Un pare-feu pourrait-il m'aider ?

[Mathieu Réau]

Bonjour à tous !

Je viens de lire l'article très intéressant présentant le comparatif de quatre pare-feux récents et efficaces, mais je ne parviens toujours pas à savoir si ce que je voudrais faire serait possible en utilisant un logiciel de ce genre.

Que je vous explique : je dispose, chez moi, d'un petit réseau local auquel sont branchés trois ordinateurs et divers périphériques ; ce réseau est lui-même branché à Internet. Ce que je voudrais pouvoir faire, c'est interdire complètement à l'un ou l'autre de mes ordinateurs l'accès à Internet sans pour autant lui couper l'accès aux autres éléments du réseau local. Le tout, de préférence, par le biais d'une manipulation simple, rapide et réversible.

Est-ce que je peux faire ça avec un pare-feu ?

Merci d'avance pour vos réponses !

[Mahu]

C'est tout à fait possible, il faut juste 'jouer' avec les règles de filtrage pour n'autoriser que le trafic provenant de ton réseau local !

[Mathieu Réau]

Justement, c'est un peu ça qui me préoccupe : je vois bien que les pare-feux permettent d'autoriser ou d'interdire le trafic de telle ou telle application. Mais ce que je recherche, pour ma part, c'est une sorte "d'interrupteur général". Un truc qui, en deux temps, trois mouvements, interdit l'accès à Internet de tout l'ordinateur (ou l'autorise à nouveau, bien sûr). Ça, c'est possible ? Avec quel pare-feu je pourrais le faire ?

Modifié le 12 février 2018 par Mathieu Réau

[Mahu]

Désolé de ne pas pouvoir te donner une réponse absolue, je ne connais pas très bien les pare-feux sous Windows (je m'en sers surtout sur Linux).

Comme je te l'ai dit plus haut, une fois que tu aura choisi ton pare-feu il te suffira de spécifier ta/tes règle(s) et, une fois ceci fait, il te suffira d'activer/désactiver ton pare-feu suivant ton bon-vouloir

 

Modifié le 12 février 2018 par Mahu

[Mathieu Réau]

D'accord. Ben, j'imagine qu'il ne me reste plus qu'à expérimenter, alors !

Merci !

[S@T]

Il y a 2 heures, Mathieu Réau a dit :

Justement, c'est un peu ça qui me préoccupe : je vois bien que les pare-feux permettent d'autoriser ou d'interdire le trafic de telle ou telle application. Mais ce que je recherche, pour ma part, c'est une sorte "d'interrupteur général". Un truc qui, en deux temps, trois mouvements, interdit l'accès à Internet de tout l'ordinateur (ou l'autorise à nouveau, bien sûr). Ça, c'est possible ? Avec quel pare-feu je pourrais le faire ?

salut,

avec la bonne coche tu peux bloquer toutes les connexions entrantes,  y compris celles de la liste des applications autorisées

[Mathieu Réau]

Mais ça ne risque pas de bloquer aussi les connexions entrantes depuis le réseau local, ça ?

[S@T]

je te laisse tester l'accès aux partages réseaux mais ça demande toujours 3 interventions

tu peux aussi icontrôler l'accès directement sur le routeur et faire des règles de filtrage par adresse MAC

ex http://www.dlink.com/fr/fr/support/faq/routers/mydlink-routers/dir-810l/how-do-i-set-up-website-filtering-on-my-router

Il y a 14 heures, Mathieu Réau a dit :

Mais ce que je recherche, pour ma part, c'est une sorte "d'interrupteur général". Un truc qui, en deux temps, trois mouvements, interdit l'accès à Internet de tout l'ordinateur

sinon le plus simple serait de fédérer ces 3 machines sur un switch et de débrancher le bon câble au besoin  pas cool !

[Mathieu Réau]

L'idée de passer par la configuration du routeur, je l'ai déjà examinée. Mais lorsque j'ai parlé d'interrupteur général, je songeais tant à l'efficacité du procédé qu'à sa simplicité. Et là, question simplicité...

Du reste, je n'ai jamais dit que je voulais déconnecter d'Internet tous les ordinateurs du réseau : au contraire, il y en a un qui devra y être toujours relié. D'où mon souci : je veux pouvoir isoler facilement les autres d'Internet sans les débrancher du réseau et sans déconnecter ledit réseau lui-même d'Internet... et pouvoir les reconnecter si le besoin s'en fait ressentir.

C'est pourquoi je me suis finalement tourné vers les pare-feux, en espérant qu'ils me permettraient d'isoler mes ordinateurs par un procédé qui serait aussi facile à mettre en place qu'à retirer. Mais comme je n'en ai jamais utilisé avant cela, difficile pour moi de connaître réellement les possibilités offertes par ce genre de logiciels...

[S@T]

c'est quoi les 3 machines ? fixe et portable

il y en a une qui est connectée en wifi ou pas ?

parce que la soluce du switch ethernet supplémentaire pour garder les machines en réseau local tout en coupant l'accès au net ben c'est peut être pas la pire des solutions ni la plus élégante mais c'en est une !  easy

il y a 19 minutes, Mathieu Réau a dit :

Et là, question simplicité...

 

[Mathieu Réau]

Je ne vois vraiment pas en quoi ce serait une solution, simple ou pas, à mon problème. Si je tiens à ce que mes trois ordinateurs soient connectés au réseau local sans être nécessairement connectés à Internet, c'est pour qu'ils soient en permanence connectés aux autres périphériques présents sur le réseau : imprimante, NAS, etc.

Si j'isole tout mon réseau local et que je débranche la connexion Internet, plus aucun de mes ordinateurs n'y accès alors que j'ai bien dit que je voulais que l'un le soit en permanence. Et, bien entendu, je ne vais pas suppléer ma connexion filaire permanente à Internet par du WiFi, avec toutes les pertes et inconvénients que cela engendre.

Donc, non : ce que je veux vraiment, c'est pouvoir filtrer tous les accès au réseau à partir de chaque ordinateur individuellement. Bloquer les connexions vers Internet (de préférence toutes en même temps) et laisser passer celles vers le réseau local.

J'ai téléchargé deux des pare-feux dont parlait l'article du Crabe. Je vais les tester un peu, voir ce que ça donne... Ce serait bien de pouvoir créer des profils interchangeables...

[S@T]

il y a 7 minutes, Mathieu Réau a dit :

c'est pour qu'ils soient en permanence connectés aux autres périphériques présents sur le réseau : imprimante, NAS, etc

tu peux brancher l'imp en USB sur le poste le plus proche et la partager ensuite sur le LAN ...  

il y a 7 minutes, Mathieu Réau a dit :

alors que j'ai bien dit que je voulais que l'un le soit en permanence

met une clef wifi sur celui ci ed ou un deuxième port eth

 

il y a 7 minutes, Mathieu Réau a dit :

Donc, non : ce que je veux vraiment, c'est pouvoir filtrer tous les accès au réseau à partir de chaque ordinateur individuellement. Bloquer les connexions vers Internet (de préférence toutes en même temps) et laisser passer celles vers le réseau local.

J'ai téléchargé deux des pare-feux dont parlait l'article du Crabe. Je vais les tester un peu, voir ce que ça donne... Ce serait bien de pouvoir créer des profils interchangeables...

alors la meilleure soluce n'est pas la plus simple mais celle de mettre les mains dans le router master

 

bye

Modifié le 13 février 2018 par S@T

[Mathieu Réau]

Les petits smileys qui tirent la langue à chaque fois qu'une de vos réponses tape pile à côté de mes questions, c'est pour vous moquer de moi, en prime ? Parce que dans ce cas, je vous saurais humblement gré de vous en abstenir.

Ma question portait sur l'utilité d'un pare-feu pour m'aider à régler mon problème, je le rappelle. J'avoue ne pas trop voir comment on en est arrivés à votre avalanche de propositions plus inappropriées les unes que les autres. Rien de tout ceci ne m'aide en effet à comprendre ce que je pourrais être en mesure de faire d'un pare-feu, ni comment.

[S@T]

il y a 39 minutes, Mathieu Réau a dit :

c'est pour vous moquer de moi, en prime

nan du tout c'est parce que tu ne réponds pas à toutes mes questions et que tu veux quelque chose de très simple  

[Mathieu Réau]

Je ne réponds pas à toutes vos questions ? Pourtant je pense avoir tout dit : j'ai trois ordinateurs et quelques périphériques branchés sur un réseau local lui-même connecté à Internet. L'un de ces trois ordinateurs doit être connecté à Internet en permanence, les deux autres uniquement de façon ponctuelle ; les trois doivent partager les périphériques du réseau en permanence.

Je veux donc un moyen d'isoler mes ordinateurs d'Internet sans les déconnecter du réseau local, un moyen qui soit simple à mettre en place ou à enlever et vice-versa, puisqu'il peut m'arriver d'utiliser Internet dessus de temps en temps, et je n'ai pas envie de devoir tripatouiller un paquet de réglages à chaque fois.

De toutes celles que j'ai pu trouver grâce à une rapide recherche Internet, le pare-feu m'apparaît comme une solution à creuser, pour voir quelles possibilités elle m'apporte, et je suis venu solliciter ici l'aide de personnes habituées à ce genre de logiciels et donc mieux à même de me dire ce qu'il est possible (ou non) d'en faire.

[Mreve]

Yep,

J'ai 2 idées qui me viennent à l'esprit :

1) Je ne suis pas sûr de moi parce que je n'ai pas de PCs en réseau local sous la main pour tester mais je pense que si tu fixes une IP et une passerelle par défaut invalide aux 2 autres PCs ça devrait marcher. Ils n'auront pas accès à internet mais resteront connectés au réseau local. C'est pas très "propre" comme méthode mais je veux bien que tu essaies juste pour voir

2) Ce que tu peux faire avec le pare-feu c'est simplement bloquer les ports 25 et 110 (protocoles SMTP/POP3 : mail), 80,81 et 443 (protocole HTTP/HTTPS).
 

Ça vaut ce que ça vaut mais bon peut-être que ça te conviendra.

Modifié le 13 février 2018 par Mreve

[Mathieu Réau]

D'après ce que je peux voir, je vais pouvoir paramétrer des règles intéressantes grâce à Comodo... Il ne me reste plus qu'à effectuer quelques tests, pour voir ce que ça donne.

[S@T]

il faudrait pouvoir créer des profils pour pouvoir "commuter" plus rapidement sur chaque PC

[Le PoissonClown]

Salut !

Le 13/02/2018 à 16:14, Mathieu Réau a dit :

L'idée de passer par la configuration du routeur, je l'ai déjà examinée. Mais lorsque j'ai parlé d'interrupteur général, je songeais tant à l'efficacité du procédé qu'à sa simplicité. Et là, question simplicité...

C'est l'inconvénient des box : elles concentrent des services réseau à un seul endroit sans pouvoir les dissocier, et s'administrent sur une interface totalement rigide. En entreprise, on peut distribuer les services (routage, DNS, DHCP, pare-feu…) sur des serveurs indépendants (ou sur le même) et gérer ces services sur des interfaces au choix voire aussi automatiser des tâches/fonctions avec des fichiers de commandes.

L'interrupteur général sur la box, j'en ai un sur une prise-horloge qui éteint ma box pendant la nuit et la rallume le matin. C'est très pratique pour couper les deux réseaux.

Mais pour laisser fonctionner un réseau sur les deux, non, désolé, il n'y a pas d'interrupteur possible. À moins peut-être de pouvoir sous-traiter les services de routage et de DHCP exclusivement sur un routeur Wifi relié à la box. Une fois la box tombée, le routeur local assure la liaison des appareils entre eux. À voir sur le forum de ton FAI si c'est possible…

[S@T]

il y a 2 minutes, Le PoissonClown a dit :

Une fois la box tombée, le routeur local assure la liaison des appareils entre eux.

c'est ce que je préconise en quelque sorte et sans prétention  ... 'de mettre ces machines sur un switch dédié (voir routeur wifi ) alimenté par celui de la box sans devoir pour autant couper l'accès général au net

mais le hic c'est de pouvoir intervenir sur chaque PC donc parefeu sur chaque machine

[Le PoissonClown]

il y a 7 minutes, S@T a dit :

mettre ces machines sur un switch dédié

Un switch relie juste les machines entre elles. Pour qu'il y ait du trafic, il faut :

1. Que les machines aient une IP
2. Qu'un service de routage assure le trafic réseau

Le switch doit donc faire au moins routeur (et DHCP si tu veux t'économiser une configuration réseau à la main de toutes les machines du LAN).

il y a 3 minutes, S@T a dit :

mais le hic c'est de pouvoir intervenir sur chaque PC donc parefeu sur chaque machine

Ah ?! Mais si tu coupes la liaison entre le modem et le routeur local, le LAN fonctionne sans Internet. C'est pas l'objectif ?

Il faut juste que le routeur local ait l'exclusivité des connexion (pour que les machines ne se connectent pas directement sur la box).

[S@T]

il y a 2 minutes, Le PoissonClown a dit :

il y a 18 minutes, S@T a dit :

mettre ces machines sur un switch dédié

Un switch relie juste les machines entre elles. Pour qu'il y ait du trafic, il faut :

1. Que les machines aient une IP
2. Qu'un service de routage assure le trafic réseau

Le switch doit donc faire au moins routeur (et DHCP si tu veux t'économiser une configuration réseau à la main de toutes les machines du LAN).

autant pour moi j'ai oublié de passer la conf TCPIP des PC en fixe 

 

il y a 4 minutes, Le PoissonClown a dit :

il y a 20 minutes, S@T a dit :

mais le hic c'est de pouvoir intervenir sur chaque PC donc parefeu sur chaque machine

Ah ?! Mais si tu coupes la liaison entre le modem et le routeur local, le LAN fonctionne sans Internet. C'est pas l'objectif ?

pas tout@fait si j'ai bien suivi

 

Il y a 22 heures, Mathieu Réau a dit :

L'un de ces trois ordinateurs doit être connecté à Internet en permanence, les deux autres uniquement de façon ponctuelle ; les trois doivent partager les périphériques du réseau en permanence.

mais on ne sait pas si l'un des ces ordinateurs reste le même ou pas

[Mathieu Réau]

Oui, l'ordinateur connecté en permanence à Internet, c'est le même. Mais il doit aussi avoir accès en permanence aux périphériques du réseau local, donc impossible de dissocier matériellement les deux.

Sur un autre forum où j'ai posé la même question, on m'a conseillé la chose suivante :

Un firewall accepte ou bloque des communications entre des réseaux sur des ports spécifiques.
A chaque paquet entrant, il va parcourir séquentiellement ses règles de flux pour trouver la première règle qui "matche" avec l'IP source, le port source, l'IP destination et le port destination.
La dernière régle (implicite) est de refuser tout - deny any any.

La règle que tu souhaites est du type :
 

Ip Source	Port Source	IP destination	Port Destination	Action
IP du PC ou du réseau des PCs en question	any	any ou tout ce qui n'est pas du range IP LAN	any	Deny(Refuser)

Il semble donc possible de créer, par le biais d'un pare-feu, un filtre qui laisserait passer les connexions au réseau local et bloquerait toutes les autres. Il reste que, mon entendement du fonctionnement des réseaux étant limité, la marche à suivre tend à demeurer pour moi quelque peu confuse...

En fouillant un peu, j'ai trouvé qu'il était, semble-t-il, possible de créer des règles ressemblant à l'exemple qui m'a été donné sur le pare-feu de Windows comme avec Comodo Firewall 10. Seriez-vous en mesure de me le confirmer ?

[Le PoissonClown]

Euh… Moi je veux bien, mais ça veux dire que tu devras configurer l'adressage IP et les règles du pare-feu sur chaque machine ?

Comodo Firewall ne s'installe que sur le PC qu'il contrôle, et non sur un routeur.

Il y a 2 heures, Mathieu Réau a dit :

En fouillant un peu, j'ai trouvé qu'il était, semble-t-il, possible de créer des règles ressemblant à l'exemple qui m'a été donné sur le pare-feu de Windows comme avec Comodo Firewall 10. Seriez-vous en mesure de me le confirmer ?

Je n'utilise pas Comodo Firewall, je ne peux pas te renseigner sur ce point.

[MateLeot]

Bonsoir, 

Voila ce qu'affiche le pare-feu COMODO quand on rentre dans les paramètres avancés du logiciel : 

 

Il semblerait qu'effectivement, des règles puissent-être édité sur les réseaux locaux.

Je vous invite à télécharger ce pare-feu et vous faire votre propre avis sur la question (ce logiciel est gratuit et relativement efficace après un rodage ) ! COMODO FIREWALL.

Cordialement, 

MateLeot.

 

Modifié le 15 février 2018 par MateLeot