 

Donc même si il arrive à prouver que ce n'est pas lui qui télécharge illégalement, c'est quand même lui qui sera puni.

[Mout]

Si ce n'est pas toi qui te fait choper au radar, mais bien avec ta voiture, tu peux prouver ton innocence. et c'est le contrevenant qui prend l'amende.

 

Dans le cadre d'hadopi, tu reçois un mail. bon. tu vas voir dans tes logs qui a été chopé (constatation dans le mail, normalement : "Vous avez été surpris telle heure, telle ip en train de récupérer tel film")

Tu vas ensuite voir le gars en lui disant "Je t'avais prévenu, regarde je me suis fait choper", et comme ton proxy est prêt, hop ! tu lui coupes le net 3 jours (ca lui fera les pieds), et évidemment, tu filtres dès lors son accès avec sortie uniquement vers 0-1024 (ca couvrira l'ensemble de ses besoins). et s'il a besoin d'autre chose, il te demande et tu lui donnes au besoin.

 

Si par malheur tu venais à être contrôlé une deuxième fois, c'est un courrier AR, je crois. alors là, aux grands maux les grands remèdes. coupure totale pour tout le monde, chacun sa merde, "je vous avais prévenus bande de rigolos maintenant pour ma box vous pouvez vous brosser-martine."

 

 

Donc même si il arrive à prouver que ce n'est pas lui qui télécharge illégalement, c'est quand même lui qui sera puni.

Tu ne seras pas puni de téléchargement illégal, mais de défaut de sécurisation. pour le téléchargement illégal, comme tu arriveras à prouver que c'est pas toi mais lui, ce devrait etre lui qui écopera de la peine.

[tortipouss]

Maintenent il va avoir Hadopi 3 et après ce sera Hadopi 4 et après ce sera Hadopi 5.

J'éspere que ce Nicola Sarkoraziste ne va pas étre réelue une 2 fois, car si non je le tue.