APEUL - Livebox asso - Orange

L'objectif de ce tutoriel est de montrer les possibilités du mode personnalisé du parefeu (firmware LBV2_610328) par un exemple concret.

J'ai choisi, comme cas d'école, de mettre tous mes PC en mode de sécurité "moyen", sauf un (192.168.1.10) sur lequel je veux, de plus :
- interdire le téléchargement par FTP,
- interdire la possibilité de faire des pings,
- bloquer l'accès au site www.thinkwiki.org, au site de recherche Google et au portail Orange.
J'ai pris la précaution de définir, au préalable, l'adresse IP du PC en IP statique sur la page DHCP afin que les règles notifiées pour 192.168.1.10 concernent toujours ledit PC.

1ère étape: On active le mode personnalisé du parefeu (Paramètres avancés, Pare-feu, Bouton "Personnaliser") et l'on va supprimer toutes les régles préexistantes (qui, par défaut, sont celles du mode élevé). Cette opération est un peu laborieuse mais sans risque puisque que le bouton "Réinitialiser" pourra tout remettre dans l'ordre initial.

2ème étape: On va créer l'équivalent du mode "Moyen". Pour cela on crée une première règle qui autorise tout, puis trois règles pour bloquer le NetBios en TCP et UDP. Il faut sauvegarder après l'introduction de chacune des règles. Il faut savoir que les régles "Rejeter" sont traitées en premier. Les quatre premières règles de l'illustration correspondent à cette étape.

3ème étape: On va interdire successivement les deux services prédéfinis FTP et Ping. Il suffit à chaque fois de renseigner l'adresse IP du PC à bloquer, le masque, de choisir Rejeter et de sauvegarder.

4ème étape: Le blocage de certains sites est une affaire plus délicate (et d'ailleurs le pare-feu de la livebox n'est pas la meilleure solution).
Le premier site www.thinkwiki.org est hébergé par un site d'adresse IP 78.47.108.106 (un simple ping www.thinkwiki.org donne cette adresse). Il suffit donc d'inscrire cette IP de destination avec le port 80 et de la rejeter.
Le second, Google, est plus délicat à bloquer. Rejeter les adresses données lors d'un nslookup www.google.fr ne suffit pas. En fait, après avoir consulter https://ws.arin.net/whois, j'ai dû bloquer la plage d'IP 209.85.128.0/17 d'où le masque 255.255.255.128.
Le portail Orange est encore plus difficile à bloquer et après examen de la réponse DNS et consultation de http://www.db.ripe.net/whois, j'ai dû établir deux règles pour bloquer deux plages distinctes d'adresses IP.

L'image ci dessous de la page "personnalisation du pare-feu" montre l'ensemble de ces règles :

Commentaires: Le blocage de site web par le pare-feu de la livebox, n'est pas simple. De plus, quand le PC bloqué tente d'accéder à ces sites, la réponse négative du genre "Internet Explorer ne peut pas afficher cette page Web" est très longue à venir car le PC, n'obtenant pas de réponse, réitère ses demandes un certain nombre de fois. De plus, il peut y avoir des effets collatéraux. Par exemple, le blocage de Google empêche le chargement complet du forum de l'APEUL (et de beaucoup d'autres sites). Autre exemple, le blocage de www.thinkwiki.org a entraîné celui d'autres petits sites hébergés à la même adresse IP.

Rappel: Si l'on veut bloquer des sites sur un PC, la solution classique est de le faire sur ledit PC, dans son fichier "host" (par exemple pour Windows C:\WINDOWS\system32\drivers\etc\hosts). Il aurait suffit que je rajoute dans ce fichier les trois lignes suivantes (avec une tabulation comme séparateur) :
127.0.0.1    www.thinkwiki.org
127.0.0.1    www.google.fr
127.0.0.1    www.orange.fr
pour obtenir le résultat souhaité, avec cette fois une réponse instantanée et pas d'effet collatéral.

Conclusion: J'espère que cet exemple, sans intérêt réel autre que celui de montrer comment reproduire les niveaux faible et moyen, permettra à quelques utilisateurs de paramétrer le mode personnalisé selon leur besoin.