Comment limiter l’usage de mon internet pour les passants ?
Objectifs :
Mon foyer, mes amis et voisins, on peut tout faire sur ma connexion internet. Nous sommes en tout 5 à pouvoir surfer sans limitation (pour l’exemple).
Les passants et voisins inconnus ne peuvent que faire du Web, du mail et du chat AIM. Ils ne peuvent pas être plus de 3 à surfeurs en même temps. Et je ne veux pas plus de 10 personnes inconnues surfant dans la journée (toujours pour l’exemple). Ceci afin de ne pas encombrer ma connexion.
Plage d’IP en DHCP
Tout d’abord, sur votre routeur, qu’il soit intégré à votre Modem ADSL, votre borne Wifi ou votre serveur, faire en sorte de définir une plage d’IP destinée au DHCP, si cela est supporté par votre matériel. Sinon, simplement activer le serveur DHCP
Si votre routeur a par exemple l’adresse 192.168.0.1
Attribuez une plage d’IP en DHCP de 192.168.0.2 à 192.168.0.9
Ainsi, on aura les IP 5, 6, 7, 8 et 9 prises par votre foyer, vos voisins et amis. Il restera les IP 2, 3 et 4 de libre pour les passants (donc 3 IP pour 3 passants max en même temps).
Avec une borne wifi Dlink (firmware à jour), on pourra réserver les IP 192.168.0.5, 6, 7, 8, et 9 aux adresses MAC des machines de votre foyer, vos amis et voisins. Ces machines pourront donc conserver un réglage ultra simple, c’est-à-dire le DHCP (adresse attribuée automatiquement)
Avec une borne linksys par exemple, il est possible de choisir une plage d’IP en DHCP, mais pas de réserver certaines IP pour certaines machines.
Les ordinateurs du foyer, des amis et voisins devront donc mettre manuellement les réglages suivants :
IP : 192.168.0.5, 6, 7, 8 et 9
Adresse serveur 192.168.0.1
Submask : 255.255.255.0
Renseigner les DNS
Il y a aussi moyen de régler ces ordis en DHCP avec une IP manuelle. Dans ce cas mettre l’IP appropriée : 192.168.0.5, 6, 7, 8 ou 9
Sur une Borne Apple, on ne peut pas délimiter la plage d’IP en DHCP. Ce n’est pas grave. On procédera au niveau des ordinateurs du foyer de la même manière qu’avec une borne Linksys.
Dlink
Afin de limiter le nombre de passants par jour sur votre réseau, vous pouvez demander à ce que une adresse IP attribuée en DHCP ne le soit que pour un temps défini de 5 heures par exemple. Ainsi, sur 5 heures, vous ne pourrez avoir que 3 surfeurs passants. Soit 6 surfeurs passants pour 10 heures, etc.
On en a fini avec l’attribution des IP sur votre réseau
Passons aux règles de filtrage limitant le surf des passants (3 IP en tout), mais pas celui de votre foyer, vos amis et voisins (les 5 machines (et 5 IP) définies plus haut)
Cela se passe sur le Firewall du routeur, ou sur l’onglet Filtrage IP de l’interface Web du routeur.
Dlink
Nous allons ici limiter les usages du Web pour les 3 IP utilisées par les surfeurs passants, à savoir lest IP 102.168.0.2, 3 et 4. Ceci afin de limiter les usages illégaux et limiter les engorgements possibles de votre connexion Web ADSL ou câble.
Quelques règles permettant de limiter les abus.
Dans cet exemple, nous laisseront au client DHCP l’usage du Web, du mail et du chat AIM.
Pas d’IRC, ni de Peer to Peer, telnet, etc...
Chacun de ces usages utilise un « port » spécifique. Il suffit donc de bloquer ou ouvrir un port.
Le Filtrage des ports en fonction des IP Nous avons 2 choix. Soit nous bloquons les ports que nous ne voulons pas voir utilisés, ou nous bloquons tous les ports sauf ceux à utilisée.
La 2e méthode est la plus simple.
1re règle à ajouter au pare-feu du routeur : Bloquer tout trafic depuis les IP 192.168.0.2 à 192.168.0.4 en direction de tout (Web et réseau local), toutes IP, tout protocole, tout port.
Ensuite, on ajoute les règles ouvrant uniquement les ports nécessaires.
autoriser les IP 192.168.0.2 à 192.168.0.4 du réseau local à dialoguer vers le Web, tout IP, tout protocole, sur le port 25 (envoi de mail)
autoriser les IP 192.168.0.2 à 192.168.0.4 du réseau local à dialoguer vers le Web, tout IP, protocole TCP uniquement, sur le port 110 (réception de mail)
autoriser les IP 192.168.0.2 à 192.168.0.4 du réseau local à dialoguer vers le Web, tout IP, tout protocole, sur le port 53 (nécessaire pour le Web-DNS-)
autoriser les IP 192.168.0.2 à 192.168.0.4 du réseau local à dialoguer vers le Web, tout IP, protocole TCP uniquement, sur le port 80 (Web)
autoriser les IP 192.168.0.2 à 192.168.0.4 du réseau local à dialoguer vers tout (Web et réseau local), tout IP, tout protocole, sur le port 5190 (AIM)
Voilà, maintenant, les passants surfeurs voient l’usage du FTP, des P2P, IRC etc. impossible
Pour les IP utilisées par les machines de votre foyer, vos amis et voisins, on ne va pas appliquer de règle afin de ne pas restreindre l’usage du Web.
Enfin, on va mettre une dernière règle finalisant le tout pour éviter de pouvoir contourner les règles précédentes. On va bloquer les IP 192.168.0.10 à 192.168.0.254 pour tout. Ceci afin qu’elles soient inutilisables.
Donc, refuser pour les IP 192.168.0.10 à 192.168.0.254 du réseau local à dialoguer avec tout, pour toutes les IP, tous les protocoles, tous les ports.
Bien sur, cela implique que les IP 192.168.0.5 à 9 sont en permanence utilisées par votre foyer, vos amis et voisins. Si ce n’est pas le cas, un petit malin pourra toujours tenter d’obtenir un IP non utilisée et non cadrée par les règles mises en place. Encore faut il que ce petit malin soit au fait de votre configuration réseau.
Sinon, le principe de réservation d’IP pour 1 adresse MAC disponible sur le matériel Dlink permet de palier cette faiblesse. Que l’IP soit utilisée ou pas, elle est réservée à 1 machine.
Une liste des ports et de leur usage :
- exempt http/https (Web)
Port 80 - exempt DNS (translation des adresses web)
Port 53 - exempt DHCP (établissement de la connexion réseau)
Port 67 - exempt ssh and telnet
22 et 23 # exempt imap and smtp (le Mail -envoi)
143 et 25 - exempt ftp directory listings
21 - exempt aim (Ichat, chat AOL)
5190 - exempt msn (MSN)
1863 - exempt pop3 (Mail -réception)
110 - exempt irc and sirc
6667 et 6668 et 9999 - exempt hotline and carracho « listing » ports (client end)
5500 et 6700 - exempt hotline and carracho « listing » ports (server end)
5500 et 6700
N’hésitez surtout pas à proposer des infos ou toute suggestion d’évolution du réseau, des tutoriaux et du portail de quartier. Afin de compléter le tutoriel, je suis intéressé par toute capture d’écran faite sur l’interface de config de votre routeur correspondant aux éléments traités ci-dessus
