Forum

Bonjour,
drakguard (contrôle parental) dispose d'une option permettant de bloquer le trafic Internet.
Cependant, d'après ce rapport de bogue, le blocage n'est pas opérationnel.
Je fais appel à votre sagacité, notamment celle de nic80, pour trouver où se situe le problème, et surtout comment configurer e2guardian pour rendre cette option effective.

Bonjour,

Peut être que Squid-f aura une idée, vu que la solution repose en partie sur "son" proxy

Après je n' arrive pas à comprendre si on passe d' abord par e2guardian puis squid.

Visiblement, le boquer tout trafic réseau semble rajouter l' option netblock=1 dans un fichier de conf de e2guardian, mais je n' ai pas trouvé de documentation à son sujet.

Sinon il doit être possible de définir un proxy global au système en modifiant le /etc/environnement.

Est-ce que l'insertion d'une ligne

suffit à bloquer le trafic ?

Bonjour,

Je ne peux pas tester actuellement (en plus il faut que je fasse marche arrière sur mes expérimentations avant).

Un lancement manuel remonte t' il des erreurs (ce qui pourrait indiquer que le démon e2guardian ne tourne pas ?). En tous cas je crois que sur ma machine de test il y a des plaintes sur des fichiers non trouvés/lisibles (le systemctl statu e2guardian donne t' il quelque chose d' intéressant ?)

Bonjour,

Du coup je suis tombé sur le problème.
J'ai vraiment du mal a suivre la doc et les tuto pour comprendre ce vers quoi il faut que je me tourne pour faire fonctionner drakguard.

Papoteur :

Est-ce que l'insertion d'une ligne

Code /ETC/E2GUARDIAN/LISTS/BANNEDSITELIST :

**

suffit à bloquer le trafic ?

Ça ne marche pas chez moi,

Les erreurs au lancement de e2guardian ont avoir avec d'autres fonctionnalités si j'ai bien compris et le fait que les fichiers n'existent pas



Bonne journée

Édité par waem Le 12/01/2024 à 09h40

Les erreurs que tu rapportes sont signalées.
https://github.com/e2guardian/e2guardian/issues/762
On va pouvoir appliquer la correction.
Cependant, je crois que ça règle pas le problème de non filtrage :(
J'ai essayé d'utiliser manuellement la liste bannedsitelist. Elle n'a strictement aucun effet.

Bonjour,

Pour le blocage des applications, de ce que j' ai compris cela se base sur les acl ( d' ailleurs, il doit manquer un truc pour la modification du fichier /etc/fstab aux lignes 300 et 317 de /sbin/drakguard . En effet, l' ext4 n' est pas pris en compte ce qui est un peu dommage, l' utilisateur pouvant modifier son /etc/fstab manuellement rien ne l' empêche de supprimer l' option acl et rendre donc la fonctionnalité HS.

Pour le filtrage j' ai du mal à suivre l' enchainement des flux.

C' est si port 80 alors shorewall redirige vers le port 3128 ( Squid) - quid du https qui est utilisé majoritairement désormais ( heureusement que mirrors.mageia.org propose des sites en http simple ), mais ensuite c' est ce dernier qui fait la résolution de nom et qui dialogue avec e2guardian ( sachant que depuis la version 5.2, ce dernier semble pouvoir se passer de Squid ( qui semble fonctionner de plus en plus en ipv6)) ?

Je ne connais pas assez shorewall pour lui dire de logguer tous les paquets ( pour essayer de voir les flux Firefox ( port 80) -> redirection vers Squid (port 3128) -> redirection vers e2guardian ( port 8080) -> ensuite ?

Actuellement ce qui est potentiellement à peu près sur, c' est que seuls le flux http semblent être flitrer par la redirection 80 -> 3128.

Édité par nic80 Le 03/02/2024 à 10h34

Bonjour nic,
Merci pour tes efforts.
Je pense qu'on a loupé qqch au niveau du mode d'emploi. Peut être que cette page peut nous aider :
https://github.com/e2guardian/e2guardian/blob/v5.5/notes/Upgrading_to_V5

Selon mes investigations, e2guardian met en place un proxy qui fait le filtrage des requêtes.
La question est donc de mettre en place le fait que les navigateurs doivent utiliser le proxy.
Drakguard ajoute la définition générale des variables d'environnement : http_prox, https_proxy et ftp_proxy. Pour que ceci soit intégré, il faut relancer la session, puis dire au navigateur d'utiliser les paramètres système pour le proxy.
Cela corrige-t-il le fonctionnement ?

Hors sujet, mais ça peut intéresser : il me semble qu'on peut bloquer l'accès internet d'un utilisateur avec shorewall, sans bloquer les autres utilisateurs.

Bonjour,

Il me semblait qu' en cas e2guardian, il y avait une règle qui redirigait le trafic http vers squid/e2guardian (mais je n'ai pas trouvé le chemin exact.

Ç' est plus simple et sécurisé que d' utiliser des variables d' environnement que les navigateurs peuvent suivre ou non.

Sauf erreur seul le trafic http est redirigé vers squid/e2guardian. Sauf que nos jours, ç' est quasiment https pour tous...

Et qui dit https peut impliquer d' installer une solution mitm pour filtrer ce trafic et pour cela il faut un certificat reconnu (cad qu' un certificat autosigné n' a aucune chance sauf si l' autorité est insérée dans tous les navigateurs présents.

nic80 :

Et qui dit https peut impliquer d' installer une solution mitm pour filtrer ce trafic et pour cela il faut un certificat reconnu (cad qu' un certificat autosigné n' a aucune chance sauf si l' autorité est insérée dans tous les navigateurs présents.

Ce n'est pas un soucis. On peut ajouter des certificats racine. On a crypto-policy, ce qui rend moins simple de trouver la ressource.